Säkerhet. Beskrivning DNSSEC. Teknisk miljö på.se. Dokumentnummer: Senast sparat: 8 december 2008

Relevanta dokument
Säkerhet. Policy DNSSEC. Policy and Practice Statement. Dokumentnummer: Senast sparat: 8 december 2008

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

! " #$%&' ( #$!

System för DNSSECadministration. Examensarbete Alexander Lindqvist Joakim Åhlund KTH

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Det nya Internet DNSSEC

DNSSEC implementation & test

Internetdagarna NIC-SE Network Information Centre Sweden AB

Varför och hur införa IPv6 och DNSSEC?

DNSSEC. Tester av routrar för hemmabruk. Joakim Åhlund & Patrik Wallström, Februari 2008

Administration Beskrivningar WHOIS. Tjänstebeskrivning. Dokumentnummer: Senast sparat: 12 augusti 2009

Whoisprotokollet. Tjänstebeskrivning

OpenDNSSEC. Rickard Bondesson,.SE

OpenDNSSEC. Rickard Bondesson,.SE

Administration Beskrivningar WHOIS. Tjänstebeskrivning. Dokumentnummer: Senast sparat: 22 mars 2013

Beställning av certifikat för anslutning till BankID (RP certificate) Version

WHOIS Tjänstebeskrivning

Beställning av Förlitandepart-certifikat Version

INTERNETSTIFTELSENS WEBBWHOIS

Status för.se:s kvalitets- och säkerhetsarbete. Anne-Marie Eklund Löwinder

DNSSEC hos.se. Anne-Marie Eklund Löwinder

Jakob Schlyter

REGgie-projektet Rapport. REGgie. .SE:s beslut Dokumentnummer: Senast sparat: 2 april 2008

.SE REMISSER REGGIE NY AFFÄRSMODELL REGISTRY-REGISTRAR-MODELL MED LAST RESORT. Dokumentnummer: 2007-R1 Senast sparat: 9 februari 2007

Modul 3 Föreläsningsinnehåll

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

Termer och begrepp. Identifieringstjänst SITHS

Systemkrav Bilflytt 1.4

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

Systemkrav Tekis-Bilflytt 1.3

REGISTRERINGSVILLKOR

NYTT PRODUKTIONSSYSTEM

REGgie-projektet Rapport. REGgie. .SE:s beslut. Dokumentnummer: Senast sparat: 26 juni 2007

Vägledning för införande av DNSSEC

Termer och begrepp. Identifieringstjänst SITHS

DNSSEC Policy (DP) Denna DP gäller gemensamt för:

iis.se Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie Eklund Löwinder, CISO

256bit Security AB Offentligt dokument

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Dokumentet är publicerat under Creative Common-licens Sverige

VI SI CLOSETALK AB SYSTEMKRAV

Tips: Titta på relevanta genomgångar på webbplatsen

Administration Beskrivning. Rutiner och information. Ny affärsmodell på.se. Dokumentnummer: 2007-R2 Senast sparat: 17 december 2007

Systemkrav Bilflytt 1.3

Linuxadministration I 1DV417 - Laboration 1 Installation. Marcus Wilhelmsson 15 januari 2013

Hälsoläget i.se. DNS och DNSSEC

REGISTRERINGSVILLKOR gällande för toppdomänen.se fr.o.m. 25 MAJ 2018

Sokigo AB OVK 2.0. Pentium- eller AMD-processor (x64 processor) på 1,6 GHz Dual Core eller motsvarande.

Nåbarhet på nätet. Hälsoläget i.se 2007

Remissunderlag. Frisläppning av spärrade landskoder och främmande staters namn på svenska .SE. Remisser

Verksamhetsutveckling Remissunderlag. Internationaliserade domännamn. Utvidgning av IDN. Dokumentnummer: 2007-R2 Senast sparat: 23 mars 2007

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

DNSSec. Garanterar ett säkert internet

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Riksgäldskontorets författningssamling

1. Revisionsinformation

Tor- och onionteknik projektet

Sharpdesk V3.5. Installationsguide Version

Systemkrav WinServ II Edition Release 2 (R2)

DNS. Linuxadministration I 1DV417

REGISTRERINGSVILLKOR

Test specifikation. SF Bio App. Författare: Zina Alhilfi Datum: Version: v1,0. Granskad: Klar Ref: Testplan_v1.

