Dokumentnummer: 2005-24 Senast sparat: 8 december 2008 SE, Stiftelsen för Internetinfrastruktur 2007
Dokumentkontroll Dokumentinformation och säkerhet UPPFÖRD AV FAKTAANSVARIG DOKUMENTANSVARIG JAKOB AMEL AMEL SÄKERHETSKLASS ÖPPEN FILNAMN -TEKNISKMILJO-B.DOC Godkänd av DATUM NAMN FUNKTION 2005-09-15 AMEL PROJEKTLEDARE 2008-11-03 AMEL SÄKERHETSCHEF Revisioner DATUM VERSION NAMN BESKRIVNING 2005-09-13 PA1 AMEL BESKRIVNING AV -MILJÖN 2005-09-15 A AMEL FÄRDIGSTÄLLD 2008-09-01 PB1 AMEL REVIDERAD 2008-11-03 B AMEL FÄRDIGSTÄLLD OCH GODKÄND Dokumentnummer: 2005-24 Sida 2 av 9
Innehållsförteckning Innehållsförteckning... 3 1 Introduktion... 4 1.1 Detta dokument... 4 1.2 Förkortningar & ordförklaring... 4 1.3 Referenser... 4 1.4 Typsnitt... 4 1.5 Om.SE... 4 2 Policyramverk... 5 3 Nyckelgenerering... 6 4 Zonsignering... 7 Bilaga av hårdvara och mjukvara... 8 A: Hårdvara nyckelgenerering... 8 B: Programvara nyckelgenerering... 8 C: Hårdvara signeraren... 8 D: Programvara - signeraren... 9 Dokumentnummer: 2005-24 Sida 3 av 9
1 Introduktion 1.1 Detta dokument Dokumentet beskriver översiktligt miljön för på.se. 1.2 Förkortningar & ordförklaring DPS ISC KSK ZSK Policy and Practice Statement Internet Software Consortium Key Signing Key (nyckelsigneringsnyckel) Zone Signing Key (zonsigneringsnyckel) 1.3 Referenser 1.4 Typsnitt [1] IETF (Internet Engineering Task Force) RFC 4033, RFC 4034 och RFC 4035 [2].SE DPS 2007-5 I detta dokument används följande typsnitt: 1.5 Om.SE Liten fetstil Används för biblioteksstruktur, filnamn samt in- och utmatningar. STORA BOKSTÄVER Datornamn skrivs alltid med stora bokstäver. Stiftelsen för Internetinfrastruktur (.SE) ansvarar för Internets svenska toppdomän,.se. Kärnverksamheten är registrering av domännamn samt administration och teknisk drift av det nationella domännamnsregistret under.se..se är en oberoende allmännyttig organisation som verkar för en positiv utveckling av Internet i Sverige. Genom.SE:s Internetfond avsätter stiftelsen varje år medel till projekt som på olika sätt bidrar till Internets utveckling och användning. Se mer på www.iis.se Dokumentnummer: 2005-24 Sida 4 av 9
2 Policyramverk.SE:s Policy och Practice Statement (DPS) deklarerar.se:s rutiner och ansvar vid skapande och hantering av -nycklar för zonfilen för toppdomänen.se. Det berättar också hur.se verifierar kopplingen mellan en öppen nyckel och en fysisk eller juridisk person som har en domän registrerad i.se. DPS finns på svenska och engelska. Dokumentnummer: 2005-24 Sida 5 av 9
3 Nyckelgenerering Alla nycklar genereras på en fristående maskin som inte är ansluten till något nät. Nycklarna genereras med användning av standard Open SSL (för nyckelsigneringsnyckel, KSK) eller ISC BIND dnssec-keygen programmet (för zonsigneringsnyckel, ZSK) tillsammans med slumpdata från en slumptalsgenerator (Araneus Alea I). Nyckelsigneringsnyckeln (KSK) överförs till PKCS#15-kompatibla smarta kort (Axalto Cryptoflex) och raderas därefter från maskinen. Zonsigneringsnyckeln (ZSK) lagras på lokal hårddisk. Nyckelsignering med användning av smarta kort utförs med användning av pkcs15-dnssec-programmet. För att hålla en förteckning över nycklar och deras status, som tid för publicering, starttid, sluttid och borttagning, har ett enkelt verktyg (keytool.pl) utvecklats av.se. Aktiva nycklar signeras av alla aktuella nyckelsigneringsnycklar (KSK) och överförs tillsammans med den privata zonsigneringsnyckeln (ZSK) som behövs till signeraren med användning av ett flyttbart USB-minne. En komplett förteckning över hårdvara A och programvara B återfinns i en bilaga i slutet av dokumentet. Dokumentnummer: 2005-24 Sida 6 av 9
4 Zonsignering Processen med zonsignering är integrerad med den normala zongenereringsprocessen. En kort beskrivning av dataflödet vid zonsignering kan beskrivas med följande dataflöde: 1. Zonfilsgeneratorn frågar registry-databasen efter alla zonposter och genererar en zonfil. 2. Signeraren hämtar den nya zonfilen från zonfilsgeneratorn. 3. Signeraren signerar zonen med användning av befintlig on line zonsigneringsnyckel (ZSK). 4. Den signerade zonen kopieras tillbaka till zonfilsgeneratorn avsigneraren. 5. Zonfilsgeneratorn laddar den signerade zonfilen till en lokal namnserver som enbart används för distribution av den signerade zonen till de dolda primära namnservrarna. 6. De sekundära namnservrarna hämtar zonen från den ena av de två dolda primära namnservrarna. En komplett lista över hårdvara C och mjukvara D återfinns i bilaga i slutet av dokumentet. Dokumentnummer: 2005-24 Sida 7 av 9
Bilaga av hårdvara och mjukvara A: Hårdvara nyckelgenerering Hewlett Packard DL140 Intel Xeon 2.4 GHz, 512 MB RAM http://www.hp.com/ Axalto Cryptoflex Smartcard (FIPS 140-1 Level 2 Certification) http://www.gemalto.com/ Axalto e-gate Desktop Connector (smartcard reader) http://www.gemalto.com/ Araneus Alea I True Random Number Generator http://www.araneus.fi/products-alea-eng.html B: Programvara nyckelgenerering Ubuntu Linux (i386) http://www.ubuntu.com ISC BIND dnssec-keygen http://www.isc.org/ OpenSSL openssl genrsa http://www.openssl.org/ OpenSC pkcs15-init & smart card libraries http://www.opensc-project.org/ OpenCT smart card driver http://www.opensc-project.org/openct/ NIC-SE Tools pkcs15-dnssec http://opensource.iis.se/trac/dnssec/wiki/pkcs15- NIC-SE Tools keytool C: Hårdvara signeraren Hewlett Packard DL385 Dual AMD64 Opteron 2.4 GHz, 2 GB RAM http://www.hp.com/ Dokumentnummer: 2005-24 Sida 8 av 9
D: Programvara - signeraren Ubuntu Linux (i386) http://www.ubuntu.com ISC BIND dnssec-signzone & named-checkzone http://www.isc.org/.se Tools mksigned Dokumentnummer: 2005-24 Sida 9 av 9