Hlavní navigace

Jak vypadá zabezpečení podpisu zóny .CZ

Vilém Sládek

Bezpečnostní analytik CZ.NIC Pavel Bašta popsal na blogu sdružení proces zabezpečení záznamů v zóně .CZ. K takzvané KSK ceremonii mimo jiné uvádí: „celá ceremonie může působit poměrně složitě. Jejím cílem je ale především poskytnout držitelům domén .CZ jistotu, že ke kompromitaci KSK klíče a tím tedy ohrožení jejich domén nemůže dojít.“

Aby byla zvýšena bezpečnost při nakládání s KSK (Key Signing Key) klíčem, je jeho správa oddělena od správy ZSK (Zone Signing Key) klíčů. Ty jsou používány při podepisování zóny pomocí DNSSEC a slouží k podpisu všech záznamů v zóně, zatímco KSK klíč slouží pouze k podepisování všech DNSKEY záznamů.

Samotné vybavení nezbytné pro realizaci KSK ceremonie včetně notebooku, zařízení s uloženým KSK klíčem a bootovacího CD s Linuxem je uloženo v trezoru v sídle sdružení. Přesněji, v tomto trezoru je ještě jedna schránka s vlastním zámkem, ve které jsou tyto nezbytné předměty uloženy. Každý z členů KSK týmu má klíč pouze od trezoru nebo od vnitřní schránky. Není tedy možné, aby někdo z KSK týmu sám vyjmul z trezoru jakoukoliv součást vybavení pro KSK ceremonii. Více na blogu CZ.NIC.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?