Cacheminne i en AMD Opteron Processor

ByggR Systemkrav

DVD MAKER USB2.0 Installationshandledning

ByggR Systemkrav

Tekis-FB Systemkrav

Systemkrav och tekniska förutsättningar

Uppdaterad EDP Future Uppdateringsanvisningar från 1.7x. Sida 1

Användarmanual För skatteverket

.SE DIREKT VILLKOR FÖR DOMÄNNAMNSADMINISTRATION GÄLLANDE FROM 13 SEPTEMBER 2011

Remissvar Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Information om ny affärsmodell som införs 9 mars 2009

II-Stiftelsen. Östen Frånberg Ordförande, II-Stiftelsen

FAQ REGgie. Innehavare. Senast sparat: 20 maj 2008

F-ONS. Federated Object Naming Service. Katalogen för Internet of Things

Sokigo AB Ecos Pentium- eller AMD-processor (x64 processor) på 1,6 GHz Dual Core eller motsvarande.

ClamatorVoiceSystem II

FileCentral Desktop. Användarhandledning Version

Beställning av certifikat v 2

ByggR 2.0. Systemkrav

Definition DVG A06. Varför operativsystem? Operativsystem. Översikt. - Vad är ett operativsystem?

Tekniskt ramverk för Svensk e- legitimation

Kom igång med TIS-Office

Mark Systemkrav

Mac OS X 10.6 Snow Leopard Installationshandbok

USB 3.0 till 4K HDMI-videoadapter för flera externa skärmar - DisplayLink-certifierad - Ultra HD 4K

Mark Systemkrav

SMART Bridgit-program

LEFI Online Webbgränssnitt Fråga-svar-bild

Remissammanställning Frisläppningsförfarande för vissa spärrade och reserverade domännamn

Hos Telia kan du enkelt registrera de domännamn du önskar i någon eller alla de klassiska toppdomänerna SE, NU, COM, INFO, NET, ORG, EU, NAME.

kirei Vägledning: DNSSEC för kommuner Rapport Regionförbundet i Kalmar län Kirei 2013:02 5 april 2013

DNSSEC-grunder. Rickard Bellgrim [ ]

Icke funktionella krav

IT-INTRODUKTION. Student. DisCo, Mitt konto, hv.se/student, MyPage, e-post, Office 365. IT-avdelningen

Staffan Hagnell FoU-chef..SE (Stiftelsen för Internetinfrastruktur)

Användarhandledning Plancenter Klient version 2011

DVG A06. Operativsystem, mm. Karlstads universitet Datavetenskap. DVG A06 Johan Eklund. Datavetenskap, Karlstads universitet 1

DNSSEC Våra erfarenheter

Transkript:

Dokumentnummer: 2005-24 Senast sparat: 8 december 2008 SE, Stiftelsen för Internetinfrastruktur 2007

Dokumentkontroll Dokumentinformation och säkerhet UPPFÖRD AV FAKTAANSVARIG DOKUMENTANSVARIG JAKOB AMEL AMEL SÄKERHETSKLASS ÖPPEN FILNAMN -TEKNISKMILJO-B.DOC Godkänd av DATUM NAMN FUNKTION 2005-09-15 AMEL PROJEKTLEDARE 2008-11-03 AMEL SÄKERHETSCHEF Revisioner DATUM VERSION NAMN BESKRIVNING 2005-09-13 PA1 AMEL BESKRIVNING AV -MILJÖN 2005-09-15 A AMEL FÄRDIGSTÄLLD 2008-09-01 PB1 AMEL REVIDERAD 2008-11-03 B AMEL FÄRDIGSTÄLLD OCH GODKÄND Dokumentnummer: 2005-24 Sida 2 av 9

Innehållsförteckning Innehållsförteckning... 3 1 Introduktion... 4 1.1 Detta dokument... 4 1.2 Förkortningar & ordförklaring... 4 1.3 Referenser... 4 1.4 Typsnitt... 4 1.5 Om.SE... 4 2 Policyramverk... 5 3 Nyckelgenerering... 6 4 Zonsignering... 7 Bilaga av hårdvara och mjukvara... 8 A: Hårdvara nyckelgenerering... 8 B: Programvara nyckelgenerering... 8 C: Hårdvara signeraren... 8 D: Programvara - signeraren... 9 Dokumentnummer: 2005-24 Sida 3 av 9

1 Introduktion 1.1 Detta dokument Dokumentet beskriver översiktligt miljön för på.se. 1.2 Förkortningar & ordförklaring DPS ISC KSK ZSK Policy and Practice Statement Internet Software Consortium Key Signing Key (nyckelsigneringsnyckel) Zone Signing Key (zonsigneringsnyckel) 1.3 Referenser 1.4 Typsnitt [1] IETF (Internet Engineering Task Force) RFC 4033, RFC 4034 och RFC 4035 [2].SE DPS 2007-5 I detta dokument används följande typsnitt: 1.5 Om.SE Liten fetstil Används för biblioteksstruktur, filnamn samt in- och utmatningar. STORA BOKSTÄVER Datornamn skrivs alltid med stora bokstäver. Stiftelsen för Internetinfrastruktur (.SE) ansvarar för Internets svenska toppdomän,.se. Kärnverksamheten är registrering av domännamn samt administration och teknisk drift av det nationella domännamnsregistret under.se..se är en oberoende allmännyttig organisation som verkar för en positiv utveckling av Internet i Sverige. Genom.SE:s Internetfond avsätter stiftelsen varje år medel till projekt som på olika sätt bidrar till Internets utveckling och användning. Se mer på www.iis.se Dokumentnummer: 2005-24 Sida 4 av 9

