APNIC文摘— DNSSEC簽署金鑰更新儀式

本APNIC文摘原標題為DNSSEC KSK Ceremony 43,由Cameron Steel撰文。

2021年即將邁入尾聲,這也代表又到了DNS界鮮為人知但舉足輕重的季度盛事,域名系統安全擴充(Domain Name System Security Extentions,DNSSEC)簽署金鑰(Key Signing Key,KSK)汰換儀式舉行的時間。這是第43次KSK儀式,已於今(2021)年10月14日(美國時間)於美國維吉尼亞順利落幕。

本文作者自承是此儀式的熱心粉絲,每次儀式舉行時都會全程觀看直播並於個人推特實況轉播。他過去也寫過長文介紹何謂DNSSEC簽署金鑰汰換儀式,以下是簡短版本的介紹:

大眾熟知的域名(如google.com、twitter.com等)都是透過域名系統(DNS)發配並保存紀錄。DNS的架構由樹狀階層的伺服器所組成,每個伺服器都有自己負責的區(zone)。簡單來說,一個區就是特定前綴(suffix)下的所有域名清單。以google.com.au為例,這個域名中就是在.au區下的com.au區下的google.com.au區。

在各種區中,最重要的就是根區(root zone)。根區在DNS階層的最頂端,含有所有頂級域名(top-level domain,TLD)的資訊。網際網路發明初期,由於使用人數不多、技術等級不足等種種原因,並未特別重視DNS訊務的隱私和安全。所有DNS查詢都是公開的,這也代表任何人都可以輕而易舉地竊聽或從中攔截、調包DNS查詢內容。實例而言,使用者欲前往Google而送出DNS查詢後,有心人士可從中攔截並調包傳回使用者電腦的回應封包,藉此將使用者帶到完全不同的網站。

隨著時間演進,也出現許多新的加密協定用來保護DNS訊務安全,如傳輸層安全協定(Transport Layer Security,TLS)。但如果希望從根本確保DNS資料正確,就需要DNSSEC。DNSSEC建立從域名到根區的驗證鏈,透過每層驗證確保DNS資料的正確性。任何驗證鏈都需要一個最終定錨,而在DNSSEC中,這個定錨就是根區的簽署金鑰(Root Key Signing Key,Root KSK)。

根區KSK作為DNSSEC驗證的定錨,自當加倍安全及透明的對待,才能確保網際網路社群的信任。每季舉辦的儀式就是此透明度的重要一環,唯有在此儀式中,受指派的特別代表才有權存取根區KSK,並重新生成未來3個月DNSSEC使用的數位簽章。

第40屆KSK金鑰汰換儀式於2020年2月舉行,也是COVID-19全球疫情爆發前的最後一場實體儀式。儀式當天發生了眾人皆未料想到的意外——在儀式前的例行檢查中,相關人員發現「保險庫的保全機制運作不良」,導致他們「無法接觸存有重要儀式元件的保險箱」。白話來說,就是他們被鎖在自己管的保險庫外面了。

這個保險庫的保全機制顯然真正固若金湯,因為儀式整整延遲了三天才再度舉行,也因為嚴重延期,原訂的硬體安全模組(Hardware Security Module,HSM)HSM3銷毀作業都延至第42屆儀式舉行。

依慣例,每次KSK金鑰汰換儀式需邀請指定社群代表到場見證。然而,COVID-19疫情下,請這些來自全球各地的社群代表都飛到美國,擠進一個小房間裡見證儀式再也不可行。也因此,第41及42屆儀式都大幅調整形式,盡力確保所有參與人員的健康安全。

最主要的形式調整包括除必要人員外,所有其他人員都以遠端形式參與;過去儀式皆於加州、維吉尼亞洲輪流舉行,但自40屆開始儀式都僅於加州舉辦;第41屆儀式更一次生成了可以用9個月的數位簽章,以降低儀式舉行的頻率。

那個因為保險庫打不開而來不及銷毀的HSM3,現在也還留在加州場館中等待銷毀。但第43屆儀式也還不會展開銷毀作業,因為隨著疫情趨緩,這次儀式總算要回歸至維吉尼亞州舉行了。

這次是2019年11後,KSK金鑰汰換儀式總算再次於維吉尼亞州的場館舉行。為避免再次發生保險庫打不開的意外插曲,維吉尼亞場館今年6月就已經先打開保險庫改過密碼,所幸正式儀式當天,也沒有任何意外發生。

第43屆儀式比起前兩屆,也更類似過去的形式。本屆儀式僅生成3個月份量的數位簽章,也會有三位加密負責人(Crypto Officer)在場執行儀式。其他見證人,包括Verisign代表、外部稽核代表,以及第四位作為備案人選的加密負責人,都仍以遠端方式出席。第四位備案加密負責人持有的保險箱鑰匙,也在儀式前以防竄改封裝包裹寄到現場。

除了例行的簽章生成作業外,第43屆儀式還啟用了新的HSM(HSM6E)。除了參考IANA對儀式說明的網站外,身為此儀式的資深粉絲,作者這次也有透過推特實況轉播此儀式。若有興趣,也可觀賞YouTube直播影片紀錄。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為DNSSEC KSK Ceremony 43

圖片來源:APNIC Blog

回到頂端