Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto...
Transcript of Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto...
![Page 1: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/1.jpg)
iis.se
Internets nyckelpiga- Eller dnssec i internets rotzonAnne-Marie Eklund Löwinder, [email protected] I @amelsec
![Page 2: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/2.jpg)
Vem är jag?
Anne-Marie Eklund LöwinderChief Information Security Officer, IIS
[email protected]@amelsec
Invald i Internet Hall of Fame
Ledamot Kungliga Svenska Ingenjörsvetenskapsakademien (IVA), Avdelning XII,
Informationsteknik
Styrelseledamot institutet för rättsinformatik, IRI, Stockholms universitet
Medlem i MSB:s informationssäkerhetsråd
![Page 3: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/3.jpg)
Kort om Internetstiftelsen i Sverige (IIS)
Oberoende allmännyttig stiftelse med två huvudsakliga verksamhetsområden:• Ansvar för drift och administration av toppdomänerna .se
och .nu• Främja utveckling och användning av internet i SverigeSom till exempel:• Federationsoperatör för Skolfederation och Sambi• Testorganisation för nya gTLD:er på internet• Bredbandskollen, Webbstjärnan, Internetdagarna,
Internetmuseum, Internetstatistik, Internetguider med mera….
![Page 4: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/4.jpg)
We live on trust; ”we are the trustees for the delegateddomain, and have the duty to serve the community”. (RFC 1591)
![Page 5: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/5.jpg)
![Page 6: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/6.jpg)
Nya RFC:er publiceras (2005): RFC4033, RFC4034, RFC4035
EMILEGRAPHICS, FLICKR CREATIVE COMMONS
![Page 7: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/7.jpg)
2005
Sverige (.se) inför DNSSEC som den första toppdomänen i världen
![Page 8: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/8.jpg)
Karola Riegler, Flickr | CC-BY-ND | via Wylio
![Page 9: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/9.jpg)
![Page 10: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/10.jpg)
![Page 11: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/11.jpg)
Key Ceremony # 1
![Page 12: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/12.jpg)
2010• Juni
– Första nyckelceremonin i Culpeper, Virginia
• Juli– Ceremoni #2 i Los Angeles, Kalifornien– Nyckelmaterial från ceremony #1 kopieras
och lagras– Q4/2010 KSR hanterad
• Den signerade rotzonen publicerades i DNS avVeriSign
– Tillitsankare för rotzonen publiceras avIANA
![Page 13: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/13.jpg)
Första Root DNSSEC Design Team
• Joe Abley• Mehmet Akcin• David Blacka• David Conrad• Richard Lamb• Matt Larson• Fredrik Ljunggren• Dave Knight• Tomofumi Okubo• Jakob Schlyter• Duane Wessels
![Page 14: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/14.jpg)
Hantering av DNSSEC i rotzonen
• ICANN (IANA sköter operativ drift)– Kontrollerar nyckelsigneringsnyckeln (KSK), samma
nyckel sedan starten 2010– KSK signerar varje kvartal zonsigneringsnyckel i en
nyckelceremoni– Verifierar och genomför ändringsärenden
• Verisign (distribuerar den signerade rotzonen)– Hanterar zonsigneringsnyckeln som byts ut varje kvartal
• Skedde tidigare i enlighet med överenskommelse med US Department of Commerce NTIA, nu är det helt på ICANN:s ansvar
![Page 15: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/15.jpg)
Nyckelgenerering och signeringsprocess av KSK för rotzonen
De vägledande principerna bakom den övergripande designen är att resultatet måste vara trovärdigt och pålitligt vid varje tidpunkt
![Page 16: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/16.jpg)
Revision och uppföljning
Processer och rutiner ska revideras mot standarder som till exempel ISO/IEC 27002:2013, Information technology --Security techniques -- Code of practice for information security controls
![Page 17: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/17.jpg)
Hög säkerhetsnivå
Systemen för rotzonen ska möta alla relevanta tekniska säkerhetskontroller enligt NIST SP 800-53 som krävs för ”HIGH IMPACT system”
![Page 18: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/18.jpg)
Engagemang från internetkollektivet
Trovärdiga representanter från internetsamfundet har bjudits in och har en aktiv roll i nyckelhanteringsprocessen
![Page 19: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/19.jpg)
iis.se
![Page 20: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/20.jpg)
iis.se
![Page 21: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/21.jpg)
Ansats för att skydda KSK
![Page 22: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/22.jpg)