2 Policyramverk.SE:s Policy och Practice Statement (DPS) deklarerar.se:s rutiner och ansvar vid skapande och hantering av -nycklar för zonfilen för toppdomänen.se. Det berättar också hur.se verifierar kopplingen mellan en öppen nyckel och en fysisk eller juridisk person som har en domän registrerad i.se. DPS finns på svenska och engelska. Dokumentnummer: 2005-24 Sida 5 av 9

3 Nyckelgenerering Alla nycklar genereras på en fristående maskin som inte är ansluten till något nät. Nycklarna genereras med användning av standard Open SSL (för nyckelsigneringsnyckel, KSK) eller ISC BIND dnssec-keygen programmet (för zonsigneringsnyckel, ZSK) tillsammans med slumpdata från en slumptalsgenerator (Araneus Alea I). Nyckelsigneringsnyckeln (KSK) överförs till PKCS#15-kompatibla smarta kort (Axalto Cryptoflex) och raderas därefter från maskinen. Zonsigneringsnyckeln (ZSK) lagras på lokal hårddisk. Nyckelsignering med användning av smarta kort utförs med användning av pkcs15-dnssec-programmet. För att hålla en förteckning över nycklar och deras status, som tid för publicering, starttid, sluttid och borttagning, har ett enkelt verktyg (keytool.pl) utvecklats av.se. Aktiva nycklar signeras av alla aktuella nyckelsigneringsnycklar (KSK) och överförs tillsammans med den privata zonsigneringsnyckeln (ZSK) som behövs till signeraren med användning av ett flyttbart USB-minne. En komplett förteckning över hårdvara A och programvara B återfinns i en bilaga i slutet av dokumentet. Dokumentnummer: 2005-24 Sida 6 av 9

4 Zonsignering Processen med zonsignering är integrerad med den normala zongenereringsprocessen. En kort beskrivning av dataflödet vid zonsignering kan beskrivas med följande dataflöde: 1. Zonfilsgeneratorn frågar registry-databasen efter alla zonposter och genererar en zonfil. 2. Signeraren hämtar den nya zonfilen från zonfilsgeneratorn. 3. Signeraren signerar zonen med användning av befintlig on line zonsigneringsnyckel (ZSK). 4. Den signerade zonen kopieras tillbaka till zonfilsgeneratorn avsigneraren. 5. Zonfilsgeneratorn laddar den signerade zonfilen till en lokal namnserver som enbart används för distribution av den signerade zonen till de dolda primära namnservrarna. 6. De sekundära namnservrarna hämtar zonen från den ena av de två dolda primära namnservrarna. En komplett lista över hårdvara C och mjukvara D återfinns i bilaga i slutet av dokumentet. Dokumentnummer: 2005-24 Sida 7 av 9

Bilaga av hårdvara och mjukvara A: Hårdvara nyckelgenerering Hewlett Packard DL140 Intel Xeon 2.4 GHz, 512 MB RAM http://www.hp.com/ Axalto Cryptoflex Smartcard (FIPS 140-1 Level 2 Certification) http://www.gemalto.com/ Axalto e-gate Desktop Connector (smartcard reader) http://www.gemalto.com/ Araneus Alea I True Random Number Generator http://www.araneus.fi/products-alea-eng.html B: Programvara nyckelgenerering Ubuntu Linux (i386) http://www.ubuntu.com ISC BIND dnssec-keygen http://www.isc.org/ OpenSSL openssl genrsa http://www.openssl.org/ OpenSC pkcs15-init & smart card libraries http://www.opensc-project.org/ OpenCT smart card driver http://www.opensc-project.org/openct/ NIC-SE Tools pkcs15-dnssec http://opensource.iis.se/trac/dnssec/wiki/pkcs15- NIC-SE Tools keytool C: Hårdvara signeraren Hewlett Packard DL385 Dual AMD64 Opteron 2.4 GHz, 2 GB RAM http://www.hp.com/ Dokumentnummer: 2005-24 Sida 8 av 9

D: Programvara - signeraren Ubuntu Linux (i386) http://www.ubuntu.com ISC BIND dnssec-signzone & named-checkzone http://www.isc.org/.se Tools mksigned Dokumentnummer: 2005-24 Sida 9 av 9

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss