Čtvrtek 25. února 2021, svátek má Liliana
  • schránka
  • Přihlásit Můj účet
  • Čtvrtek 25. února 2021 Liliana

Sedm vyvolených dostalo klíče, kterými lze nahodit internet. Mezi nimi i Čech

Na bezpečnost celosvětové sítě bude dohlížet sedm vybraných odborníků, kteří v tajném bunkru převzali "klíče k internetu". Je mezi nimi i Čech Ondřej Surý. Nový standard zabezpečení má zajistit, aby internet zůstal nezávislý, ale přesto důvěryhodný.

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - Vstup do chráněné oblasti | foto: Kim Davies

Začala nová éra internetu. Otec internetu Vinton Cerf označil definitivní spuštění zabezpečených DNS serverů (DNSSEC) za krok významem podobný spuštění WWW sítě.

"Chceme dát uživatelům možnost poznat, zda zdroj, na který přistupují, je důvěryhodný," shrnuje Joe Abley, ředitel DNS Group, důvod ke spuštění nové generace zabezpečeného DNS. Dosud totiž bylo až příliš jednoduché vydávat se na internetu za někoho jiného, falšovat adresy a "unést" návštěvníka stránek do nebezpečných vod webu (např. phishing, DNS poisoning apod.).

Organizace ICANN, která dohlíží na nejvyšší doménové prostory, počítá i s eventualitou, že bude potřeba DNSSEC systém obnovit z nouzové zálohy, a dává si záležet na bezpečnostních opatřeních.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - zdroj fotografie

DNS a DNSSEC

DNS je systém pro "překlad" doménového jména na IP adresu příslušného serveru. Kvůli velmi otevřené architektuře může snadno dojít k jeho zneužití.

DNSSEC je bezpečnostní rozšíření DNS, které umožňuje ověřit, zda nedošlo k podvržení záznamů. DNSSEC funguje na principu asymetrické kryptografie, používá soukromou část klíče k vytvoření podpisu a veřejnou část k ověření platnosti podpisu.
(více zde)

Sedm důvěryhodných v bunkru?

Setkání v tajném americkém bunkru. Prohlídka ozbrojenými strážníky. Identifikace podle oční duhovky. Možná to zní jako ze špionážního filmu, ale přesně tato spojení se ve spojení se spuštěním DNSSEC objevila například v seriózních britských denících.

Skutečnost je podle Ondřeje Surého, který byl přímo na místě, o poznání střízlivější. Obě sídla ICANN zkrátka dodržují standardní bezpečnostní předpisy, a ty platily i při slavnostních ceremoniích podepisování kořenové zóny.

Celý systém DNSSEC by měl fungovat zcela automaticky, a běžní uživatelé si jeho funkce pravděpodobně ani nevšimnou. Pokud by ale došlo k poškození (například v důsledku živelné katastrofy či útoku), je možné hlavní klíč DNSSEC obnovit.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - vstup byl přísně střežen (zdroj fotografie)

Sedm "důvěryhodných zástupců internetové komunity" (Trusted Community Representatives, přesněji Recovery Key Share Holders) dostalo čipové karty, na kterých jsou uloženy fragmenty, pomocí nichž je možné rozšifrovat zálohu KSK klíče uloženou u ICANN.

Pokud se všichni (nebo alespoň pět ze sedmi) sejdou v USA, mohou společně rekonstruovat původní hlavní klíč (DNSSEC root zone key) a "restartovat" tak zabezpečení, či spíše obnovit normální provoz. Je tak zabezpečeno, aby žádný jednotlivec ani organizace nemohla tuto obnovu provést na vlastní pěst. Kromě toho nelze vyloučit ani rovinu symbolickou - nabízí se srovnání s českými korunovačními klenoty, ke kterým má také klíče sedm českých ústavních činitelů.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - účastníci při předávání klíčů (zdroj fotografie)

Kdo drží "klíče k internetu"?

Dan Kaminsky (USA), Jiankang Yao (Čína), Paul Kane (Velká Británie), Moussa Guebre (Burkina Faso), Bevil Wooding (Trinidad a Tobago), Ondřej Surý (Česká republika), Norm Ritchie (Kanada)

Českou republiku, respektive střední Evropu, zastupuje Ondřej Surý, vedoucí Laboratoří CZ.NIC, sdružení spravujícího doménu .cz. CZ.NIC prosazuje standard DNSSEC už několik let, a věnuje se mu pravidelně na svém blogu.

