Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef



Relevanta dokument
Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Det nya Internet DNSSEC

! " #$%&' ( #$!

Internetdagarna NIC-SE Network Information Centre Sweden AB

DNSSEC hos.se. Anne-Marie Eklund Löwinder

Säkerhet. Beskrivning DNSSEC. Teknisk miljö på.se. Dokumentnummer: Senast sparat: 8 december 2008

System för DNSSECadministration. Examensarbete Alexander Lindqvist Joakim Åhlund KTH

Varför och hur införa IPv6 och DNSSEC?

DNSSEC implementation & test

Säkerhet. Policy DNSSEC. Policy and Practice Statement. Dokumentnummer: Senast sparat: 8 december 2008

Vägledning för införande av DNSSEC

Jakob Schlyter

Status för.se:s kvalitets- och säkerhetsarbete. Anne-Marie Eklund Löwinder

Hur påverkar DNSsec vårt bredband?

kirei Vägledning: DNSSEC för kommuner Rapport Regionförbundet i Kalmar län Kirei 2013:02 5 april 2013

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

DNSSec. Garanterar ett säkert internet

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

OpenDNSSEC. Rickard Bondesson,.SE

OpenDNSSEC. Rickard Bondesson,.SE

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Vad är DNSSEC? Förstudie beställd av II-stiftelsen

Hälsoläget i.se. DNS och DNSSEC

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS

Policy Underskriftstjänst Svensk e-legitimation

DNSSEC Policy (DP) Denna DP gäller gemensamt för:

DNSSEC-grunder. Rickard Bellgrim [ ]

Dokumentet är publicerat under Creative Common-licens Sverige

Modul 3 Föreläsningsinnehåll

DNSSEC och säkerheten på Internet

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

Icke funktionella krav

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

Rutin för utgivning av funktionscertifikat

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder

Ökad tillit till Internet genom förbättrad säkerhet i domännamnssystemet

Kapitel 10 , 11 o 12: Nätdrift, Säkerhet

DNSSEC Våra erfarenheter

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Filleveranser till VINN och KRITA

Kryptografi - När är det säkert? Föreläsningens innehåll. Kryptografi - Kryptoanalys. Kryptering - Huvudsyfte. Kryptografi - Viktiga roller

Krypteringteknologier. Sidorna ( ) i boken

Version

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Hälsoläget i.se 2013 fördjupning i kryptering av trafik på nätet

Metoder för sekretess, integritet och autenticering

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Frobbit AB

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll

UTFÄRDARDEKLARATION (CPS) SJÖFARTSVERKET

Termer och begrepp. Identifieringstjänst SITHS

SSEK Säkra webbtjänster för affärskritisk kommunikation

iis.se Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie Eklund Löwinder, CISO

Introduktion till protokoll för nätverkssäkerhet

Termer och begrepp. Identifieringstjänst SITHS

Riktlinjer för informationssäkerhet

BILAGA 1 Tekniska krav Version 1.0

256bit Security AB Offentligt dokument

Testning av Sambi. Testplan. Version PA5. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Grundfrågor för kryptosystem

BILAGA 1 Tekniska krav

SÅ HANTERAR DU BEHÖRIGHETER I INTERNETBANKEN. 1.0 / Juni 2015

Icke funktionella krav

Protokollbeskrivning av OKI

Grunderna i PKI, Public Key Infrastructure

Hälsoläget i.se nåbarhet på nätet

Användarbeskrivning för Metadatatjänsten

Nåbarhet på nätet - Hälsoläget i.se 2014

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Leverantörsförslag till samarbete kring säkerhetstest

DNSSEC. Slutrapport. Kalmar läns kommuner Kalmar län, det grönaste länet!

Riktlinjer för informationssäkerhet

Informationssäkerhetschefens dilemma en betraktelse kring identitetshantering. Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

BILAGA 3 Tillitsramverk

Rutin vid kryptering av e post i Outlook

Riktlinjer för informationssäkerhet

HSA Anslutningsavtal. HSA-policy

BILAGA 2 Tekniska krav Version 0.81

E-legitimationsdagen. Metadata Underskriftstjänst Praktisk implementering och demo. Stefan Santesson

Räkna med risk! Anne-Marie Eklund Löwinder

Anders Berggren, CTO. Säker, betrodd e-post

Uppföljning Proffssystern i Stockholm AB

Bergslagens kommunalteknik. Nyckelhantering Projektplan. KPMG AB 10 augusti 2016 Antal sidor: 5. Projektplan nyckelhantering.docx

Agenda. Annat trådlöst. WLAN ger. Användningsområden för WLAN Mer bandbredd. WLAN - dagsformen och framtidens formkurva. Förbättrad säkerhet

NYTT PRODUKTIONSSYSTEM

Hälsoläget i.se 2009

Användningen av elektronisk identifiering.

