DNSSEC в домене.UA Дмитрий Кохманюк UAdom 2011
Как пройти к Верховной Раде Сайт Верховной Рады DNS-сервер, получение IP-адреса Rada.gov.ua
Угрозы на пути Сайт-подделка DNS-сервер взломан, фальшивый IP-адрес Rada.gov.ua
Как работает DNSSEC Администратор rada.gov.ua подписывает адресную информацию цифровой подписью Подпись состоит из открытой и закрытой частей. Открытая часть публикуется Пользователь получает подпись вместе с ответом DNS-сервера и может проверить подпись с помощью открытого ключа
Как работает DNSSEC. Иерархия..UA.gov.uaRada.gov.ua….gov.ua.edu.ua….edu.ua.COM
Как работает DNSSEC. Корень Каждый вышестоящий узел удостоверяет подписи нижестоящих узлов Корневой узел уже подписан Пользователь получает корневую подпись по каналам, независимым от DNS: – Вместе с операционной системой – Вместе с интернет-броузером
Как работает DNSSEC. Противоречие Ключ должен быть сложным, чтобы его нельзя было бы взломать быстро Ключ должен быть коротким, чтобы его могла передать система DNS Короткие ключи надо менять часто, но часто переподписывать домены невозможно Выход: Суперключ (KSK)
Как работает DNSSEC. Суперключ У каждого домена есть сложный суперключ (KSK), который меняется один раз в год. С помощью этого суперключа администратор домена создают простые ключи Ключи слабые, но они часто меняются.
План Тестирование в поддомене Подготовка Запуск Сопровождение
Тестирование в UA.UA Специальный домен Ключ сгенерирован на "Мастерской IPv6» 8 ноября 2011 Зона подписана с помощью утилит bind 9.7 (DNSSEC for Humans) Открытая часть ключа опубликована
Подготовка Переход инфраструктуры на bind 9.8+ Отдельные сервера подписания и публикаций Возможно использование DLV
Тестирование подписания.UA
Выбор алгоритма RSAMD5DSA RSASHA1DSA-NSEC3-SHA1 RSASHA1-NSEC3-SHA1DH RSASHA256ECC RSASHA512ECC-GOST
Потенциальные сложности GOST – нет полноценной поддержки Алгоритм, поддерживаемый в IANA RZM Безопасное хранение ключей
Запуск Генерация ключа – сегодня Параметры RSASHA512, 2048/1024 bits Тестирование в копии домена Публикация контрольной суммы публичного ключа в IANA и на наших собственных ресурсах
Сопровождение Ротация ключей: суперключ (KSK) – 3 года, ZSK – 3 месяца Украинский алгоритм эллиптических кривых (необходим RFC)
Вопросы? Whois.ua