Sobota 14. prosince 2019, svátek má Lýdie
  • schránka
  • Přihlásit Můj účet
  • Sobota 14. prosince 2019 Lýdie

Sedm vyvolených dostalo klíče, kterými lze nahodit internet. Mezi nimi i Čech

aktualizováno 
Na bezpečnost celosvětové sítě bude dohlížet sedm vybraných odborníků, kteří v tajném bunkru převzali "klíče k internetu". Je mezi nimi i Čech Ondřej Surý. Nový standard zabezpečení má zajistit, aby internet zůstal nezávislý, ale přesto důvěryhodný.

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - Vstup do chráněné oblasti | foto: Kim Davies

Začala nová éra internetu. Otec internetu Vinton Cerf označil definitivní spuštění zabezpečených DNS serverů (DNSSEC) za krok významem podobný spuštění WWW sítě.

"Chceme dát uživatelům možnost poznat, zda zdroj, na který přistupují, je důvěryhodný," shrnuje Joe Abley, ředitel DNS Group, důvod ke spuštění nové generace zabezpečeného DNS. Dosud totiž bylo až příliš jednoduché vydávat se na internetu za někoho jiného, falšovat adresy a "unést" návštěvníka stránek do nebezpečných vod webu (např. phishing, DNS poisoning apod.).

Organizace ICANN, která dohlíží na nejvyšší doménové prostory, počítá i s eventualitou, že bude potřeba DNSSEC systém obnovit z nouzové zálohy, a dává si záležet na bezpečnostních opatřeních.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - zdroj fotografie

DNS a DNSSEC

DNS je systém pro "překlad" doménového jména na IP adresu příslušného serveru. Kvůli velmi otevřené architektuře může snadno dojít k jeho zneužití.

DNSSEC je bezpečnostní rozšíření DNS, které umožňuje ověřit, zda nedošlo k podvržení záznamů. DNSSEC funguje na principu asymetrické kryptografie, používá soukromou část klíče k vytvoření podpisu a veřejnou část k ověření platnosti podpisu.
(více zde)

Sedm důvěryhodných v bunkru?

Setkání v tajném americkém bunkru. Prohlídka ozbrojenými strážníky. Identifikace podle oční duhovky. Možná to zní jako ze špionážního filmu, ale přesně tato spojení se ve spojení se spuštěním DNSSEC objevila například v seriózních britských denících.

Skutečnost je podle Ondřeje Surého, který byl přímo na místě, o poznání střízlivější. Obě sídla ICANN zkrátka dodržují standardní bezpečnostní předpisy, a ty platily i při slavnostních ceremoniích podepisování kořenové zóny.

Celý systém DNSSEC by měl fungovat zcela automaticky, a běžní uživatelé si jeho funkce pravděpodobně ani nevšimnou. Pokud by ale došlo k poškození (například v důsledku živelné katastrofy či útoku), je možné hlavní klíč DNSSEC obnovit.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - vstup byl přísně střežen (zdroj fotografie)

Sedm "důvěryhodných zástupců internetové komunity" (Trusted Community Representatives, přesněji Recovery Key Share Holders) dostalo čipové karty, na kterých jsou uloženy fragmenty, pomocí nichž je možné rozšifrovat zálohu KSK klíče uloženou u ICANN.

Pokud se všichni (nebo alespoň pět ze sedmi) sejdou v USA, mohou společně rekonstruovat původní hlavní klíč (DNSSEC root zone key) a "restartovat" tak zabezpečení, či spíše obnovit normální provoz. Je tak zabezpečeno, aby žádný jednotlivec ani organizace nemohla tuto obnovu provést na vlastní pěst. Kromě toho nelze vyloučit ani rovinu symbolickou - nabízí se srovnání s českými korunovačními klenoty, ke kterým má také klíče sedm českých ústavních činitelů.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - účastníci při předávání klíčů (zdroj fotografie)

Kdo drží "klíče k internetu"?

Dan Kaminsky (USA), Jiankang Yao (Čína), Paul Kane (Velká Británie), Moussa Guebre (Burkina Faso), Bevil Wooding (Trinidad a Tobago), Ondřej Surý (Česká republika), Norm Ritchie (Kanada)

Českou republiku, respektive střední Evropu, zastupuje Ondřej Surý, vedoucí Laboratoří CZ.NIC, sdružení spravujícího doménu .cz. CZ.NIC prosazuje standard DNSSEC už několik let, a věnuje se mu pravidelně na svém blogu.

