|
|
ICANN已經(jīng)將新的根區(qū)密鑰簽名密鑰更新名稱服務(wù)器的期限推遲到2018年初.
1.jpg (31.31 KB, 下載次數(shù): 591)
下載附件
遠(yuǎn)程控制
2017-9-30 11:56 上傳
互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN)管理互聯(lián)網(wǎng)名稱空間,已經(jīng)進(jìn)行了為期一年的努力���,以更新用于保護(hù)域名系統(tǒng)(DNS)免受濫用的密碼密鑰。用于保護(hù)DNS的新的根區(qū)“密鑰簽名密鑰”(KSK)是去年生成的�。
運(yùn)營(yíng)自己的遞歸名稱服務(wù)器的互聯(lián)網(wǎng)服務(wù)提供商,硬件制造商和企業(yè)���,并在10月11日之前使用域名系統(tǒng)安全擴(kuò)展(DNSSec)驗(yàn)證來保護(hù)他們的域��,在公鑰部分更新系統(tǒng)�����。當(dāng)天��,ICANN計(jì)劃“滾動(dòng)”����,開始使用新的根區(qū)域密鑰簽名域名。如果系統(tǒng)沒有使用新的公鑰更新�����,則在2018年最終撤銷舊密鑰時(shí)��,DNSSEC驗(yàn)證將失敗并導(dǎo)致DNS中斷��。
根據(jù)ICANN從根區(qū)域服務(wù)器獲得的數(shù)據(jù)���,ISP和大型網(wǎng)絡(luò)運(yùn)營(yíng)商使用的“大量”解析器不能使用新密鑰����。更新用于保護(hù)互聯(lián)網(wǎng)基礎(chǔ)服務(wù)器的加密密鑰是非常狡猾的挑戰(zhàn)��,因此更改截止日期并為網(wǎng)絡(luò)運(yùn)營(yíng)商提供更多時(shí)間是有意義的�。不要離開多達(dá)6000萬人。
我們確定了這些可能對(duì)其成功產(chǎn)生不利影響并可能對(duì)許多最終用戶的能力產(chǎn)生不利影響的新問題后��,進(jìn)行翻轉(zhuǎn)將是不負(fù)責(zé)任的����!癐CANN總裁Goran Marby說。 “我們寧愿謹(jǐn)慎合理地進(jìn)行�。”
ICANN沒有公布新的截止日期�����,但說轉(zhuǎn)帳將重新安排到2018年第一季度�。行政機(jī)構(gòu)將使用該擴(kuò)展程序與其確定與其合作解決問題的ISP和網(wǎng)絡(luò)運(yùn)營(yíng)商進(jìn)行聯(lián)系。
缺少最后期限將對(duì)常規(guī)互聯(lián)網(wǎng)用戶造成嚴(yán)重后果����。 ICANN估計(jì)大約7.5億人使用DNSSEC服務(wù)器提供的信息瀏覽網(wǎng)頁�����;ヂ(lián)網(wǎng)安全先驅(qū)Paul Vixie現(xiàn)任首席執(zhí)行官兼創(chuàng)始人之一���,“遭受損失的人將是那些遞歸名稱服務(wù)器運(yùn)營(yíng)商執(zhí)行DNSSec驗(yàn)證但未在出版前期間正確接收,存儲(chǔ)和配置新密鑰的用戶”遠(yuǎn)見安全���。
DNSSEC的最終根密鑰
域名系統(tǒng)(DNS)作為互聯(lián)網(wǎng)的電話簿��,將IP地址轉(zhuǎn)換為易于記憶的域名��。然而�����,DNS的分布式特性使得系統(tǒng)易于劫持��,因?yàn)橛脩敉ㄟ^DNS緩存中毒或DNS欺騙被轉(zhuǎn)移到欺詐性站點(diǎn)���。 2010年推出的DNSSEC協(xié)議通過使用加密密鑰對(duì)來驗(yàn)證和驗(yàn)證DNS查找的結(jié)果來阻止劫持��。如果DNS響應(yīng)被篡改�����,則密鑰不匹配�����,并且瀏覽器返回錯(cuò)誤�����,而不是將用戶發(fā)送到錯(cuò)誤的目的地�����。
