Hlavní navigace

Jak jsme podepsali kořenovou zónu

22. 6. 2010
Doba čtení: 7 minut

Sdílet

Ve středu 16. června 2010 proběhla první DNSSEC KSK ceremonie, která se konala v chráněném telehousu v americkém městě Culpeper. Tento okamžik patří k jednomu z nejdůležitějších v historii DNS. Na závěr zazněla slova Winstona Churchilla: „Toto není konec, není to ani začátek konce, ale možná je to konec začátku.“

Tato první ceremonie byla nejdelší ze všech a trvala celkem osm hodin. Takto dlouhý čas byl zapotřebí, protože se jednalo o úplně první ceremonii, kdy bylo nutné provést vše úplně od začátku.

ICANN má uvnitř telehousu vybudovanou samostatnou místnost, která má několik úrovní zabezpečení. Místnost je obehnána zdmi, které jsou vyztuženy ocelovým výpletem, aby nemohlo dojít ke snadnému probourání se dovnitř. Ke vstupu do místnosti je zapotřebí vstupní karta a kód, případně je možná i autentizace pomocí oční duhovky. Po vstupu do místnosti se ocitnete v menší kleci, kde je zapotřebí se zapsat do knihy návštěv; zde je nutné, aby vás doprovodil někdo se vstupní kartou a kódem dovnitř místnosti, kde jsou připraveny prostory pro účastníky ceremonie. Uvnitř místnosti je umístěna ještě druhá klec s dvěma trezory. Přístup do této klece podléhá ještě přísnějším bezpečnostním pravidlům: pro otevření dveří je zapotřebí dvou autorizovaných osob, dveře této klece mohou být otevřeny maximálně 30 sekund.

Uvnitř této klece jsou umístěny dva trezory s certifikací americké vlády pro přísně tajné dokumenty. Jedna zajímavost o trezorech – zámek má na sobě malý LCD displej, který zobrazuje číselnou kombinaci. Tento displej není napájen baterií, ale mechanicky točením kolečka na zámku, kterým se zároveň volí číselná kombinace. Trezory mají čidla otevření a pokud jsou otevřeny dveře od libovolného z trezorů, nelze otevřít vstupní dveře klece. Zabezpečena je i veškerá kabeláž v místnosti. Všechny kabely jsou vedeny v ocelových trubkách, aby nebylo možné jejich snadné narušení. Aby nebylo možné klec rozšroubovat, jsou všechny použité šrouby zalepeny epoxidovým lepidlem. Celá KSK ceremonie byla nahrávána několika kamerami a po celou dobu byl také sledován prostor trezorové klece.

Ceremonie se kromě zástupců komunity (CO a RKSH) účastnili také další lidé v různých rolích. Jako Master of Ceremony (MC) byl přítomen Rick Lamb za ICANN, který celou akci „moderoval“. Hlavní role Ceremony Administrator (CA) připadla Mehmetovi Akcinovi z ICANNu. Mehmet byl v této roli výkonnou složkou celé akce a veškerá činnost byla v jeho rukou. Jako Internal Witness 1 (IW), který figuroval v roli zapisovatele a kontrolora CA, se ceremonie zúčastnil Francisco Arias rovněž z ICANNu.

Akce rovněž přihlíželi další lidé v roli IW (tedy lidé z ICANNu) a External Witness (externí dohližitelé) včetně auditora celé akce. Další důležitá role je Safe Security Controller (SSC), který má na starosti odemčení trezoru. V roli SSC byli přítomni Alexander Kulik a Patrick Jones. Každý z těchto pánů má jednu zálohu a jeden určený trezor. Tedy pro otevření trezoru číslo 1 je zapotřebí SSC1 a trezor číslo 2 může otevřít jen SSC2 (a jeho záloha). Každý trezor obsahuje záznamové archy, kde jsou zaznamenány všechny akce včetně otevření a zavření trezoru.

Protože Alain Aina z Beninu, který měl být jedním z Crypto Officerů, nemohl kvůli zrušenému letadlu dorazit včas, byl nahrazen Christopherem Griffithsem z USA. Aby byl dodržen původní plán, byl na další den (17. června 2010) naplánována ceremonie výměny CO, která také úspěšně proběhla.

Samotný průběh ceremonie byl dlouhý, proto jen ve stručnosti. První úkol čekal Crypto Officery v trezorové kleci. SSC2 otevřel trezor číslo 2, který obsahuje bezpečnostní schránky s přístupy. Každý CO si vybral svou schránku, která je uzamčena dvěma klíči – jeden si z ceremonie odnesl každý CO a druhý je společný a disponuje jím CA. Po kontrole, že klíče fungují a schránky jsou prázdné, opustili všichni trezorovou klec.

Po minutě čekání, což je stanovená minimální doba mezi dvěma otevřeními klece, vstoupili do klece CA, IW1 a SSC1 a otevřeli trezor číslo 1 s vybavením, které čítá dvě HSM, speciální notebook, DVD s operačním systémem a flash disk(y). S HSM je zapotřebí zacházet velmi opatrně, protože neopatrná manipulace může způsobit zničení celého zařízení. Notebook je ve speciální úpravě, kterou používá například americká armáda, a neobsahuje pevný disk, wifi a bluetooth. Veškeré zařízení (a následně i karty) jsou uloženy ve speciálních pytlících pro detekci narušení. Každý pytlík má své evidenční číslo (TEB#).