Standard DNSSEC je tedy od podepsání tzv. kořenové zóny připraven k nasazení do ostrého provozu. Domény, které budou s jeho pomocí zabezpečeny, mohou dát svým návštěvníkům jistotu, že si prohlížejí skutečně požadovaný obsah, a ne obsah podstrčený nějakým podvodným DNS serverem (například falešnými stránkami banky).

Podle odhadů, které cituje BBC, je až 8 % internetového provozu nějakým způsobem podvodného, a právě nový systém by měl tyto nešvary (DNS únosy, DNS poisoning, phishing) postupně redukovat.

Proč tak složitě?

Samotná procedura podepisování trvala něco kolem šesti hodin. Proč nestačí zkrátka vygenerovat klíč a někam jej schovat? Ne všem je totiž příjemné, že by vše měla mít pod palcem instituce z USA. Proto se celý proces co možná nejvíc otevřel a přizváni byli zástupci internetové komunity z celého světa.

I díky nim mohl vzniknout silný podpis "kořenové zóny", a pro případného útočníka je tak prakticky nemožné podvrhnout či napodobit DNSSEC podpis, tedy vydávat se za cizí doménu. Kdyby ale někdo disponoval celým klíčem, mohl by teoreticky napodobit podpis domény. Proto je důležité, aby nebyly klíče zcela dostupné jednotlivcům, ale pro každou manipulaci s nimi (i "jen" obnovu zálohy) bylo potřeba minimálně pěti ze sedmi zmíněných držitelů záložních karet.

Čech s klíčem k internetu: net bude bezpečnější

Zeptali jsme se Ondřeje Surého, vedoucího Laboratoří CZ.NIC, jednoho z 21 TCR ("důvěryhodných zástupců komunity") a držitele jedné ze sedmi záložních karet, na podrobnosti ohledně DNSSEC a souvisejících opatření.

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - Ondřej Surý při předávání klíče

Ondřej Surý při předávání klíče - (Zdroj fotografie)

Kolik je celkem těch "důvěryhodných osob"?
Celkový počet TCR (Trusted Community Representatives) je 21. Existuje 7 Crypto Officers pro každou lokalitu (Culpeper, VA a El Segundo, CA), kteří mají klíče k bezpečnostní schránce v trezoru.

Co je to za klíče na oněch kartách, které drží TCR (Vy a šest dalších), a k čemu mohou být tyto klíče použity?
Držitelé karet se jmenují RKSH (Recovery Key Share Holder). Na kartách je část klíče symetrické šifry, která je používaná pro zakódování dat uvnitř HSM modulu (HSM - Hardware Security Module). Tyto klíče (minimálně 5 karet ze 7) mohou být použity společně se zálohou KSK klíče pro obnovení provozu v dalším nezávislém HSM modulu, a to v případě, že by došlo ke zničení všech čtyř dalších HSM (HSM, který používá ICANN) v obou lokalitách ICANNu.

V jakém případě by tyto karty mohly být použity?
V případě, že by došlo ke znefunkčnění všech aktivních HSM modulů (celkem 4).

Správce domén prvního řádu

IANA a ICANN

IANA byla instituce zřízená a placená US vládou v rámci rozvoje Internetu, později přešla pod ICANN. Historie se datuje až k počátkům internetu v roce 1972, jméno IANA zaznívá poprvé roku 1990. ICANN vznikl roku 1998 na popud americké vlády (Clintona a později Bushe mladšího), jde o neziskovou společnost dohlížející na různé úkony týkající se Internetu a jeho správy, které dříve přímo nebo zprostředkovaně vykonávala vláda. ICANN má sídlo v Kalifornii.

ICANN = Internet Corporation for Assigned Names and Numbers

IANA = Internet Assigned Numbers Authority

A k čemu by sloužily?
Společně se zálohou KSK klíče by byly použity k obnovení regulérního provozu podpisu kořenové zóny.

Proč bylo zvoleno takovéto řešení, které trochu připomíná Pána prstenů?
Tento postup byl zvolen proto, aby se zvýšila důvěra v celý proces podpisu kořenové zóny. Tím, že byli do procesu podpisu kořenové zóny přizváni zástupci internetové komunity, byla zajištěna vyšší kontrola celého procesu podpisu kořenové zóny.

Co je tzv. pravý KSK klíč a jaký je důvod jeho existence?
"Pravý KSK klíč" je možná trochu zavádějící označení, které bylo zvoleno pro odlišení od KSK klíče, který byl používaný v testovacím provozu. KSK klíč je vstupní bod do hierarchie důvěry, kterou DNSSEC vytváří v DNS stromu. Jeho výměna v případě kompromitace je velmi náročná a proto je zapotřebí nejvyšší stupeň ochrany, který je na úrovni ochrany kořenových certifikátů Certifikačních autorit.

Jaké jsou hlavní změny pro běžného uživatele?
Podpis kořenové zóny nepředstavuje pro koncového uživatele žádnou změnu. Tento krok má zásadní význam pro bezpečnost systému doménových jmen (DNS), který je takovou páteří celého internetu.

Zdroje a odkazy:

Autor:

Přechod na DVB-T2

Od 27. 11. probíhá postupný přechod na vysílací standard DVB-T2. Proces by měl být dokončen do poloviny roku 2020. Diváci si tak musí pořídit televizi s podporou kódování H.265 (HEVC) nebo starší televizi doplnit vhodným set-top boxem.

  • Nejčtenější

V Benešově udeřil virus, který vydírá nemocnice i města po celém světě

V benešovské nemocnici pravděpodobně zaútočil typ počítačového viru, který dokáže z provozu vyřadit policii, úřady i...

Molotovův koktejl: finský lihovar přinášel zkázu sovětským tankistům

Podobně jako nouze naučila Dalibora housti, museli se finští obránci během zimní války spolehnout v boji se sovětskými...

Nevíte co? Tipy na dárky, o kterých možná nevíte, že existují

„Hele, to je dobré, to jsem neznal,“ překvapí nás občas někdo údivem nad věcí, kterou považujeme za docela běžnou....

USA testují vojáka budoucnosti. Přes brýle uvidí nebezpečí a neztratí cíl

Na vojenské základně Fort Pickett ve Virginii testují vojáci brýle s průhledovými displeji IVAS (Integrated Visual...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Microsoft ukázal nové logo Windows a s ním překreslil stovku aplikací

Společnost Microsoft pokračuje ve svém plánu překreslit celý operační systém Windows na Fluent Design. Nově ukazuje asi...

Premium

Zoufale jsme se snažili postřeleného muže zachránit, líčí lékař z Ostravy

Hrudní chirurg Marcel Mitták z Fakultní nemocnice Ostrava se snažil s týmem zdravotníků zachránit jednoho z těžce...

Premium

Na Gottově pohřbu jsem se bál, že spáchám atentát na Zemana, říká Strach

Každý se ho ptá na Anděla Páně 3. Jiří Strach ale trpělivě vysvětluje, že to nezáleží jen na něm. „Rozhodujeme o tom...

Premium

Zalepili matce prsa, aby nemohla kojit. Při příbězích z Osvětimi pláče i průvodce

Lukáš Lev provází v koncentračních táborech a popisuje nacistická zvěrstva. Jeho babička si však stála za tím, že za...

  • Další z rubriky

Firmy Line a Yahoo Japan se spojí, chtějí konkurovat Amazonu i Googlu

Již od června jednají majitelé společností Line a Yahoo Japan o spojení. Zatímco první společnost se prosadila jako...

Google končí se vzdáleným tiskem pomocí Cloud Print

Ke konci příštího roku chystá společnost Google ukončení své služby Cloud Print, které umožňuje vzdálený tisk.

Facebook do sekundy smaže teroristy, spam i nahotu. Můžete se odvolat

Strojové učení, bezpečnostní analýza i povinná rozcvička krku. To jsou některé nástroje, které největší sociální síť...

Pozor na podvodníky, posílají důvěryhodně vypadající e-maily i SMS

E-mail, který vás nutí ke změně hesla k internetovému bankovnictví, SMS o zablokované platební kartě či vyděračská...

TIPY: Dárky pro malé princezny, které zaručeně potěší
TIPY: Dárky pro malé princezny, které zaručeně potěší

Nemáte ještě nakoupené všechny vánoční dárečky? Pokud zrovna vybíráte pro slečny, jistě uvítáte inspiraci.

Najdete na iDNES.cz