dnssec in ua - talk at uadom 2011
TRANSCRIPT
![Page 1: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/1.jpg)
DNSSEC в домене .UA
Дмитрий КохманюкUAdom
2011
![Page 2: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/2.jpg)
Как пройти к Верховной Раде
![Page 3: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/3.jpg)
Угрозы на пути
![Page 4: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/4.jpg)
Как работает DNSSEC
• Администратор rada.gov.ua подписывает адресную информацию цифровой подписью
• Подпись состоит из открытой и закрытой частей. Открытая часть публикуется
• Пользователь получает подпись вместе с ответом DNS-сервера и может проверить подпись с помощью открытого ключа
![Page 5: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/5.jpg)
Как работает DNSSEC. Иерархия
![Page 6: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/6.jpg)
Как работает DNSSEC. Корень
• Каждый вышестоящий узел удостоверяет подписи нижестоящих узлов
• Корневой узел уже подписан• Пользователь получает корневую подпись
по каналам, независимым от DNS:– Вместе с операционной системой– Вместе с интернет-броузером
![Page 7: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/7.jpg)
Как работает DNSSEC. Противоречие
• Ключ должен быть сложным, чтобы его нельзя было бы взломать быстро
• Ключ должен быть коротким, чтобы его могла передать система DNS
• Короткие ключи надо менять часто, но часто переподписывать домены невозможно
• Выход: Суперключ (KSK)
![Page 8: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/8.jpg)
Как работает DNSSEC. Суперключ
• У каждого домена есть сложный суперключ (KSK), который меняется один раз в год.
• С помощью этого суперключа администратор домена создают простые ключи
• Ключи слабые, но они часто меняются.
![Page 9: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/9.jpg)
План
![Page 10: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/10.jpg)
Тестирование в UA.UA
• Специальный домен• Ключ сгенерирован на "Мастерской IPv6» 8
ноября 2011• Зона подписана с помощью утилит bind 9.7
(DNSSEC for Humans)• Открытая часть ключа опубликована
http://hostmaster.ua/dnssec
![Page 11: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/11.jpg)
![Page 12: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/12.jpg)
Подготовка
• Переход инфраструктуры на bind 9.8+
• Отдельные сервера подписания и публикаций
• Возможно использование DLV
![Page 13: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/13.jpg)
Тестирование подписания .UA
![Page 14: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/14.jpg)
Выбор алгоритма
RSAMD5 DSA
RSASHA1 DSA-NSEC3-SHA1
RSASHA1-NSEC3-SHA1 DH
RSASHA256 ECC
RSASHA512 ECC-GOST
![Page 15: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/15.jpg)
Потенциальные сложности
• GOST – нет полноценной поддержки
• Алгоритм, поддерживаемый в IANA RZM
• Безопасное хранение ключей
![Page 16: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/16.jpg)
Запуск
• Генерация ключа – сегодня• Параметры RSASHA512, 2048/1024 bits • Тестирование в копии домена• Публикация контрольной суммы
публичного ключа в IANA и на наших собственных ресурсах
![Page 17: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/17.jpg)
Сопровождение
• Ротация ключей: суперключ (KSK) – 3 года, ZSK – 3 месяца
• Украинский алгоритм эллиптических кривых (необходим RFC)
![Page 18: Dnssec in UA - Talk at UAdom 2011](https://reader035.vdocuments.net/reader035/viewer/2022062419/55878a96d8b42a4c318b46be/html5/thumbnails/18.jpg)
Вопросы? www.hostmaster.ua Whois.ua [email protected]