根服务器密钥见证仪式或因疫情作应急调整
新冠病毒疫情在全球爆发,同样影响到互联网界一季度一次的根区秘钥签署见证仪式。这是一个为了保障全球DNS根服务器安全运行而形成的机制。该机制由ICANN制定,让来自全球的数名受托社群代表(TCRs)聚集于美国,现场见证根区KSK密钥的使用情况。
4月23日,是该仪式原定在2020年第二季度举行的时间。然而,由于疫情的原因,仪式基本不能按预期举行。针对此,互联网数字分配机构IANA服务部副总裁Kim Davies日前发文,他表示,新冠病毒流行对根区密钥签署仪式的举行产生了影响,为此,他提出三种替代常规密钥签署仪式的方案。
以下为全文
同事们:
IANA团队和其他的ICANN组织一直在认真考虑冠状病毒大流行及其对根区密钥签名密钥(Key Signing Key,简称KSK)运作的影响。
KSK管理的核心是举行"密钥签署仪式",该仪式由世界各地的受托社群代表(trusted community representatives,简称TCRs)参加,代表们一起在仪式现场见证根区KSK私钥的使用情况。除了第三方审计等更常见的控制措施,IANA希望用这种方法寻求在更广泛的社区中建立起对密钥的信任,相信密钥没有被泄露。
鉴于目前发生的全球疫情事件,我们围绕如何在短期内举行密钥仪式制定了应急计划。最终,我们确定了一套渐进式的方案,归纳起来包括:
方案1:按计划在4月23日举行下一次仪式,并且全球范围内的参与者能达到法定人数。
方案2:选择不同的日期举行下一次仪式,并且只选择美国的代表参加。
方案3:按照我们的灾后恢复程序举行下一次仪式,该程序规定只有工作人员参加仪式(即没有TCR会在现场参与)。
总的来说,我们的目标是从方案1开始,如果不可能的话,就采用方案2,以此类推。然而,目前我们的重点是围绕方案3制定计划。
目前,本季度仪式的时间安排比以往更早(一般在5月举行),仪式将为7月的生产密钥产生签名。我们的应急计划包括:
1.由最低要求人数的工作人员(约6人)举行仪式。
2.使用3个TCRs的凭证,或者他们能将其访问密钥以安全的方式在仪式前运送到我们这里,或者我们强行破坏保管他们安全凭证的保险箱。
3.仪式将在常规的审计范围内举行,允许所有人都能远程见证仪式的过程,并为TCR提供远程参与仪式过程的机会。
4.对今后一个或多个季度的密钥材料进行签名,以缓解在2020年晚些时候再次举行仪式的需求,防止到时情况恶化导致仪式无法举行(额外做的签名在被使用前将被妥善安全地保管)。
我们的密钥管理设施在设计时就考虑了只有工作人员参与仪式的灾后恢复能力,但这相对正常运行将是一个重大变化,我们希望促进更广泛的社会各界代表来了解这项工作。我们已经征求了直接参与密钥仪式的人员--包括TCRs、供应商和审计人员的意见,得到了广泛的支持。
如果您有任何具体的反馈意见想与我们的团队分享,请让我知道或在本邮件主题下回复。我们将在最后确定计划时予以考虑。
谢谢你的支持。
Kim Davies
IANA服务部副总裁,ICANN
PTI主席
(注:PTI:Public Technical Identifiers,简称PTI,是ICANN设立的子公司,在美国国家电信管理局(NTIA)移交IANA职能监管权后,负责IANA职能运行。)
根区秘钥签署仪式为什么这么重要?这需要从根服务器及安全扩展协议DNSSEC说起。
根服务器是域名系统(Domain Name System,DNS)根区的域名服务器。根服务器负责响应通常由互联网服务提供商运营的DNS解析器所提出的DNS查询请求。当查询请求与某根区相关时,则相应的根服务器将会给出权威答复。
根服务器记录着全球互联网根域名解析信息。鉴于对DNS根服务器的安全性考虑,上世纪90年代后期,IETF成立了工作组专门研究DNSSEC安全扩展协议(DNS Security Extensions),利用经典的加密算法和签名机制,完善了原有DNS体系的不足之处,从而形成一整套的DNSSEC解决方案。
理论上,如果有足够的时间和数据,加密密钥最终会被破解,从而使DNSSEC提供的保护失效。为此,DNSSEC使用域签名秘钥(Zone-Signing Key,ZSK,一种短期密钥)来定期计算DNS记录的签名,同时使用密钥签名密钥(Key Signing key,KSK,一种长期密钥)来计算ZSK上的签名,以使其可以得到验证,从而降低攻击者的破坏。ZSK每季度滚动更新,以使攻击者难以"猜测"。
KSK管理的机制是举行"密钥签署仪式",通常一年举行四次,每个季度一次。在这个仪式中,由ICANN选中的来自全球的数名受托社群代表(TCRs)被要求前往位于美国的一个特定安全区域,将一起在仪式现场见证根区KSK密钥的使用情况,以使得全球在更广泛的社区中建立起对密钥的信任,相信密钥没有被泄露。
在一个典型的仪式中,KSK用于签署一组ZSK操作,这些ZSK将在三个月内用于签署DNS根区域。仪式期间可能发生的其他操作包括任命新的密码官员,更换硬件,生成或更换KSK。
为防止域名劫持和诈骗、网络恐怖等重大全球性灾难,ICANN规定,每隔一段时间,保障根区服务器安全的程序需要重新登入根区以重新生效,即KSK轮转计划。
轮转KSK意味着生成新的加密密钥。这是一项重要的变更,因为每个使用DNSSEC的互联网查询都依赖于根区KSK来验证目标。新的密钥生成后,运营商(例如ISP)需要使用新密钥更新他们的系统,以便当用户尝试访问网站时,可以根据新的KSK对用户进行验证。
距离当前最近一次的根区KSK轮转是2018年10月11日,拥有KSK-2017签名的新版根区秘钥发布。在一段时间后,2019年1月11日,撤销旧密钥签名密钥(KSK-2010),完成秘钥的新旧交替。这也是KSK在2010年最初生成以来的第一次更换。
ICANN通过邀请TCRs参与根用户的密钥生成、密钥备份和密钥签名过程,提高广大互联网社区对DNSSEC安全机制的信心和接受度。目前全球一共有30位TCRs,其中包括中国专家姚健康。
受托社群代表(TCRs)名单(IANA官网截图)