Standard DNSSEC je tedy od podepsání tzv. kořenové zóny připraven k nasazení do ostrého provozu. Domény, které budou s jeho pomocí zabezpečeny, mohou dát svým návštěvníkům jistotu, že si prohlížejí skutečně požadovaný obsah, a ne obsah podstrčený nějakým podvodným DNS serverem (například falešnými stránkami banky).

Podle odhadů, které cituje BBC, je až 8 % internetového provozu nějakým způsobem podvodného, a právě nový systém by měl tyto nešvary (DNS únosy, DNS poisoning, phishing) postupně redukovat.

Proč tak složitě?

Samotná procedura podepisování trvala něco kolem šesti hodin. Proč nestačí zkrátka vygenerovat klíč a někam jej schovat? Ne všem je totiž příjemné, že by vše měla mít pod palcem instituce z USA. Proto se celý proces co možná nejvíc otevřel a přizváni byli zástupci internetové komunity z celého světa.

I díky nim mohl vzniknout silný podpis "kořenové zóny", a pro případného útočníka je tak prakticky nemožné podvrhnout či napodobit DNSSEC podpis, tedy vydávat se za cizí doménu. Kdyby ale někdo disponoval celým klíčem, mohl by teoreticky napodobit podpis domény. Proto je důležité, aby nebyly klíče zcela dostupné jednotlivcům, ale pro každou manipulaci s nimi (i "jen" obnovu zálohy) bylo potřeba minimálně pěti ze sedmi zmíněných držitelů záložních karet.

Čech s klíčem k internetu: net bude bezpečnější

Zeptali jsme se Ondřeje Surého, vedoucího Laboratoří CZ.NIC, jednoho z 21 TCR ("důvěryhodných zástupců komunity") a držitele jedné ze sedmi záložních karet, na podrobnosti ohledně DNSSEC a souvisejících opatření.

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - Ondřej Surý při předávání klíče

Ondřej Surý při předávání klíče - (Zdroj fotografie)

Kolik je celkem těch "důvěryhodných osob"?
Celkový počet TCR (Trusted Community Representatives) je 21. Existuje 7 Crypto Officers pro každou lokalitu (Culpeper, VA a El Segundo, CA), kteří mají klíče k bezpečnostní schránce v trezoru.

Co je to za klíče na oněch kartách, které drží TCR (Vy a šest dalších), a k čemu mohou být tyto klíče použity?
Držitelé karet se jmenují RKSH (Recovery Key Share Holder). Na kartách je část klíče symetrické šifry, která je používaná pro zakódování dat uvnitř HSM modulu (HSM - Hardware Security Module). Tyto klíče (minimálně 5 karet ze 7) mohou být použity společně se zálohou KSK klíče pro obnovení provozu v dalším nezávislém HSM modulu, a to v případě, že by došlo ke zničení všech čtyř dalších HSM (HSM, který používá ICANN) v obou lokalitách ICANNu.

V jakém případě by tyto karty mohly být použity?
V případě, že by došlo ke znefunkčnění všech aktivních HSM modulů (celkem 4).

Správce domén prvního řádu

IANA a ICANN

IANA byla instituce zřízená a placená US vládou v rámci rozvoje Internetu, později přešla pod ICANN. Historie se datuje až k počátkům internetu v roce 1972, jméno IANA zaznívá poprvé roku 1990. ICANN vznikl roku 1998 na popud americké vlády (Clintona a později Bushe mladšího), jde o neziskovou společnost dohlížející na různé úkony týkající se Internetu a jeho správy, které dříve přímo nebo zprostředkovaně vykonávala vláda. ICANN má sídlo v Kalifornii.

ICANN = Internet Corporation for Assigned Names and Numbers

IANA = Internet Assigned Numbers Authority

A k čemu by sloužily?
Společně se zálohou KSK klíče by byly použity k obnovení regulérního provozu podpisu kořenové zóny.

Proč bylo zvoleno takovéto řešení, které trochu připomíná Pána prstenů?
Tento postup byl zvolen proto, aby se zvýšila důvěra v celý proces podpisu kořenové zóny. Tím, že byli do procesu podpisu kořenové zóny přizváni zástupci internetové komunity, byla zajištěna vyšší kontrola celého procesu podpisu kořenové zóny.

Co je tzv. pravý KSK klíč a jaký je důvod jeho existence?
"Pravý KSK klíč" je možná trochu zavádějící označení, které bylo zvoleno pro odlišení od KSK klíče, který byl používaný v testovacím provozu. KSK klíč je vstupní bod do hierarchie důvěry, kterou DNSSEC vytváří v DNS stromu. Jeho výměna v případě kompromitace je velmi náročná a proto je zapotřebí nejvyšší stupeň ochrany, který je na úrovni ochrany kořenových certifikátů Certifikačních autorit.