Med Telias domäntjänst Domännamn kan du enkelt administrera alla dina domännamn, oavsett storlek på domänportfölj.

Avancerad SSL-programmering III

Återrapportering av genomförda aktiviteter enligt handlingsplan för ett säkrare Internet i Sverige

ANVISNING Säkerhetsuppdateringar för IT infrastruktur

BILAGA 3 Tillitsramverk Version: 2.02

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson,

Vad är en Certifikatspolicy och utfärdardeklaration

Transkript:

Signering av.se lösningar och rutiner Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Varför ville vi ha DNSSEC i.se? Ökar integriteten I DNS. Ökar säkerheten för.se:s domäninnehavare och deras användare. En åtgärd mot pharming och andra DNS MITM attacker. Förstärker infrastrukturen för Internet. En tänkbar användning av DNSSEC är dessutom för säker distribution av attribut för andra säkerhetsprotokoll och lösningar. Efterfrågas av ansvarig myndighet, PTS. Behövs för att kunna lita på nya kritiska applikationer.

Historik Första workshopen ägde rum i februari 1999. Tester har pågått sedan januari 2003. Öppna tester sedan januari 2004. RFC 4033, 4034 & 4035 (DNSSEC bis) publicerades i mars 2005..SE började distribuera den signerade.se-zonen den 13 september 2005..SE började ta emot signerade delegeringar från tidiga användare från mitten av november 2005. Mer omfattande testverksamhet inleddes februari 2006. Kommersiellt tillgängligt Q1 2007.

Överväganden Införandet av DNSSEC nödvändiggör en juridisk analys. Frågan är dels vilken riskexponering införandet av DNSSEC innebär, dels i vilken mån avtalade begränsningar bör göras i detta ansvar. En naturlig målsättning är att ansvarsnivån skall upplevas som rimlig och skälig av samtliga parter..se tar t.ex. inget ansvar för underliggande zoners nycklar eller hanteringen av dessa.

Vad har vi lärt oss? En hel del!

Nyckeladministration är kritiskt! Zonfil Signe KSK ZSK ZSK KSK

Övervakning är viktigt Övervakningssystemet har kompletterats för att utföra basala DNSSEC-kontroller: Varnar för signaturer som är på väg att gå ut. Testar den extra DNSSEC-hanteringen i produktionen så att den görs korrekt. Kontrollerar äktheten hos vissa signaturer.

DPS DNSSEC Policy and Practice Statement.SE verifierar kopplingen mellan en domän, en publik nyckel och innehavare av domänen, samt den tekniska kontaktpersonen. DPS beskriver rutinerna för hur verifieringen sker, vilka rutiner.se har och hur.se hanterar sina nycklar. DPS syftar till att göra det möjligt för omvärlden att avgöra vilken tillit de vill ha till.se:s DNSSEC-hantering. http://www.iis.se/pdf/se-dnssecps-a.pdf

Nyckelhantering för.se-zonen Teknisk miljö för nyckelgenerering Rutiner för: Generering av nycklar Förvaring av nycklar Användning av nycklar Byte av nycklar Publicering av nycklar

Tillvägagångssätt Inga operationer får genomföras av någon person ensam eller med obehöriga personer närvarande. Generering av nyckelmaterial måste alltid göras av minst två personer. Båda ska vara närvarande under hela operationen. De olika personalkategorierna ansvarar för var sin hemlighet. Signering sker automatiskt och i samband med zongenerering (varannan timme).

Frekvens Nyckelsigneringsnyckel - KSK KSK används enbart för att signera ZSK. Generering av KSK sker med frekvensen 1 gång per år. Nyckelparametrar: RSA 2048 bitars nyckellängd Lagringsmedia: aktivt kort ( smart card ) Giltighetstid två år. Detta medför att vi har nycklar som har en giltighetstid som överlappar varandra med 1 år. Publika KSK är de nycklar som kommuniceras till Internetanvändare.

Frekvens Zonsigneringsnyckel - ZSK ZSK används enbart för att signera data i sezonen. Generering av ZSK sker med frekvensen 1gång per månad. Nyckelparametrar: RSA/SHA-1 1024 bitars nyckellängd. Lagringsmedia: flyttbart sekundärminne. Giltighetstid för ZSK är en månad.

Akut nyckelbyte Viktigt att ha rutiner för akut nyckelbyte! ZSK har ett osäkerhetsfönster på 5 dagar. KSK har ett osäkerhetsfönster på 6 veckor, dvs lika länge som vi signerar med KSK. För att byta KSK på ett effektivt sätt behövs signerad rot, DLV eller något i stil med draft-ietf-dnsext-trustupdate-timers-05.txt.

Signering av.se:s egna zoner Utse ansvarig administratör. Kartlägg samtliga domäner. Kontrollera namnservrar DNS baskonfiguration. Välj ut domäner att signera. Kravspecifikation tidplan. Sträva efter automatisering.

Frågor?

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss