iis.se Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie Eklund Löwinder, CISO

Transkript

1 iis.se Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie Eklund Löwinder, CISO amel@iis.se

2 Vem är jag? Anne-Marie Eklund Löwinder Chief Information Security Officer, Invald i Internet Hall of Fame Ledamot Kungliga Svenska Ingenjörsvetenskapsakademien (IVA), Avdelning XII, Informationsteknik Styrelseledamot institutet för rättsinformatik, IRI, Stockholms universitet Medlem i MSB:s informationssäkerhetsråd

3 Kort om Internetstiftelsen i Sverige (IIS) Oberoende allmännyttig stiftelse med två huvudsakliga verksamhetsområden: Ansvar för drift och administration av toppdomänerna.se och.nu Främja utveckling och användning av internet i Sverige Som till exempel: Federationsoperatör för Skolfederation och Sambi Testorganisation för nya gtld:er på internet Bredbandskollen, Webbstjärnan, Internetdagarna, Internetmuseum, Internetstatistik, Internetguider med mera.

4 We live on trust; we are the trustees for the delegated domain, and have the duty to serve the community. (RFC 1591)

5

6 Nya RFC:er publiceras (2005): RFC4033, RFC4034, RFC4035 EMILEGRAPHICS, FLICKR CREATIVE COMMONS

7 2005 Sverige (.se) inför DNSSEC som den första toppdomänen i världen

8 Karola Riegler, Flickr CC-BY-ND via Wylio

9

10

11 Key Ceremony # 1

12 2010 Juni Första nyckelceremonin i Culpeper, Virginia Juli Ceremoni #2 i Los Angeles, Kalifornien Nyckelmaterial från ceremony #1 kopieras och lagras Q4/2010 KSR hanterad Den signerade rotzonen publicerades i DNS av VeriSign Tillitsankare för rotzonen publiceras av IANA

13 Första Root DNSSEC Design Team Joe Abley Mehmet Akcin David Blacka David Conrad Richard Lamb Matt Larson Fredrik Ljunggren Dave Knight Tomofumi Okubo Jakob Schlyter Duane Wessels

14 Hantering av DNSSEC i rotzonen ICANN (IANA sköter operativ drift) Kontrollerar nyckelsigneringsnyckeln (KSK), samma nyckel sedan starten 2010 KSK signerar varje kvartal zonsigneringsnyckel i en nyckelceremoni Verifierar och genomför ändringsärenden Verisign (distribuerar den signerade rotzonen) Hanterar zonsigneringsnyckeln som byts ut varje kvartal Skedde tidigare i enlighet med överenskommelse med US Department of Commerce NTIA, nu är det helt på ICANN:s ansvar

15 Nyckelgenerering och signeringsprocess av KSK för rotzonen De vägledande principerna bakom den övergripande designen är att resultatet måste vara trovärdigt och pålitligt vid varje tidpunkt

16 Revision och uppföljning Processer och rutiner ska revideras mot standarder som till exempel ISO/IEC 27002:2013, Information technology -- Security techniques -- Code of practice for information security controls

17 Hög säkerhetsnivå Systemen för rotzonen ska möta alla relevanta tekniska säkerhetskontroller enligt NIST SP som krävs för HIGH IMPACT system

18 Engagemang från internetkollektivet Trovärdiga representanter från internetsamfundet har bjudits in och har en aktiv roll i nyckelhanteringsprocessen

19 iis.se

20 iis.se

21 Ansats för att skydda KSK

22 El Segundo, Los Angeles, CA iis.se

23 Terramark Data Center, Culpeper, VA

24 iis.se

25 Fysisk säkerhet

26

27

28 Fysiska säkerhetskontroller Två i förening Separation av arbetsuppgifter Extern övervakning Kameraövervakning Rörelse-, seismiska och andra sensorer och mycket mer

29 iis.se

30 iis.se

31

32 iis.se

33 iis.se

34 iis.se

35 iis.se

36 iis.se

37 iis.se

38 iis.se

39 iis.se

40 iis.se

41 iis.se

42 ICANN-roller vid KSK-ceremonierna Ceremonimästare (CA) är den ICANN-medarbetare som leder ceremonin via skriptet Interna vittnen (IW) är ICANN-medarbetare som observerar och spelar in ceremonin och eventuella avvikelser Systemadministratör (SA) är teknikmedarbetare som ansvarar för IT-miljön Kassaskåpskontrollanter (Safe Security Controllers (SSC)) är medarbetare som hanterar kassaskåpen (öppnar och stänger)