El Segundo, Los Angeles, CA
iis.se
![Page 23: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/23.jpg)
Terramark Data Center, Culpeper, VA
![Page 24: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/24.jpg)
iis.se
![Page 25: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/25.jpg)
Fysisk säkerhet
![Page 26: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/26.jpg)
![Page 27: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/27.jpg)
![Page 28: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/28.jpg)
Fysiska säkerhetskontroller
• Två i förening• Separation av arbetsuppgifter• Extern övervakning• Kameraövervakning• Rörelse-, seismiska och andra sensorer• …och mycket mer
![Page 29: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/29.jpg)
iis.se
![Page 30: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/30.jpg)
iis.se
![Page 31: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/31.jpg)
![Page 32: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/32.jpg)
iis.se
![Page 33: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/33.jpg)
iis.se
![Page 34: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/34.jpg)
iis.se
![Page 35: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/35.jpg)
iis.se
![Page 36: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/36.jpg)
iis.se
![Page 37: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/37.jpg)
iis.se
![Page 38: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/38.jpg)
iis.se
![Page 39: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/39.jpg)
iis.se
![Page 40: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/40.jpg)
iis.se
![Page 41: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/41.jpg)
iis.se
![Page 42: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/42.jpg)
ICANN-roller vid KSK-ceremonierna
• Ceremonimästare (CA) är den ICANN-medarbetaresom leder ceremonin via skriptet
• Interna vittnen (IW) är ICANN-medarbetare somobserverar och spelar in ceremonin och eventuellaavvikelser
• Systemadministratör (SA) är teknikmedarbetare somansvarar för IT-miljön
• Kassaskåpskontrollanter (Safe Security Controllers (SSC)) är medarbetare som hanterar kassaskåpen(öppnar och stänger)
![Page 43: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/43.jpg)
DPS – DNSSEC Säkerhetsdeklaration
• Beskriver processer och rutiner som har införtsför signering respektive distribution av zonfilen– generera, hantera, byta och distribuera DNS-nycklar i
enlighet med fastställda krav
• Jämförbart med certificate practice statement (CPS) från en utfärdare (certification authority(CA)) av X.509-certifikat
• Följer strukturen i RFC 6841https://tools.ietf.org/html/rfc6841
![Page 44: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/44.jpg)
Spårbarhet och transparens
• Tredjepartsrevisorer granskar att ICANN agerar i enlighet med DPS
• Andra externa vittnen har också möjlighet attdelta vid nyckelceremonierna
• En Systrust-granskning och -certifieringgenomförs varje år sedan 2010
ICANN is committed to ensuring the security and stability of the Internet's unique identifier systems. As the DNSSEC Root Zone Key Signing Key (RZ KSK) manager, we are pleased to announce that ICANN's RZ KSK System has achieved SysTrust certification — an audit by the international accounting firm, PricewaterhouseCoopers, LLP (PwC) to ensure we have appropriate internal controls in place to meet the availability, processing integrity and security objectives for our RZ KSK System.
![Page 45: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/45.jpg)
Trusted Community Representatives (TCR)
• Aktiva roller i hanteringen av nyckelsigneringsnyckeln (KSK):– Crypto Officers vars uppgift är att aktivera KSK– Recovery Key Share Holders vars uppgift är att
skydda delar av den symmetriska nyckel som använtsför att kryptera en säkerhetskopia av KSK
![Page 46: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/46.jpg)
Crypto Officer (CO)
• Har fysiska nycklar till säkerhetsboxar sominnehåller smarta kort somanvänds för att aktiveraHSM
• ICANN kan inte generera enny KSK eller signera ZSK:erutan närvaro från 3 av 7 CO
• Måste kunna resa till USA två gånger per år (per sajt)
![Page 47: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/47.jpg)
Recovery Key Share Holder (RKSH)
• Har smarta kort som innehåller delar (M-of-N) avden nyckel som används för att kryptera KSK:nsom lagras i HSM.
• 5 av 7 RKSH-kort tillsammans med ett smart kort med den krypterade KSK:n kanrekonstruera KSK:n i en ny HSM
• Det smarta kortet med den krypteradesäkerhetskopian av KSK hanteras av ICANN.
• Måste kunna resa med kort framförhållning. Förhoppningsvis aldrig. Årlig inventering.
