APNIC文摘— DNSSEC簽署金鑰更新儀式

2021 / 11 / 16
作者：國際瞭望

2021 / 11 / 16
Author : 國際瞭望

分類：政策, 社群, 資安
Tags： APNIC, APNIC文摘, DNSSEC, KSK, 即時訊息, 國際瞭望

Categories : 政策, 社群, 資安
Tags : APNIC, APNIC文摘, DNSSEC, KSK, 即時訊息, 國際瞭望

本APNIC文摘原標題為DNSSEC KSK Ceremony 43，由Cameron Steel撰文。

2021年即將邁入尾聲，這也代表又到了DNS界鮮為人知但舉足輕重的季度盛事，域名系統安全擴充（Domain Name System Security Extentions，DNSSEC）簽署金鑰（Key Signing Key，KSK）汰換儀式舉行的時間。這是第43次KSK儀式，已於今（2021）年10月14日（美國時間）於美國維吉尼亞順利落幕。

本文作者自承是此儀式的熱心粉絲，每次儀式舉行時都會全程觀看直播並於個人推特實況轉播。他過去也寫過長文介紹何謂DNSSEC簽署金鑰汰換儀式，以下是簡短版本的介紹：

大眾熟知的域名（如google.com、twitter.com等）都是透過域名系統（DNS）發配並保存紀錄。DNS的架構由樹狀階層的伺服器所組成，每個伺服器都有自己負責的區（zone）。簡單來說，一個區就是特定前綴（suffix）下的所有域名清單。以google.com.au為例，這個域名中就是在.au區下的com.au區下的google.com.au區。

在各種區中，最重要的就是根區（root zone）。根區在DNS階層的最頂端，含有所有頂級域名（top-level domain，TLD）的資訊。網際網路發明初期，由於使用人數不多、技術等級不足等種種原因，並未特別重視DNS訊務的隱私和安全。所有DNS查詢都是公開的，這也代表任何人都可以輕而易舉地竊聽或從中攔截、調包DNS查詢內容。實例而言，使用者欲前往Google而送出DNS查詢後，有心人士可從中攔截並調包傳回使用者電腦的回應封包，藉此將使用者帶到完全不同的網站。

隨著時間演進，也出現許多新的加密協定用來保護DNS訊務安全，如傳輸層安全協定（Transport Layer Security，TLS）。但如果希望從根本確保DNS資料正確，就需要DNSSEC。DNSSEC建立從域名到根區的驗證鏈，透過每層驗證確保DNS資料的正確性。任何驗證鏈都需要一個最終定錨，而在DNSSEC中，這個定錨就是根區的簽署金鑰（Root Key Signing Key，Root KSK）。

根區KSK作為DNSSEC驗證的定錨，自當加倍安全及透明的對待，才能確保網際網路社群的信任。每季舉辦的儀式就是此透明度的重要一環，唯有在此儀式中，受指派的特別代表才有權存取根區KSK，並重新生成未來3個月DNSSEC使用的數位簽章。

第40屆KSK金鑰汰換儀式於2020年2月舉行，也是COVID-19全球疫情爆發前的最後一場實體儀式。儀式當天發生了眾人皆未料想到的意外——在儀式前的例行檢查中，相關人員發現「保險庫的保全機制運作不良」，導致他們「無法接觸存有重要儀式元件的保險箱」。白話來說，就是他們被鎖在自己管的保險庫外面了。

這個保險庫的保全機制顯然真正固若金湯，因為儀式整整延遲了三天才再度舉行，也因為嚴重延期，原訂的硬體安全模組（Hardware Security Module，HSM）HSM3銷毀作業都延至第42屆儀式舉行。

依慣例，每次KSK金鑰汰換儀式需邀請指定社群代表到場見證。然而，COVID-19疫情下，請這些來自全球各地的社群代表都飛到美國，擠進一個小房間裡見證儀式再也不可行。也因此，第41及42屆儀式都大幅調整形式，盡力確保所有參與人員的健康安全。

最主要的形式調整包括除必要人員外，所有其他人員都以遠端形式參與；過去儀式皆於加州、維吉尼亞洲輪流舉行，但自40屆開始儀式都僅於加州舉辦；第41屆儀式更一次生成了可以用9個月的數位簽章，以降低儀式舉行的頻率。

那個因為保險庫打不開而來不及銷毀的HSM3，現在也還留在加州場館中等待銷毀。但第43屆儀式也還不會展開銷毀作業，因為隨著疫情趨緩，這次儀式總算要回歸至維吉尼亞州舉行了。

這次是2019年11月後，KSK金鑰汰換儀式總算再次於維吉尼亞州的場館舉行。為避免再次發生保險庫打不開的意外插曲，維吉尼亞場館今年6月就已經先打開保險庫改過密碼，所幸正式儀式當天，也沒有任何意外發生。

第43屆儀式比起前兩屆，也更類似過去的形式。本屆儀式僅生成3個月份量的數位簽章，也會有三位加密負責人（Crypto Officer）在場執行儀式。其他見證人，包括Verisign代表、外部稽核代表，以及第四位作為備案人選的加密負責人，都仍以遠端方式出席。第四位備案加密負責人持有的保險箱鑰匙，也在儀式前以防竄改封裝包裹寄到現場。

除了例行的簽章生成作業外，第43屆儀式還啟用了新的HSM（HSM6E）。除了參考IANA對儀式說明的網站外，身為此儀式的資深粉絲，作者這次也有透過推特實況轉播此儀式。若有興趣，也可觀賞YouTube直播影片紀錄。

*台灣網路資訊中心（TWNIC）與亞太網路資訊中心（APNIC）合作，定期精選APNIC Blog文章翻譯摘要，提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為DNSSEC KSK Ceremony 43。

圖片來源：APNIC Blog