Premium

Získejte všechny články
jen za 89 Kč/měsíc

Sedm vyvolených dostalo klíče, kterými lze nahodit internet. Mezi nimi i Čech

Na bezpečnost celosvětové sítě bude dohlížet sedm vybraných odborníků, kteří v tajném bunkru převzali "klíče k internetu". Je mezi nimi i Čech Ondřej Surý. Nový standard zabezpečení má zajistit, aby internet zůstal nezávislý, ale přesto důvěryhodný.

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - Vstup do chráněné oblasti | foto: Kim Davies

Začala nová éra internetu. Otec internetu Vinton Cerf označil definitivní spuštění zabezpečených DNS serverů (DNSSEC) za krok významem podobný spuštění WWW sítě.

"Chceme dát uživatelům možnost poznat, zda zdroj, na který přistupují, je důvěryhodný," shrnuje Joe Abley, ředitel DNS Group, důvod ke spuštění nové generace zabezpečeného DNS. Dosud totiž bylo až příliš jednoduché vydávat se na internetu za někoho jiného, falšovat adresy a "unést" návštěvníka stránek do nebezpečných vod webu (např. phishing, DNS poisoning apod.).

Organizace ICANN, která dohlíží na nejvyšší doménové prostory, počítá i s eventualitou, že bude potřeba DNSSEC systém obnovit z nouzové zálohy, a dává si záležet na bezpečnostních opatřeních.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - zdroj fotografie

DNS a DNSSEC

DNS je systém pro "překlad" doménového jména na IP adresu příslušného serveru. Kvůli velmi otevřené architektuře může snadno dojít k jeho zneužití.

DNSSEC je bezpečnostní rozšíření DNS, které umožňuje ověřit, zda nedošlo k podvržení záznamů. DNSSEC funguje na principu asymetrické kryptografie, používá soukromou část klíče k vytvoření podpisu a veřejnou část k ověření platnosti podpisu.
(více zde)

Sedm důvěryhodných v bunkru?

Setkání v tajném americkém bunkru. Prohlídka ozbrojenými strážníky. Identifikace podle oční duhovky. Možná to zní jako ze špionážního filmu, ale přesně tato spojení se ve spojení se spuštěním DNSSEC objevila například v seriózních britských denících.

Skutečnost je podle Ondřeje Surého, který byl přímo na místě, o poznání střízlivější. Obě sídla ICANN zkrátka dodržují standardní bezpečnostní předpisy, a ty platily i při slavnostních ceremoniích podepisování kořenové zóny.

Celý systém DNSSEC by měl fungovat zcela automaticky, a běžní uživatelé si jeho funkce pravděpodobně ani nevšimnou. Pokud by ale došlo k poškození (například v důsledku živelné katastrofy či útoku), je možné hlavní klíč DNSSEC obnovit.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - vstup byl přísně střežen (zdroj fotografie)

Sedm "důvěryhodných zástupců internetové komunity" (Trusted Community Representatives, přesněji Recovery Key Share Holders) dostalo čipové karty, na kterých jsou uloženy fragmenty, pomocí nichž je možné rozšifrovat zálohu KSK klíče uloženou u ICANN.

Pokud se všichni (nebo alespoň pět ze sedmi) sejdou v USA, mohou společně rekonstruovat původní hlavní klíč (DNSSEC root zone key) a "restartovat" tak zabezpečení, či spíše obnovit normální provoz. Je tak zabezpečeno, aby žádný jednotlivec ani organizace nemohla tuto obnovu provést na vlastní pěst. Kromě toho nelze vyloučit ani rovinu symbolickou - nabízí se srovnání s českými korunovačními klenoty, ke kterým má také klíče sedm českých ústavních činitelů.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - účastníci při předávání klíčů (zdroj fotografie)

Kdo drží "klíče k internetu"?

Dan Kaminsky (USA), Jiankang Yao (Čína), Paul Kane (Velká Británie), Moussa Guebre (Burkina Faso), Bevil Wooding (Trinidad a Tobago), Ondřej Surý (Česká republika), Norm Ritchie (Kanada)

Českou republiku, respektive střední Evropu, zastupuje Ondřej Surý, vedoucí Laboratoří CZ.NIC, sdružení spravujícího doménu .cz. CZ.NIC prosazuje standard DNSSEC už několik let, a věnuje se mu pravidelně na svém blogu.

Standard DNSSEC je tedy od podepsání tzv. kořenové zóny připraven k nasazení do ostrého provozu. Domény, které budou s jeho pomocí zabezpečeny, mohou dát svým návštěvníkům jistotu, že si prohlížejí skutečně požadovaný obsah, a ne obsah podstrčený nějakým podvodným DNS serverem (například falešnými stránkami banky).

Podle odhadů, které cituje BBC, je až 8 % internetového provozu nějakým způsobem podvodného, a právě nový systém by měl tyto nešvary (DNS únosy, DNS poisoning, phishing) postupně redukovat.

Proč tak složitě?

Samotná procedura podepisování trvala něco kolem šesti hodin. Proč nestačí zkrátka vygenerovat klíč a někam jej schovat? Ne všem je totiž příjemné, že by vše měla mít pod palcem instituce z USA. Proto se celý proces co možná nejvíc otevřel a přizváni byli zástupci internetové komunity z celého světa.

I díky nim mohl vzniknout silný podpis "kořenové zóny", a pro případného útočníka je tak prakticky nemožné podvrhnout či napodobit DNSSEC podpis, tedy vydávat se za cizí doménu. Kdyby ale někdo disponoval celým klíčem, mohl by teoreticky napodobit podpis domény. Proto je důležité, aby nebyly klíče zcela dostupné jednotlivcům, ale pro každou manipulaci s nimi (i "jen" obnovu zálohy) bylo potřeba minimálně pěti ze sedmi zmíněných držitelů záložních karet.

Čech s klíčem k internetu: net bude bezpečnější

Zeptali jsme se Ondřeje Surého, vedoucího Laboratoří CZ.NIC, jednoho z 21 TCR ("důvěryhodných zástupců komunity") a držitele jedné ze sedmi záložních karet, na podrobnosti ohledně DNSSEC a souvisejících opatření.

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - Ondřej Surý při předávání klíče

Ondřej Surý při předávání klíče - (Zdroj fotografie)

Kolik je celkem těch "důvěryhodných osob"?
Celkový počet TCR (Trusted Community Representatives) je 21. Existuje 7 Crypto Officers pro každou lokalitu (Culpeper, VA a El Segundo, CA), kteří mají klíče k bezpečnostní schránce v trezoru.

Co je to za klíče na oněch kartách, které drží TCR (Vy a šest dalších), a k čemu mohou být tyto klíče použity?
Držitelé karet se jmenují RKSH (Recovery Key Share Holder). Na kartách je část klíče symetrické šifry, která je používaná pro zakódování dat uvnitř HSM modulu (HSM - Hardware Security Module). Tyto klíče (minimálně 5 karet ze 7) mohou být použity společně se zálohou KSK klíče pro obnovení provozu v dalším nezávislém HSM modulu, a to v případě, že by došlo ke zničení všech čtyř dalších HSM (HSM, který používá ICANN) v obou lokalitách ICANNu.

V jakém případě by tyto karty mohly být použity?
V případě, že by došlo ke znefunkčnění všech aktivních HSM modulů (celkem 4).

Správce domén prvního řádu

IANA a ICANN

IANA byla instituce zřízená a placená US vládou v rámci rozvoje Internetu, později přešla pod ICANN. Historie se datuje až k počátkům internetu v roce 1972, jméno IANA zaznívá poprvé roku 1990. ICANN vznikl roku 1998 na popud americké vlády (Clintona a později Bushe mladšího), jde o neziskovou společnost dohlížející na různé úkony týkající se Internetu a jeho správy, které dříve přímo nebo zprostředkovaně vykonávala vláda. ICANN má sídlo v Kalifornii.

ICANN = Internet Corporation for Assigned Names and Numbers

IANA = Internet Assigned Numbers Authority

A k čemu by sloužily?
Společně se zálohou KSK klíče by byly použity k obnovení regulérního provozu podpisu kořenové zóny.

Proč bylo zvoleno takovéto řešení, které trochu připomíná Pána prstenů?
Tento postup byl zvolen proto, aby se zvýšila důvěra v celý proces podpisu kořenové zóny. Tím, že byli do procesu podpisu kořenové zóny přizváni zástupci internetové komunity, byla zajištěna vyšší kontrola celého procesu podpisu kořenové zóny.

Co je tzv. pravý KSK klíč a jaký je důvod jeho existence?
"Pravý KSK klíč" je možná trochu zavádějící označení, které bylo zvoleno pro odlišení od KSK klíče, který byl používaný v testovacím provozu. KSK klíč je vstupní bod do hierarchie důvěry, kterou DNSSEC vytváří v DNS stromu. Jeho výměna v případě kompromitace je velmi náročná a proto je zapotřebí nejvyšší stupeň ochrany, který je na úrovni ochrany kořenových certifikátů Certifikačních autorit.

