Download - Dnssec in UA - Talk at UAdom 2011
DNSSEC в домене .UA
Дмитрий КохманюкUAdom
2011
Как пройти к Верховной Раде
Угрозы на пути
Как работает DNSSEC
• Администратор rada.gov.ua подписывает адресную информацию цифровой подписью
• Подпись состоит из открытой и закрытой частей. Открытая часть публикуется
• Пользователь получает подпись вместе с ответом DNS-сервера и может проверить подпись с помощью открытого ключа
Как работает DNSSEC. Иерархия
Как работает DNSSEC. Корень
• Каждый вышестоящий узел удостоверяет подписи нижестоящих узлов
• Корневой узел уже подписан• Пользователь получает корневую подпись
по каналам, независимым от DNS:– Вместе с операционной системой– Вместе с интернет-броузером
Как работает DNSSEC. Противоречие
• Ключ должен быть сложным, чтобы его нельзя было бы взломать быстро
• Ключ должен быть коротким, чтобы его могла передать система DNS
• Короткие ключи надо менять часто, но часто переподписывать домены невозможно
• Выход: Суперключ (KSK)
Как работает DNSSEC. Суперключ
• У каждого домена есть сложный суперключ (KSK), который меняется один раз в год.
• С помощью этого суперключа администратор домена создают простые ключи
• Ключи слабые, но они часто меняются.
План
Тестирование в UA.UA
• Специальный домен• Ключ сгенерирован на "Мастерской IPv6» 8
ноября 2011• Зона подписана с помощью утилит bind 9.7
(DNSSEC for Humans)• Открытая часть ключа опубликована
http://hostmaster.ua/dnssec
Подготовка
• Переход инфраструктуры на bind 9.8+
• Отдельные сервера подписания и публикаций
• Возможно использование DLV
Тестирование подписания .UA
Выбор алгоритма
RSAMD5 DSA
RSASHA1 DSA-NSEC3-SHA1
RSASHA1-NSEC3-SHA1 DH
RSASHA256 ECC
RSASHA512 ECC-GOST
Потенциальные сложности
• GOST – нет полноценной поддержки
• Алгоритм, поддерживаемый в IANA RZM
• Безопасное хранение ключей
Запуск
• Генерация ключа – сегодня• Параметры RSASHA512, 2048/1024 bits • Тестирование в копии домена• Публикация контрольной суммы
публичного ключа в IANA и на наших собственных ресурсах
Сопровождение
• Ротация ключей: суперключ (KSK) – 3 года, ZSK – 3 месяца
• Украинский алгоритм эллиптических кривых (необходим RFC)
Вопросы? www.hostmaster.ua Whois.ua [email protected]