DNS-systemets krypto-nøgler skiftes for første gang: Opdater eller bliv smidt af internettet

30. august 2017 kl. 05:105
DNS-systemets krypto-nøgler skiftes for første gang: Opdater eller bliv smidt af internettet
Illustration: bonekimages/Bigstockphoto.
Netværksoperatører, der ikke opdaterer, bliver effektivt smidt af internettet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

De kryptografiske nøgler, der sikrer internettets centrale adresse-bog, bliver opdateret i oktober – for første gang nogensinde.

Det er kritisk, at ISP’er og netværksoperatører er klar til overgangen. For dem, der ikke er det, bliver effektivt smidt af internettet, når den nye krypto-nøgle træder i kraft.

»Alle navneservere, der har DNSSEC-validering slået til, afhænger af denne nøgle,« forklarer Erwin Lansing, der er sikkerhedschef og teknisk konsulent hos DK-hostmaster.

»Så hvis ikke de opdaterer, bliver de så at sige lukket ude af internettet,« tilføjer han.

Artiklen fortsætter efter annoncen

Krypto-nøglerne er ikke blevet skiftet, siden de blev genereret i 2010. Siden da har de fungeret som udgangspunktet for DNS-sikkerhedssystemet DNSSEC, der forhindrer såkaldt DNS-spoofing.

Erwin Lansing, sikkerhedschef og teknisk konsulent hos DK-hostmaster.

DNSSEC

DNSSEC står for Domain Name System Security Extensions.

Systemet har til formål at autentificere kilden til DNS-data og betragtes generelt som en kritisk komponent i indsatsen for at sikre det fundamentalt usikre DNS-system.

DK-Hostmaster fik i 2010 signeret dk-domænet med DNSSEC.

Key Signing Key

DNSSEC fungerer ved at tilføje en kryptografisk signatur til hvert svar i DNS-processen, som hver for sig igen signeres af niveauet ovenover i hierarkiet.

Når en krypto-nøgle skal udskiftes, skal den nye nøgle signeres af den såkaldte Key Signing Key (KSK), der er ovenover i DNS-hierarkiet.

Artiklen fortsætter efter annoncen

Det vil sige, at en ny KSK for Version2.dk, skal signeres af DK-Hostmaster, hvis KSK er signeret af ICANN.

»ICANN har det problem, at de er roden, og dermed er der ikke noget niveau over dem,« forklarer Erwin Lansing.

»Deres KSK er derfor hard coded ind i DNS-serverne. Så når de skal skifte nøgle, er det en helt anden situation.«

#KeyRoll

Hvis nøglen teoretisk set blev skiftet, uden nogen domæne-servere opdaterede, ville ingen DNS-valideringer kunne udføres, fordi samtlige nøgler ned igennem DNS-hierarkiet med ét bliver ugyldige – og en stor andel af internetbrugere ville få sat stolen for døren.

Artiklen fortsætter efter annoncen

Derfor er ICANN godt i gang med at sikre, at processen bliver så smertefri som mulig.

Organisationens CEO, Göran Marby, har sendt besked til over 170 myndigheder for at bede dem om at prikke til netværksoperatører i de pågældende lande for at sikre, at de er klar til et nøgleskift.

Oveni beder ICANN også menige internetbrugere om at tage affære:

»Internet-brugere bør kontakte deres ISP eller netværksoperatør for at sikre, at de er klar til nøgle-skiftet,« skriver organisationen i en meddelelse.

Begivenheden har sågar fået sit eget hashtag – #KeyRoll – på Twitter.

»Netværksoperatører bør sikre, at de har opdateret software, har slået DNSSEC til og verificeret, at systemet kan opdatere nøglerne automatisk, eller have processer i plads til manuelt at opdatere til den nye nøgle klokken 1600 UTC d. 11. oktober 2017,« lyder budskabet fra ICANN.

Netværksoperatører kan afprøve, om deres system er klar til at opdatere automatisk på et test-platform, som ICANN har sat op til formålet.

Få proceduren på plads

Der er to grunde til, at ICANN vælger at sætte gang i det ellers besværlige nøgleskift, forklarer Erwin Lansing.

Det første argument er sikkerhed:

»Der er mange forskellige meninger om, hvor farligt det er sikkerhedsmæssigt. Spørgsmålet er, hvor sandsynligt det er, at nogen kan udregne nøglen på baggrund af det krypterede materiale. For jo mere materiale, desto nemmere bliver det at udregne nøglen,« fortæller Erwin Lansing.

Derfor er det best-practice at skifte nøglen med jævne mellemrum. DK Hostmaster selv skifter KSK hvert år.

»Det andet formål med at skifte nøglen er at sørge for, at proceduren er på plads, hvis man pludselig får brug for at skifte den hurtigt – f.eks. hvis nøglen bliver lækket,« fastslår Erwin Lansing.

Dobbelttjek

Den nye nøgle er annonceret i DNS-roden og kan allerede hentes nu. Den nye nøgle er signeret med den gamle nøgle, så man kan kontrollere dens ægthed. Samtidig bliver den nye nøgle længere - 2048 bit frem for de nuværende 1024 bit.

Mange DNS-softwarepakker kan selv automatisk installere den nye KSK, understreger Erwin Lansing. Ikke desto mindre er det værd at dobbelttjekke:

»Jeg vil opfordre alle, der driver en navneserver med DNSSEC-validering, til allerede nu at kontrollere, at den nye nøgle er sat op.«

»De sidste opgørelser, jeg har set, viser, at 65 procent af brugere i Danmark sidder bag navneservere, der bruger DNSSEC,« slutter sikkerhedschefen.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
31. august 2017 kl. 20:32

Skal vi, der bare kører en bind9 som caching nameserver, uden at publicere et domæne, gøre noget?

4
31. august 2017 kl. 11:03

@Erwin

du svarer "Den nøgle kan du få udleveret fra din navneserviceudbyder"

til en der netop siger af navneserviceudbyder "ikke udleverer nøgler til deres .dk domæner?"

Er du politikerer eller gik det bare lidt for hurtigt med de svar ?

3
31. august 2017 kl. 10:24

Hej Jan,

At DNSSEC er aktiveret i DK Hostmaster's selvbetjening, betyder at dit domæne vil være beskyttet af DNSSEC så snart vi modtager den nøgle der er brugt til at signere domænet. Den nøgle kan du få udleveret fra din navneserviceudbyder, eller din udbyder kan sende den direkte ind til os på dine vegne.

2
31. august 2017 kl. 09:02

Jeg har opgivet DNS hos one.com og har flyttet den del over til cloudflare for de kan nemlig godt finde ud af det :-)

1
30. august 2017 kl. 15:56

Gode råd når udbyderen (one.com) meddeler at de ikke understøtter (udleverer) DNSSEC nøgler til deres .dk domæner? Hostmaster har aktiveret DNSSEC for mine domæner, men det hjælper vel ikke meget når der ikke er tilknyttet en DNSSEC-nøgle?