43 DPS DNSSEC Säkerhetsdeklaration Beskriver processer och rutiner som har införts för signering respektive distribution av zonfilen generera, hantera, byta och distribuera DNS-nycklar i enlighet med fastställda krav Jämförbart med certificate practice statement (CPS) från en utfärdare (certification authority (CA)) av X.509-certifikat Följer strukturen i RFC

44 Spårbarhet och transparens Tredjepartsrevisorer granskar att ICANN agerar i enlighet med DPS Andra externa vittnen har också möjlighet att delta vid nyckelceremonierna En Systrust-granskning och -certifiering genomförs varje år sedan 2010 ICANN is committed to ensuring the security and stability of the Internet's unique identifier systems. As the DNSSEC Root Zone Key Signing Key (RZ KSK) manager, we are pleased to announce that ICANN's RZ KSK System has achieved SysTrust certification an audit by the international accounting firm, PricewaterhouseCoopers, LLP (PwC) to ensure we have appropriate internal controls in place to meet the availability, processing integrity and security objectives for our RZ KSK System.

45 Trusted Community Representatives (TCR) Aktiva roller i hanteringen av nyckelsigneringsnyckeln (KSK): Crypto Officers vars uppgift är att aktivera KSK Recovery Key Share Holders vars uppgift är att skydda delar av den symmetriska nyckel som använts för att kryptera en säkerhetskopia av KSK

46 Crypto Officer (CO) Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort som används för att aktivera HSM ICANN kan inte generera en ny KSK eller signera ZSK:er utan närvaro från 3 av 7 CO Måste kunna resa till USA två gånger per år (per sajt)

47 Recovery Key Share Holder (RKSH) Har smarta kort som innehåller delar (M-of-N) av den nyckel som används för att kryptera KSK:n som lagras i HSM. 5 av 7 RKSH-kort tillsammans med ett smart kort med den krypterade KSK:n kan rekonstruera KSK:n i en ny HSM Det smarta kortet med den krypterade säkerhetskopian av KSK hanteras av ICANN. Måste kunna resa med kort framförhållning. Förhoppningsvis aldrig. Årlig inventering.

48 Community Representatives CO Alain Aina, BJ Nicolas Antoniello, UY Fabian Arbogast, TZ Anne-Marie Eklund Löwinder, SE Christopher Griffiths, US Frederico Neves, BR Gaurab Upadhaya, NP Olaf Kolkman, NL Robert Seastrom, US Vinton Cerf, US Andy Linton, NZ Carlos Martinez, UY Dmitry Burkov, RU Edward Lewis, US João Luis Silva Damas, PT Masato Minda, JP Ólafur Guðmundsson, IS Subramanian Moonesamy, MU CO Backup Christopher Griffiths, US Fabian Arbogast, TZ John Curran, US Nicolas Antoniello, UY Rudolph Daniel, UK Sarmad Hussain, PK Ólafur Guðmundsson, IS RKSH Bevil Wooding, TT Dan Kaminsky, US Jiankang Yao, CN Moussa Guebre, BF Norm Ritchie, CA Ondřej Surý, CZ Paul Kane, UK (5 BKP)

49 iis.se

50 Jag har INTE nyckeln till Internet!

51 Typer av nyckelceremonier Nyckelgenerering Generering av ny KSK Hantering av begäran om signering av ZSK (ZSK Signing Request (KSR)) Signering av ZSK för nästa kvartal Sker kvartalsvis Ömsom på västkusten, ömsom på östkusten

52 Tillitsankare för rotzonen Publiceras av ICANN på en webbplats som: XML-kodad och textformaterad DS-post För att underlätta automatisk hantering Signeringsbegäran av PKCS #10-certifikat (CSR) Som självsignerad publik nyckel

53 DNSSEC är idag en standardprocess

54 Nya aktiviteter ZSK ökade i storlek (1 oktober 2016) Planerades för att ske före Byte av KSK (nyckelrullning) Separata med ändå koordinerade aktiviteter iis.se

55 Viktiga datum! Nyckelceremonier Q (oktober): generera ny KSK Q (februari): KSK operationellt färdig Ändringar i DNS Ny KSK i rotzonen juli 2017 Ny KSK signerar DKSKEY RRset med början oktober 2017 Nuvarande KSK revokeras januari 2018 iis.se