DNSSEC作為一個(gè)層次結(jié)構(gòu)����,不同的身體負(fù)責(zé)每個(gè)層,并在下面的層中簽名實(shí)體的密鑰���。密鑰簽名密鑰是密鑰公鑰 - 私鑰對(duì)���,根區(qū)KSK保護(hù)層次結(jié)構(gòu)的最上層,DNSSEC驗(yàn)證的錨點(diǎn)����。
DNS解析器依賴于KSK從根區(qū)域通過系統(tǒng)的每個(gè)層建立的信任鏈,以驗(yàn)證他們對(duì)他們的查詢獲得良好的結(jié)果�����。給定的IP地址確實(shí)解決了該域���。
鑰匙沒有任何錯(cuò)誤 - 它沒有被盜或被篡改 - 但是定期旋轉(zhuǎn)簽名密鑰是很好的安全措施����,所以即使它落入錯(cuò)誤的手中�,每個(gè)人都已經(jīng)在使用較新的更強(qiáng)的密鑰。例如��,在更新到更新��,更強(qiáng)的鍵之前����,沒有理由等待發(fā)生不好的事情 - 關(guān)鍵是被破解。
美國(guó)計(jì)算機(jī)應(yīng)急小組(US-CERT)在最近的一份咨詢文件中寫道:“更新DNSSEC KSK是一個(gè)重要的安全措施���,類似于更新PKI根證書��。 “保持最新的根KSK作為信任錨點(diǎn)對(duì)于確保DNSSEC驗(yàn)證DNS解析器在翻轉(zhuǎn)后繼續(xù)運(yùn)行至關(guān)重要������!
翻轉(zhuǎn)過程遇到故障, 遠(yuǎn)程控制
全球技術(shù)社區(qū)的ICANN和志愿者在過去五年中花費(fèi)了過去五年的時(shí)間來開發(fā)���,審查���,改進(jìn)和測(cè)試翻轉(zhuǎn)計(jì)劃��,然后在去年通過生成新的KSK開始該過程����。 7月份�����,ICANN發(fā)布計(jì)劃�����,概述了翻轉(zhuǎn)KSK所需的步驟�����,以便ISP���,企業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)商�,硬件制造商和執(zhí)行DNSSEC驗(yàn)證的其他人員可以使用密鑰對(duì)的公共部分更新其系統(tǒng)��。即使新的密鑰簽名密鑰將在十月份開始用于簽署域名,DNSSEC將支持舊的和新的密鑰��,直到2018年初��,讓大家有時(shí)間完成翻轉(zhuǎn)過程���。
“運(yùn)營(yíng)商可能會(huì)在其系統(tǒng)中安裝新密鑰可能有多個(gè)原因:一些可能沒有正確配置其解析器軟件,并且一個(gè)廣泛使用的解決程序程序中最近發(fā)現(xiàn)的問題似乎不會(huì)自動(dòng)更新密鑰�����,因?yàn)樗鼞?yīng)該由于仍在探索的原因���,“ICANN說���。
這也可能是一個(gè)意識(shí)問題 - 足夠的運(yùn)營(yíng)商不了解部署過程。 Vixie說:“ICANN正在按時(shí)開始使用私有部分[簽署域名]�����。
Vixie說�����,這個(gè)多步驟,多年過程中最具挑戰(zhàn)性的部分是監(jiān)督計(jì)劃的發(fā)展�,尋求廣泛的審查和批準(zhǔn),并獲得多個(gè)互聯(lián)網(wǎng)治理組織的批準(zhǔn)來執(zhí)行計(jì)劃�。 CTO的ICANN辦事處已經(jīng)做了很大的努力;技術(shù)實(shí)施和宣傳過程很容易。
許多組織運(yùn)營(yíng)有效的名稱服務(wù)器�,包括ISP,企業(yè)��,大學(xué)���,小型辦公室��,甚至愛好用戶���。大多數(shù)這些遞歸名稱服務(wù)器可能已經(jīng)通過其正常的軟件更新過程從供應(yīng)商處獲得了帶外關(guān)鍵更新,或者計(jì)劃在接下來的幾周內(nèi)收到一個(gè)更新����。
