“sha-1 y la rotación de algoritmo en dnssec”...rsa dsa gost ecdsa se necesitan firmas md5 sha1,...
TRANSCRIPT
![Page 1: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/1.jpg)
“SHA-1 y la rotación dealgoritmo en DNSSEC”
Carlos Martínez, LACNICHugo Salgado, .CL
Foro Técnico LACNIC 33, Webinar.
![Page 2: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/2.jpg)
DNSSEC y los algoritmos● DNSSEC es criptografía asimétrica para el DNS● Se necesitan llaves
○ RSA○ DSA○ GOST○ ECDSA
● Se necesitan firmas○ MD5○ SHA1, SHA256, SHA384, SHA512
2
![Page 3: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/3.jpg)
¿Por qué es necesario rotar? (rollover)● Los algoritmos pueden sufrir ataques
○ fuerza bruta○ replay○ pre-computation
● Debe refirmarse y cambiar llaves○ Técnica KSK-ZSK
● También cambiar algoritmo cuando se vuelva criptográficamente inseguro.
3
![Page 4: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/4.jpg)
SHA-1 End-of-Life● MD-5 ya estaba muerto y sin uso● SHA-1 aproximándose a morir:
○ ataque de pre-computación○ nuevo de enero 2020
● Cambio de status de implementación● Dar de baja en software firmador● Escribir recomendaciones
4
![Page 5: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/5.jpg)
¿Cómo hacer una rotación de algoritmo?● Paso a paso (modo hacker)● Comandos de firma y timeline● Verificación
○ dig○ dnsviz○ zonemaster, dnssec-debugger, etc
● Más información:https://hugo.salga.do/post/615501933278642176/c%C3%B3mo-hacer-un-rollover-de-algoritmo-en-dnssec
5
![Page 6: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/6.jpg)
¿Cómo hacer una rotación de algoritmo? - paso 1
6
![Page 7: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/7.jpg)
¿Cómo hacer una rotación de algoritmo? - paso 2
7
![Page 8: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/8.jpg)
¿Cómo hacer una rotación de algoritmo? - paso 3
8
![Page 9: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/9.jpg)
¿Cómo hacer una rotación de algoritmo? - paso 4
9
![Page 10: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/10.jpg)
¿Cómo hacer una rotación de algoritmo? - paso 5
10
![Page 11: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/11.jpg)
¿Cómo hacer una rotación de algoritmo? - paso 6
11
![Page 12: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/12.jpg)
¿Cómo hacer una rotación de algoritmo? - paso 7
12
![Page 13: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/13.jpg)
… con OpenDNSSEC?
● Change the <Algorithm> field in the KASP (make sure to do this for both KSK and ZSK)
● Run policy import:○ ods-enforcer policy import○ ods-enforcer enforce
Source: https://wiki.opendnssec.org/pages/viewpage.action?pageId=10125376#HowdoI...?-Changethesigningalgorithm
13
![Page 14: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/14.jpg)
… con Bind?● Generate new keys
○ dnssec-keygen -L 24h -a 13 -f ksk <dominio>○ dnssec-keygen -L 24h -a 13 <dominio>
● Then get named to reload the keys:○ rndc loadkeys botolph.cam.ac.uk
● Update parent with new DS record● Decommission old algorithm
○ dnssec-settime -D now -I now <KEY>Source: https://www.dns.cam.ac.uk/news/2020-01-15-rollover.html
14
![Page 15: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/15.jpg)
… con Knot?
● Change “algorithm” in “policy” section
● Reload server
Source: https://www.knot-dns.cz/docs/2.7/html/operation.html#dnssec-key-rollovers
15
![Page 16: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/16.jpg)
Algorithms in-the-wild
16
![Page 17: “SHA-1 y la rotación de algoritmo en DNSSEC”...RSA DSA GOST ECDSA Se necesitan firmas MD5 SHA1, SHA256, SHA384, SHA512 2 ¿Por qué es necesario rotar? (rollover) Los algoritmos](https://reader033.vdocuments.net/reader033/viewer/2022053107/6074cb98555edd5b27105cf1/html5/thumbnails/17.jpg)
Llamado a acción● Verifique su algoritmo y planee su cambio si es SHA-1
○ $ dig <dominio> dnskey +short256 3 8 AwEAAb+TgVyeaGob…257 3 8 AwEAAfEG/xIgexdUN...
● Aún hay tiempo para planificar, pero no sabemos hasta cuándo.
● Si no lo hacemos a tiempo, los validadores pueden decidir dejar de dar soporte.
17