56 Ceremoni # XXVII En ny KSK genererades vid den ceremonin baserad på ICANNs noggranna planering Ceremonidatum: 27 oktober 2016 Plats: ICANN Key Management Facility in Culpeper, VA, USA Alla detaljer om ceremonin och videoinspelning finns tillgänglig på

57 Det går åt tonvis med pop corn.!

58 iis.se

59 Varför byter man KSK i rotzonen? Primärt: beredskap och övning KSK har inget bäst före-datum Inga kända svagheter Ingen nyckel ska leva för evigt: det är dålig krypteringspraxis Fördel att öva processer och rutiner för nyckelrullning under normala och kontrollerade förhållanden Till skillnad mot onormala förhållanden, som när en nyckel röjts Stor utmaning Involverar oräkneliga deltagare Ingen testmiljö kan täcka alla möjliga fall iis.se

60 Byte av tillitsankare Tillitsankare konfigureras in direkt i validerare för DNSSEC OM automatiska uppdateringar av tillitsankare för DNSSEC (RFC 5011) är påslaget och fungerar så sker nyckelrullningen med automatik Annars krävs någon form av manuell hantering Lägg till den nya KSK:n före den 11 oktober 2017 (förutsatt att allt följer planen) Ta bort den gamla KSK:n vid ett senare tillfälle iis.se

61 Mer information om nyckelrullningen för rotzonen Mejllista: Följ ICANN på Hashtag: #KeyRoll Webbplats: iis.se

62 Användbara verktyg för DNSSEC Testa implementationen DNSSEC Analyzer från Verisign Labs DNSViz A DNS Visualization Tool från Sandia National Laboratories Använda DNSSEC i lokala system DNSSEC-Trigger lokal DNSSEC resolver för Windows, Mac OS X eller Linux DNSSEC Validator Add-on for Firefox DNSSEC Validator Extension for Google Chrome Verktyg för att sätta upp egna namnservrar OpenDNSSEC project DNSSEC-Tools project Verktyg för att testa DANE implementationer NIST s TLSA test tool DANE SMTP Validator iis.se

63 Kan jag kontrollera om en domän är signerad? Jajamensan!

64 Aktuell statistik för toppdomäner med DNSSEC ( , 16:20) Totalt toppdomäner i rotzonen TLD:er är signerade med DNSSEC TLD:er har sina tillitsankare publicerade som DS-poster i rotzonen

65 Färsk statistik iis.se

66 DNSSEC tillväxt i.se iis.se

67 Andel resolvrar som validerar signaturer (per land) TLD Land Validerar DNSSEC Antal domäner SE Sweden, Northern Europe, Europe 82.97% NO DK Norway, Northern Europe, Europe Denmark, Northern Europe, Europé 71,53% ,48% FI Finland, Northern Europe, Europé Källa: 5,82%

68 Att införa DNSSEC har ett pris Det kan vara potentiellt dödligt för online-existensen om man gör fel Kräver mer uppmärksamhet och mer kunskap, framför allt för felsökning

69 iis.se

70 Kortsiktiga fördelar? Alltså som i JUST NU? I princip alla svenska internetoperatörer validerar dnssec-signaturer för sina kunder Om det hanteras korrekt skapar DNSSEC-signerade zoner högre säkerhet genom att förhindra mannen-imitten-attacker och cache-förgiftning

71 Långsiktiga fördelar Mer robust och mer pålitlig internetinfrastruktur Inga fler lögner i DNS Vi drar nytta av tillitstjänster som bygger på DNS Här hjälper DNSSEC. Nu när vi kan verifiera svar från en DNS-server kan vi också säkert lagra publika nycklar i DNSposter

72 iis.se

73 Och så några ord om lösenord. iis.se

74 Lösenordsparadoxen: Du vet att det är dåligt men du gör det i alla fall iis.se

75 Brukar du byta lösenord? iis.se

76 Vilka lösenord är vanligast? År password password password password abc123 abc qwerty qwerty qwerty qwerty monkey monkey letmein letmein 1234 football dragon dragon baseball dragon baseball baseball football baseball

77 Dåliga lösenord Alldeles för många använder samma Det är enkelt att gissa för någon som känner dig Det är för kort och därmed enkelt att gå igenom alla kombinationer iis.se

78 Lösenord ska vara Unika per inloggning Långa (10 tkn eller fler) Komplexa Ovanliga (undvik de 1000 vanligaste) iis.se

79 Spara helst inte lösenord i webbläsare Använd en lösenordshanterare! iis.se

80 Är ditt lösenord röjt? iis.se

81 Tack så mycket!