Toto zařízení bylo vyvezeno ven z trezorové klece a mohla začít inicializace HSM modulů. Notebook byl nabootován z DVD. Jako operační systém používá ICANN Live CD CentOS. Veškerý výstup z HSM a terminálový výstup byl ukládán na flash disk. Nebudu vás zatěžovat všemi detaily inicializace HSM a generování karet – celkem bylo zinicializováno 45 SC karet, takže jen podstatné detaily. Dvě sady sedmi SO (Security Officer) karet.

Tyto karty jsou „hlavním“ klíčem k HSM a pro provedení libovolné akce jsou zapotřebí tři libovolné karty. Po počáteční inicializaci budou uloženy v bezpečnostních schránkách (jedna z každé sady pro každého CO) a neměly by být vůbec používány, pokud nebude zapotřebí generovat další karty. Následně byly vygenerovány dvě karty na přesnou kopii nastavení pro druhé HSM, aby bylo možné používat stejné SO karty pro obě HSM. Tyto karty byly po přenesení nastavení nejprve v HSM smazány a následně skartovány.

Po vygenerování SO karet byly vytvořeny dvě sady sedmi karet se zálohou SMK klíče (Storage Master Key) a jedna sada karet Operátora (OP). Pomocí zálohy obsahu HSM a SMK karet (5 ze 7) je možné na libovolném HSM obnovit jeho kompletní obsah. OP karty jsou určeny pro generování klíčů, podpisů a další kryptografické operace.

V rámci ceremonie dostal každý RKSH po jedné kartě z každé sady SMK karet do pytlíčku, který si s sebou veze domů. V pytlíčku je navíc kartička s instrukcemi v případě, že by se karty dostaly do rukou třetí osobě a další speciální pytlík v případě, že by došlo k narušení prvního (např. při letištní kontrole). RKSH má za úkol tyto karty uložit do bezpečnostní schránky a v případě (vysoce nepravděpodobné) totální havárie obou datacenter budou tyto karty (minimálně 5) společně s Application Backup kartou (viz níže) využity pro rychlou obnovu KSK a souvisejícího provozu. Následně byly vygenerovány ještě čtyři další záložní karty, které jsou určeny k převozu na západní pobřeží.

Po předání karet se zálohou SMK klíče byla krátká přestávka. Jen pro představu – v tuto chvíli jsme za sebou měli tři a půl hodiny ceremonie. Po přestávce jsme se konečně dostali k hlavnímu hřebu večera :). Za mohutného potlesku došlo k vygenerování historicky prvního KSK klíče pro kořenovou zónu. Po vygenerování kořenové zóny došlo k vytištění záznamu o generování klíče a každý z účastníku dostal vlastní kopii ke kontrole. Následně byl tento klíč odzálohován na celkem čtyři samostatné Application Backup karty.

Následoval neméně důležitý krok. V tuto chvíli byl přítomen i Matt Larson, zástupce správce kořenové zóny – firmy Verisign. Do laptopu byl vložen USB disk s žádostí o podpis ZSK klíčů – KSR (Key Signing Request) a po kontrole správnosti obsahu byla tato žádost podepsána. Mehmet v roli CA nechal Ricka Lamba symbolicky zmáčknout ‚y‘ a ENTER :). Po provedení zálohy KSR a podepsané žádosti SKR (Signed Key Request) byl flash disk předán Mattovi, aby byla zaručena dvojitá kontrola. ICANN podepsanou žádost pošle nezávislým kanálem a ve VeriSignu dojde ke kontrole, zda-li zaslaná žádost souhlasí s obsahem ručně předaného flash disku.

Po podepsání ZSK následovalo vypnutí veškerého zařízení (HSM, laptop, DVD), individuálního zabalení a CA společně s IW1 a SSC1 odvezli zařízení zpět do trezorové klece a uzamkli jej do trezoru.

Posledním důležitým krokem bylo uzavření SO a OP karet do samostatných pytlíčků. Po jedné SO kartě z každé sady do jednoho pytlíčku a OP karta do druhého pytlíčku. Toto rozdělení je z toho důvodu, že OP karta bude využívána vždy při podpisu ZSK klíčů a pytlíčky se budou měnit častěji než v případě SO karet, které by měly být využívány jen minimálně či vůbec. Po předání všech pytlíčků byli CO vyzváni ke vstupu do trezorové klece společně s CA, IW1 a SSC2. A každý CO uložil své dva pytlíčky do vlastní schránky uvnitř trezoru číslo 2.

Po opuštění klece se všichni účastníci podepsali na listinu, se seznamem účastníků a celá akce byla po necelých osmi hodinách úspěšně ukončena.

Pár zajímavostí, které se jinam nevešly:

  • zaměstnanci ICANNu ceremonii zkoušeli celkem 12× nanečisto

  • celá procedura je postavena na podobném principu, na kterém fungují certifikační autority

  • pokud se otevřou vstupní dveře do místnosti bez autorizace kartou ozve se alarm

  • z bezpečnostních důvodů je možné z trezorové klece odejít bez autorizace až ven, v takovém případě je velmi rychle na místě ostraha, která je ozbrojena

Na závěr bych chtěl poděkovat všem, především pak Mehmetovi a Rickovi za perfektní průběh ceremonie, ale také dalším lidem, kteří na celém procesu přípravy podpisu kořenové zóny měli svůj podíl.

root_podpora

Další fotografie naleznete na Facebooku nebo Flickeru. Na Facebooku naleznete i videa z ceremonie.

(Fotografie: organizace ICANN)

Byl pro vás článek přínosný?

Autor článku

Autor je vedoucím výzkumu Laboratoří CZ.NIC, z.s.p.o. a studentem FSS MU. Zajímá se o DNS, DNSSEC, Linux.