Jaké jsou hlavní změny pro běžného uživatele?
Podpis kořenové zóny nepředstavuje pro koncového uživatele žádnou změnu. Tento krok má zásadní význam pro bezpečnost systému doménových jmen (DNS), který je takovou páteří celého internetu.

Zdroje a odkazy:

Autor:
  • Nejčtenější

ANALÝZA: Lidé nejsou méně ukáznění. Proč rostou počty případů a co dál

Ze současné situace neexistuje žádné jednoduché a levné východisko. Ale jedna cesta nabízí naději na relativně rychlé...

Solární elektrárna na Sahaře by změnila svět k horšímu, tvrdí studie

Sahara osazená solárními panely by možná naplnila sen o zelené poušti i nevyčerpatelném zdroji čisté energie. Skrývá v...

Česko bude raketová velmoc. Ale jen v tom špatném smyslu

Česká armáda se chystá na nákup nové generace protiletadlových raketových systémů. Ale je poněkud nepochopitelné, že si...

Úspěch. Americká laboratoř přistála na Marsu i s malým vrtulníkem

NASA přiletěla na Mars znovu vyzkoušet nejtěžší přistávací manévr, jaký lidstvo na jiné planetě doposud provedlo....

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Otevřel se padák a sonda dosedla. NASA zveřejnila záběry přistání na Marsu

NASA zveřejnila tříminutový videozáznam čtvrtečního přistání robotické sondy Perseverance na povrchu Marsu. Jde o...

Dvaadvacet znaků, že s tímhle mužem vás místo pohádky čeká jen utrpení

Premium Některé ženy jako by se zhlédly v popelce. Věří, že oříšky přinášejí prince. Jenže nakonec jsou z nich spíš veverky –...

Inflace požírá uložené peníze. Kam s nimi, aby jich zmizelo co nejméně?

Premium Naspořili jste 200 000 korun, uložili je na účet, těšili se na úroky a po roce zjistili, že jste zbohatli o celých 340...

Biolog Zrzavý: Covid se postará, abychom umírali i na něco jiného než rakovinu

Premium Podle amerického psychologa a genetika Roberta Plomina mají zděděné geny daleko větší význam při utváření naší...

  • Další z rubriky

OBRAZEM: Úžasná místa v Česku můžete navštívit koronaviru navzdory

Prozkoumejte Česko, běžně nedostupná místa i nyní zavřené památky, prostřednictvím virtuálních prohlídek a speciálních...

Chraňte si soukromí a nenechte se vystopovat webovými stránkami

Internet není soukromé a už vůbec ne anonymní místo. Nejen webové stránky, na kterých surfujete, mohou získat jasnou...

Rusko je připraveno odpojit se od Internetu. Krátce si to již vyzkoušelo

Rusko má připraven legislativní i technologický rámec k tomu, aby se mohlo zcela odstřihnout od celosvětového...

LastPass mění pravidla, bezplatný bude už jen pro jeden typ zařízení

LastPass, oblíbený správce hesel, mění pravidla pro verzi zdarma. Už za necelý měsíc budou uživatelé využívající tuto...

Babské rady: zaručené tipy, jak bojovat proti neustálým virózám
Babské rady: zaručené tipy, jak bojovat proti neustálým virózám

Nudle u nosu, opakované virózy, nachlazení, pokašlávání –? nikdy nekončící kolotoč, ze kterého začínáte být šílení? Posbírali jsme ty...

Gabriela Koukalová: Exmanžel mě podváděl a myslím, že utrácel mé peníze

Bývalá světová šampionka v biatlonu, dnes moderátorka televizního pořadu Showtime, Gabriela Koukalová přiznává v...

Bondgirl Rosamund Pike žije v Česku. Překvapili ji opilí rafťáci v Krumlově

Britská herečka Rosamund Pike (42), známá například z bondovky Dnes neumírej, se kvůli natáčení s celou rodinou...

VIDEO: 5 triků, jak v obchodě otevřete mikrotenový sáček. Rychle a bez nervů

Suché ruce a mikrotenové sáčky - často náš největší nepřítel v obchodech. Někdy je to v oddělení pečiva či ovoce a...

Chci kratší pracovní týden a pět týdnů dovolené, říká Maláčová

Válka o kurzarbeit dospěla do fáze podepisování podmínek mírové dohody. Alespoň to tak působí z úst ministryně práce a...

Zemřel český DJ Thomas Coastline. Bylo mu 35 let

Zemřel známý český DJ Thomas Coastline, vlastním jménem Tomáš Malina. V minulosti prodělal rakovinu tlustého střeva. O...