ICANN建議網(wǎng)絡(luò)運(yùn)營(yíng)商和ISP確保其系統(tǒng)準(zhǔn)備好進(jìn)行新的翻轉(zhuǎn)數(shù)據(jù),并利用其測(cè)試平臺(tái)確保解析器的配置正確��。管理員需要手動(dòng)更新缺少RFC 5011支持(自動(dòng)更新)的DNSSEC驗(yàn)證器����,因?yàn)樗鼈儾粫?huì)自動(dòng)接收��,存儲(chǔ)和配置新密鑰�。在此期間�,離線的任何DNSSEC驗(yàn)證者在理論上可以在新密鑰全部生效后自動(dòng)更新,但是只有在舊密鑰正式退出之前����,這些驗(yàn)證器在3月之前在線�����,才會(huì)發(fā)生���。
在理論上���,DNSSEC驗(yàn)證器可能錯(cuò)過所有的更新機(jī)會(huì),而不是從其根信任錨接收新的密鑰�。如果是這種情況,則當(dāng)舊密鑰被撤銷時(shí)���,該驗(yàn)證器將會(huì)從2018年3月起從根服務(wù)器所收到的所有響應(yīng)中的DNSSEC驗(yàn)證失敗����。 Vixie說,這種情況最有可能發(fā)生在測(cè)試實(shí)驗(yàn)室��,而不是生產(chǎn)網(wǎng)絡(luò)���。
雖然大多數(shù)名稱服務(wù)器都被自動(dòng)更新��,但每個(gè)遞歸的驗(yàn)證名稱服務(wù)器操作員都應(yīng)手動(dòng)檢查�,以確保新密鑰已經(jīng)被接收��,存儲(chǔ)和配置以供驗(yàn)證使用����。沒有必要等到DNSSEC驗(yàn)證失敗才能發(fā)現(xiàn)更新不完整。
DNSSEC驗(yàn)證對(duì)聯(lián)邦機(jī)構(gòu)是強(qiáng)制性的����,私營(yíng)部門的采用速度很慢。即使如此��,ICANN估計(jì)全球有7.5億人依靠DNSSEC驗(yàn)證�,并將受到翻轉(zhuǎn)影響。雖然在理論上可以估計(jì)有多少企業(yè)準(zhǔn)備在截止日期之前���,執(zhí)行DNSSEC驗(yàn)證的面向公眾的遞歸名稱服務(wù)器的數(shù)量非常少�����,但對(duì)于預(yù)測(cè)全部人口的結(jié)果來說����,這將是“無用的”,Vixie說, 遠(yuǎn)程控制���。
ICANN決定放慢速度�����,因?yàn)橛刑噙\(yùn)營(yíng)商尚未準(zhǔn)備好。它將繼續(xù)評(píng)估和重新評(píng)估�,但在這一點(diǎn)上,由信任鏈中的所有其他人來做����。 “從這個(gè)意義上說,我們正在從DNSSEC的相當(dāng)稀疏和狹隘的采用中獲益�。”Vixie說���,他指出�����,社區(qū)由晚期采用者和詳細(xì)了解這些問題的人主導(dǎo)�����。 “過去幾年來���,只有一個(gè)在火星上生活過的早期采用者才會(huì)有麻煩����!
Vixie說�����,他對(duì)如何設(shè)計(jì)和執(zhí)行翻轉(zhuǎn)實(shí)施計(jì)劃感到非常深刻��。按照計(jì)劃進(jìn)行翻轉(zhuǎn)的事實(shí)使得有可能定期進(jìn)行這種關(guān)鍵輪換���。預(yù)計(jì)在2022年的下一輪。
“我早點(diǎn)預(yù)測(cè)�����,這不可能做得比我所看到的更多的延遲和痛苦,”Vixie說���。 “在不久的將來�����,它將不再具有新聞價(jià)值���。”
編者注:這個(gè)故事更新了��,以反映當(dāng)前的KSK是2,048位RSA密鑰�����,而不是原來報(bào)道的1024位RSA密鑰�。
|
|
加載中...
發(fā)表于 2017-9-30 11:56:26
QQ好友和群
收藏