Perché DNSSEC ha una cerimonia di assegnazione dei tasti ridicola?

5

Ogni tre mesi, 7 persone volano su un server ICANN sicuro e passano attraverso una cerimonia elaborata per generare una nuova chiave di firma per DNSSEC. L'intera faccenda sembra essere basata sulla politica e non su alcun modello di sicurezza reale. Se le chiavi private non sono state compromesse, nessun altro può firmare alcun record, indipendentemente dal controllo delle apparecchiature esterne al server di firma.

Se stai caricando in prima istanza tutta la tua fiducia nell'avere le chiavi private protette, perché non dovrebbero semplicemente assicurarsi che il server di firma stesso si autodistruggerebbe se fosse manomesso? È possibile proteggersi da chiunque manipoli gli ingressi / uscite posizionando 3 di questi box a prova di manomissione in diverse località mondo e sincronizzando i loro output. Potrebbero essere ospitati in una base delle Nazioni Unite o in un luogo in cui la sicurezza è gestita congiuntamente da paesi con relazioni semi-contraddittorie (come la Cina e gli Stati Uniti) e monitorati tramite una webcam.

Le chiavi dovrebbero essere aggiornate solo se uno dei server viene disconnesso per qualsiasi motivo o se sono necessari aggiornamenti hardware.

    
posta Indolering 04.03.2014 - 06:16
fonte

3 risposte

1

In realtà ho parlato con qualcuno che lavora con uno dei portachiavi e ha a che fare con la lunghezza della chiave di zona. Fondamentalmente, c'è una chiave di firma delle chiavi (KSK) a 2048 bit che firma una ZSK (Zone Signing Key) a 1024 bit e viene generato un nuovo ZSK in ciascuna di queste riunioni. Questo avviene per motivi di prestazioni, devi già spingerti molto in un singolo pacchetto UDP da 520 byte.

DNSSEC ha anche reso l'amplificazione DNS un preferito per gli attacchi DDoS e Immagino che chiavi più lunghe peggiorerebbero la situazione.

    
risposta data 06.12.2014 - 02:58
fonte
5

In teoria, probabilmente hai ragione.

In pratica, è necessario testare regolarmente tutte le politiche, i processi e gli strumenti, altrimenti non si sa se i membri coinvolti sono in grado di eseguire la procedura.

Dall'esperienza personale, c'è un problema serio con l'autorità e le capacità nella gestione delle chiavi. Le persone che hanno l'autorità non hanno la capacità, e le persone con le capacità sono molto richieste e non rimangono abbastanza a lungo da poter dipendere. Anche le persone con capacità e autorità spesso non hanno la diligenza per stare al passo con i requisiti.

Prova a consegnare al tuo capo una chiavetta USB e digli "devi metterlo a portata di mano in casa, in una cassetta di sicurezza, o qualsiasi altra cosa. Devi assicurarti che non si corrompa nel tempo, ma che sia offline. È vitale che tu lo dia a chiunque ti sostituisca. " Non chiedergli quella chiave o parlare di quella chiave per due anni. Poi, dopo due anni, in caso di emergenza, chiedigli di volare in qualche datacenter con la chiave. O peggio, chiedi al tizio che lo ha sostituito.

Ora hai bisogno che 5 dei 7 boss simili in tutto il mondo si presentino e forniscano le loro chiavi.

Eseguendo periodicamente le procedure, ti assicuri che i processi siano almeno nei calendari delle persone e nelle menti delle persone. Sono presenti registri nei libri di controllo e errori nelle procedure possono essere corretti.

N. b., Non so molto della cerimonia per la firma della chiave DNSSEC, ho sfogliato i documenti solo un paio di volte, ma ho esperienza nella gestione delle cerimonie di firma delle chiavi e nelle politiche di sicurezza.

    
risposta data 04.03.2014 - 11:40
fonte
3

A volte la sicurezza è solo una cerimonia che vuoi vendere al mondo intero. Più grande è la cerimonia, sembra il più sicuro. A volte le imprese, per scopi commerciali, passano attraverso installazioni e cerimonie complicate per "vendere sicurezza".

D'altra parte, e spostando la politica e la sicurezza, non conosciamo i risultati dell'analisi di sicurezza, forse le implicazioni delle chiavi da scoprire o incrinare sono così enormi che possono solo correre il rischio durante tre mesi, e considera anche i costi di queste cerimonie, è solo minuscolo rispetto ai guadagni della compagnia. Puoi trovare la politica di sicurezza DNSSEC in questo link. Forse fornirà alcuni indizi.

Come ultima parola, sembra che tu stia ruotando il tuo schema su questo problema molto specifico, perché le scatole di manomissione funzionano meglio di questo schema? Perché è più sicuro o più appropriato?

    
risposta data 04.03.2014 - 08:45
fonte

Leggi altre domande sui tag