![Page 48: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/48.jpg)
Community Representatives
• CO• Alain Aina, BJ• Nicolas Antoniello, UY• Fabian Arbogast, TZ• Anne-Marie Eklund Löwinder, SE• Christopher Griffiths, US• Frederico Neves, BR• Gaurab Upadhaya, NP • Olaf Kolkman, NL• Robert Seastrom, US• Vinton Cerf, US• Andy Linton, NZ• Carlos Martinez, UY• Dmitry Burkov, RU• Edward Lewis, US• João Luis Silva Damas, PT• Masato Minda, JP• Ólafur Guðmundsson, IS• Subramanian Moonesamy, MU
• CO Backup• Christopher Griffiths, US• Fabian Arbogast, TZ• John Curran, US• Nicolas Antoniello, UY• Rudolph Daniel, UK• Sarmad Hussain, PK• Ólafur Guðmundsson, IS
• RKSH• Bevil Wooding, TT• Dan Kaminsky, US• Jiankang Yao, CN• Moussa Guebre, BF• Norm Ritchie, CA• Ondřej Surý, CZ• Paul Kane, UK• (5 BKP)
![Page 49: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/49.jpg)
iis.se
![Page 50: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/50.jpg)
Jag har INTE nyckeln till Internet!
![Page 51: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/51.jpg)
Typer av nyckelceremonier
• Nyckelgenerering– Generering av ny KSK
• Hantering av begäran om signering avZSK (ZSK Signing Request (KSR))– Signering av ZSK för nästa kvartal– Sker kvartalsvis– Ömsom på västkusten, ömsom på östkusten
![Page 52: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/52.jpg)
Tillitsankare för rotzonen
• Publiceras av ICANN på en webbplatssom:– XML-kodad och textformaterad DS-post
• För att underlätta automatisk hantering– Signeringsbegäran av PKCS #10-certifikat (CSR)
• Som självsignerad publik nyckel
![Page 53: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/53.jpg)
DNSSEC är idag en standardprocess
![Page 54: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/54.jpg)
Nya aktiviteter
• ZSK ökade i storlek (1 oktober 2016)– Planerades för att ske före…
• Byte av KSK (nyckelrullning)• Separata med ändå koordinerade aktiviteter
iis.se
![Page 55: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/55.jpg)
Viktiga datum!
• Nyckelceremonier– Q4 2016 (oktober): generera ny KSK – Q1 2017 (februari): KSK operationellt färdig
• Ändringar i DNS– Ny KSK i rotzonen juli 2017– Ny KSK signerar DKSKEY RRset med början oktober
2017– Nuvarande KSK revokeras januari 2018
iis.se
![Page 56: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/56.jpg)
Ceremoni # XXVII
• En ny KSK genererades vid den ceremonin baserad på ICANNs noggranna planering
• Ceremonidatum: 27 oktober 2016 • Plats: ICANN Key Management Facility in
Culpeper, VA, USA• Alla detaljer om ceremonin och
videoinspelning finns tillgänglig på https://www.iana.org/dnssec/ceremonies/27
![Page 57: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/57.jpg)
Det går åt tonvis med pop corn….!
https://www.iana.org/dnssec/ceremonies
![Page 58: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/58.jpg)
iis.se
![Page 59: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/59.jpg)
Varför byter man KSK i rotzonen?
• Primärt: beredskap och övning– KSK har inget bäst före-datum– Inga kända svagheter– Ingen nyckel ska leva för evigt: det är dålig
krypteringspraxis– Fördel att öva processer och rutiner för nyckelrullning
under normala och kontrollerade förhållanden• Till skillnad mot onormala förhållanden, som när en nyckel röjts
• Stor utmaning– Involverar oräkneliga deltagare– Ingen testmiljö kan täcka alla möjliga fall
iis.se
![Page 60: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/60.jpg)
Byte av tillitsankare
• Tillitsankare konfigureras in direkt i validerare för DNSSEC– OM automatiska uppdateringar av tillitsankare för
DNSSEC (RFC 5011) är påslaget och fungerar så sker nyckelrullningen med automatik
– Annars krävs någon form av manuell hantering• Lägg till den nya KSK:n före den 11 oktober 2017 (förutsatt
att allt följer planen)• Ta bort den gamla KSK:n vid ett senare tillfälle
iis.se
![Page 61: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/61.jpg)
Mer information om nyckelrullningen för rotzonen
• Mejllista:– https://mm.icann.org/listinfo/ksk-rollover
• Följ ICANN på Twitter– @ICANN Hashtag: #KeyRoll
• Webbplats:– https://www.icann.org/kskroll
iis.se
![Page 62: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/62.jpg)
Användbara verktyg för DNSSEC
• Testa implementationen– DNSSEC Analyzer från Verisign Labs– DNSViz – A DNS Visualization Tool från Sandia National
Laboratories• Använda DNSSEC i lokala system
– DNSSEC-Trigger – lokal DNSSEC resolver för Windows, Mac OS X eller Linux
– DNSSEC Validator Add-on for Firefox– DNSSEC Validator Extension for Google Chrome
• Verktyg för att sätta upp egna namnservrar– OpenDNSSEC project– DNSSEC-Tools project
• Verktyg för att testa DANE implementationer– NIST’s TLSA test tool– DANE SMTP Validator
iis.se
![Page 63: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/63.jpg)
Kan jag kontrollera om en domän är signerad? Jajamensan!
https://dnssec-name-and-shame.com/http://zonemaster.se/
![Page 64: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/64.jpg)
Aktuell statistik för toppdomäner med DNSSEC (2017-03-03, 16:20)
• Totalt 1 530 toppdomäner i rotzonen– 1 385 TLD:er är signerade med DNSSEC– 1 375 TLD:er har sina tillitsankare publicerade som
DS-poster i rotzonen
http://stats.research.icann.org/dns/tld_report/
![Page 65: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/65.jpg)
Färsk statistik…
http://www.internetsociety.org/deploy360/dnssec/
iis.se
![Page 66: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/66.jpg)
DNSSEC tillväxt i .sehttps://www.iis.se/domaner/statistik/tillvaxt/?chart=per-type
iis.se
![Page 67: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/67.jpg)
Andel resolvrar som validerar signaturer(per land)
TLD LandValiderar DNSSEC
Antal domäner
SESweden, NorthernEurope, Europe
82.97% 3 290 068
NONorway, Northern Europe,Europe
71,53% 1 455 481
DKDenmark, Northern Europe,Europé
53,48% 1 968 279
FIFinland, Northern Europe,Europé
5,82% 922 177
Källa: https://stats.labs.apnic.net/dnssec/XA
![Page 68: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/68.jpg)
Att införa DNSSEC har ett pris
• Det kan vara potentiellt dödligt för online-existensen om man gör fel
• Kräver mer uppmärksamhet och merkunskap, framför allt för felsökning
![Page 69: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/69.jpg)
iis.se
![Page 70: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/70.jpg)
Kortsiktiga fördelar?
• Alltså som i JUST NU?– I princip alla svenska internetoperatörer validerar
dnssec-signaturer för sina kunder– Om det hanteras korrekt skapar DNSSEC-signerade
zoner högre säkerhet genom att förhindra mannen-i-mitten-attacker och cache-förgiftning
![Page 71: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/71.jpg)
Långsiktiga fördelar
• Mer robust och mer pålitliginternetinfrastruktur
• Inga fler lögner i DNS• Vi drar nytta av tillitstjänster som bygger
på DNS• Här hjälper DNSSEC. Nu när vi kan
verifiera svar från en DNS-server kan vi också säkert lagra publika nycklar i DNS-poster
![Page 72: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/72.jpg)
iis.se
![Page 73: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/73.jpg)
Och så några ord om lösenord….
iis.se
![Page 74: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/74.jpg)
Lösenordsparadoxen: Du vet att det är dåligtmen du gör det i alla fall
iis.se
![Page 75: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/75.jpg)
Brukar du byta lösenord?
iis.se
![Page 76: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/76.jpg)
Vilka lösenord är vanligast?
År
password password 123456 123456123456 123456 password password12345678 12345678 12345 12345678abc123 abc123 12345678 qwertyqwerty qwerty qwerty 12345monkey monkey 123456789 123456789letmein letmein 1234 footballdragon dragon baseball 1234111111 111111 dragon 1234567baseball baseball football baseball
![Page 77: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/77.jpg)
Dåliga lösenord
• Alldeles för många använder samma• Det är enkelt att gissa för någon som
känner dig• Det är för kort och därmed enkelt att
gå igenom alla kombinationer
iis.se
![Page 78: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/78.jpg)
Lösenord ska vara
• Unika per inloggning• Långa (10 tkn eller fler)• Komplexa• Ovanliga (undvik de 1000 vanligaste)
iis.se
![Page 79: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/79.jpg)
Spara helst inte lösenord i webbläsare
iis.se
Använd en lösenordshanterare!
![Page 80: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/80.jpg)
Är ditt lösenord röjt?
iis.se
![Page 81: Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto Officer (CO) • Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort](https://reader034.fdocuments.net/reader034/viewer/2022042205/5ea70c049f0455033e7c7580/html5/thumbnails/81.jpg)
Tack så mycket!Frågestund?@[email protected]