Jaké jsou hlavní změny pro běžného uživatele?
Podpis kořenové zóny nepředstavuje pro koncového uživatele žádnou změnu. Tento krok má zásadní význam pro bezpečnost systému doménových jmen (DNS), který je takovou páteří celého internetu.

Zdroje a odkazy:

Autor:
  • Nejčtenější

Za celosvětový kolaps IT systémů může nečekaně absurdní chyba

Nepovedená aktualizace bezpečnostního softwaru společnosti Crowdstrike způsobila pád počítačů a serverů s operačním systémem Windows do „modré obrazovky smrti“. Ani po restartu se nespustí. Některé...

19. července 2024  11:01,  aktualizováno  18:52

Ilustrátora Wintera věznili nacisté. Kreslil erotické i historické vtipy

Malíř, karikaturista, ilustrátor a humorista Jiří Winter-Neprakta, který se narodil před 100 lety, byl rekordmanem v počtu kreslených vtipů, zajímal se však například i o antropologii a tajemno všeho...

14. července 2024

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Padouši dostali další balík ukradených hesel. Není tam náhodou i to vaše?

Aktualizovaná databáze deseti miliard ukradených hesel koluje po internetu a je k dispozici kyberpadouchům. Ověřte, zda tam není i vaše heslo. V textu vás naučíme používat jedinečná a silná hesla,...

15. července 2024

KOMENTÁŘ: Požárů fotovoltaik může přibývat. Rizikoví jsou patlal a kutil

Požár nebo výbuch je asi to poslední, co by si majitel rodinného domu přál. V příštích letech jich může přibývat v souvislosti s tím, jak budou stárnout některé nepovedené fotovoltaické instalace ze...

15. července 2024

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Vyzkoušeli jsme 3D tiskárnu pro děti. Je to hračka, která tiskne hračky

Pod značkou Kidoodle míří na trh 3D tiskárna určená přímo pro děti. Spoustu hotových modelů připravených k tisku k ní výrobce přibalil, tisknout však můžete i vlastní výtvory. Má své mouchy, ale...

19. července 2024

Jak dlouho budou naše stopy na Měsíci ještě patrné? 55 let od Apolla 11

O tom, jak důležitý okamžik nastal v oblasti vesmírného výzkumu před 55 lety, když člověk poprvé přistál na Měsíci, máme možnost se opakovaně přesvědčovat i v současnosti, kdy se ukazuje, že i s...

20. července 2024

Za celosvětový kolaps IT systémů může nečekaně absurdní chyba

Nepovedená aktualizace bezpečnostního softwaru společnosti Crowdstrike způsobila pád počítačů a serverů s operačním systémem Windows do „modré obrazovky smrti“. Ani po restartu se nespustí. Některé...

19. července 2024  11:01,  aktualizováno  18:52

GLOSA: Nikdo nevěděl, jestli IT výpadek není jen začátek kolapsu více systémů

Páteční celosvětový výpadek IT systémů poléval horkem profesionály zejména v letectví. Z toho, co se nám podařilo zjistit od lidí z oboru, kteří si ovšem nepřáli být jmenováni, se v žádném případě...

19. července 2024  14:49

Vyzkoušeli jsme 3D tiskárnu pro děti. Je to hračka, která tiskne hračky

Pod značkou Kidoodle míří na trh 3D tiskárna určená přímo pro děti. Spoustu hotových modelů připravených k tisku k ní výrobce přibalil, tisknout však můžete i vlastní výtvory. Má své mouchy, ale...

19. července 2024

Za celosvětový kolaps IT systémů může nečekaně absurdní chyba

Nepovedená aktualizace bezpečnostního softwaru společnosti Crowdstrike způsobila pád počítačů a serverů s operačním...

IT problémy způsobily kolaps bank i letišť. V Evropě i jinde ve světě

Řadu zemí v pátek zasáhly problémy s počítačovými systémy. Letiště kvůli výpadku čelila potížím s odbavováním letů,...

Zemřela Shannen Doherty. Hvězda Beverly Hills 90210 podlehla rakovině

Po téměř deseti letech boje s rakovinou zemřela americká herečka Shannen Doherty, informují média. Proslavil ji seriál...

Princezna Kate přišla s dcerou na Wimbledon, setkala se i s Krejčíkovou

Princezna Kate (42) přišla na mužské finále letošního Wimbledonu spolu se svou dcerou Charlotte (9). V zákulisí se...

Piju každý den. Dřív nebo později se upiju k smrti, líčí bývalý fotbalista Fenin

Fotbalista Martin Fenin (37) neprožívá nejlepší období. Nejen, že mu nevyšlo manželství s policistkou Beatou, se kterou...