Vad är DNSSEC? Förstudie beställd av II-stiftelsen

Transkript

1 Vad är DNSSEC? Förstudie beställd av II-stiftelsen Ilja Hallberg Staffan Hagnell Peter Dyer Hans Skalin Peter Håkansson Page

2 Varför DNSSEC? a DNS b DNSSEC c. Erik Erikssons certifikat? Eriks certifikat DNSSEC Page

3 Varför DNSSEC? DNSSEC använder DNS för distribution av kryptografiska nycklar, signaturer och certifikat DNSSEC minskar risken för manipulation av namnuppslagningar. T.ex. förfalskningar av webbplatser. DNSSEC möjliggör flexibel infrastruktur för distribution av nycklar och certifikat till t.ex. Epost, IPSec, TLS/SSL, VPN, SSH osv. Page

4 Flexibel hierarkisk struktur Web DNSSEC. se. webserver namn.se. avd.namn.se. resurs.avd.namn.se. Page

5 Flexibel hierarkisk struktur DNSSEC Web. se. namn.se. localhost.se. webserver resurs.namn.se. resurs.localhost.se. Page

6 Krav Vi tror att krav finns på DNSSEC i Sverige: Hög säkerhet Hög tillgänglighet Servertjänster, klientprogram, åtkomligt för utvecklare Många användningsområden DNSSEC ska vara praktiskt för många målgrupper Flexibel teknik och administration Låg kostnad Många målgrupper. Alla ska ha råd att använda DNSSEC Page

7 Stor spridning Målgrupper, 1 (2) Telekom, IT-företag, E-handel Affärer mellan företag och med kunder, telekom Banker Banktjänster, kontrakt, handel Industri VPN, handel mellan företag, distansarbete Småföretag VPN, handel, distansarbete Page

8 Målgrupper, 2 (2) Offentlig sektor Skatter, sjukvård, administration, informationshantering Universitet, forskning Systemadministration Fjärrinloggning, fjärrkonfiguration Militär Du och jag Surfa, handla, kommunicera, arbeta, spel och nöjen Page

9 Parter som använder DNSSEC Tjänsteserver DNSserver Användare t.ex. surf NIC-SE Ägare av domänen Ombud till NIC-SE Page

10 Flera steg Distr. cert TLS/SSL Övr. X.509, SPKI, etc. Nyckelhantering IPSec Distr. SSH-nycklar Personliga nycklar. T.ex. PGP, S/MIME Säkra uppslagningar i DNS Page

11 Vårt förslag på att möta kraven Specifikation av tjänsten hos NIC-SE Lokala garantier Page

12 Specifikation av tjänsten hos NIC-SE NIC-SE definierar ett tydligt administrativt och tekniskt gränssnitt för leverans och hantering av nycklar och signaturer NIC-SE beskriver publikt de egna processerna för nyckelhantering och säkerhet. NIC-SE:s lösningar är stommen som domänägare kan utöka eller kopiera CPS, CP och RFC 2527 Page

13 Lokala garantier NIC-SE garanterar endast NIC-SE:s inre processer Tekniken i DNSSEC är endast en länk i kedjan Tilliten mellan två parter skapas av parterna, inte av NIC-SE NIC-SE bestämmer inte hur signerade nycklar ska användas NIC-SE lämnar inga garantier för hur signerade nycklar hanteras I DNSSEC har tjänsteägare ett egenintresse av att de egna tjänsterna har säkerhet och kvalitet Page

14 DNSSEC Fördelar Öppet och enkelt protokoll Fritt protokoll, ej bundet till någon leverantör. Interoperabelt, framtidssäkert Grundläggande skalbar infrastruktur, DNS, finns och fungerar. Låg startkostnad Nackdelar Löser inte ensamt alla problem Brist på klientprogram, t.ex. webbläsare som förstår DNSSEC Page

15 Sammanfattning DNSSEC skyddar namnuppslagningar och erbjuder nyckeldistribution DNSSEC är flexibelt, enkelt, billigt, skalbart, och interoperabelt NIC-SE erbjuder grundstommen i systemet Lokala garantier. Tillit skapas mellan användare NIC-SE ger tydliga administrativa och tekniska gränssnitt NIC-SE ger publika specifikationer av processer för nyckelhantering och säkerhet Page