For første gang skal ICANN skifte ut rotnivå-nøkkelparet for teknologien som kan hindre utnyttelse av forfalskede DNS-oppføringer. (Bilde: Norids Youtube-video)

Nøkkelen som sikrer DNS skal byttes for første gang

Mye programvare må oppdateres.

Internett er et utsatt sted å oppholde seg. Tusenvis av aktører forsøker å utnytte svakhetene i systemer som ble skapt i en helt annen tid, hvor da forholdene var langt mer oversiktlige og brukerne stort sett vennligsinnede. 

Et av de mest sentrale systemene er Domain Name System (DNS), som oversetter mellom domenenavn og IP-adresser. Dette systemet er utsatt for flere ulike typer angrep som gjør det mulig for uvedkommende å overstyre hvilken datamaskin (IP-adresse) som svarer på anrop til et gitt domenenavn. Dette kan blant annet utnyttes til å avsløre fortrolig informasjon. 

Mange norske domerer har blitt sikret: Berømmer norske registrarer for sikkerhetsløft

DNSSEC

Den 15. juli 2010 ble det derfor innført økt sikkerhet rotnivået i DNS. Dette kalles for DNSSEC (DNS Security Extensions) og skal forhindre DNS-forfalskning ved at sonene i DNS er digitalt signert. En DNS-klient («resolver») kan dermed oppdage om DNS-informasjonen som mottas er fullstendig og uendret, sammenlignet med originaloppføringen. Har informasjonen blitt klusset med, blir forsøket på å opprette en forbindelse med det aktuelle domenet, avbrutt.

Videoen nedenfor, som er utgitt av Uninett Norid, gir en lettfattelig forklaring på DNSSEC.

I dag er mange, men langt fra alle DNS-oppføringer sikret på denne måten.

DNSSEC-autentiseringen består av et hierarki med rotnivået på toppen. Dette kontrolleres av ICANN, som også er i nyhetene for tiden fordi organisasjonen kanskje får overta hele DNS-ansvaret fra 1. oktober. 

Les mer: Teknologi-giganter ber USA gi fra seg DNS-kontrollen

Root Zone Key Signing Key

Uavhengig av dette planlegger ICANN nå ut bytte ut det kryptografiske nøkkelparet som utgjør det som kalles for Root Zone Key Signing Key (KSK). Dette paret består av en privat og en offentlig nøkkel, og den offentlige nøkkelen vil distribuert til alle som utviklere, distribuerer eller drifter program- og maskinvare som validerer DNSSEC-signaturer. 

Uten en slik oppdatering vil ikke DNS-klienter med støtte for DNSSEC fungere. ICANN sammenligner dette med at en dørlås har blitt skiftet ut, uten at brukerne har tatt i bruk den nye nøkkelen. 

Til nettstedet Motherboard forteller Andrew Sullivan, leder for Internet Architecture Board, at det er flere årsaker til at nøkkelparet nå skal skiftet ut. 

– Det er en logisk mulighet for at noen har knekt det uten at vi vet om det, sier Sullivan. Men han understreker at det ikke er noen grunn til å tro at dette faktisk har skjedd.

En annen årsak er at størrelsen på nøkkelen nå økes fra 1024 til 2048 bit. Dette skal gjøre det vanskeligere å knekke nøkkelen. 

Leste du denne? Foreslår ny standard for DNS-konfigurering

Uten stress

Selv om dette er fornuftig å gjøre, har det ikke skjedd noe spesielt som har ført til at dette skal skje akkurat nå. Tvert imot ønsker ICANN å kunne gjøre dette i ro mak, ikke minst fordi det er første gang det gjøres. 

Nå er det ikke slik at denne utskiftingen vil skje over natten. Tvert imot er det en ganske langvarig prosess, og det første trinnet i forberedelsene til prosessen ble fullført denne uken. Dette dreide seg om testing av DNS-klientene som følger med en rekke ulike operativsystemer, er forberedt på KSK-utskiftingen.

Selve prosessen starter i oktober med at den nye KSK-en blir generert. Deretter skal KSK-en bli publisert på IANA-nettstedet i februar 2017. I juli vil nøkkelen for første gang dukke opp i DNS. Men selve overgangen skjer først i oktober neste år, når KSK-en brukes til å signere root zone-nøkkelsettet. 

Først i januar 2018 vil den gamle KSK-en bli trukket tilbake. Hele prosessen skal avsluttes i mars 2018, når den gamle KSK-en ødelegges på en sikker måte.

Flere problemer med gammel teknologi: Kapring av nettprotokoll kan skape masse trøbbel

Påvirker mange

ICANN opplyser at  programvareutviklere og -distributører som inkluderer rotsone-KSK-en i programvarekoden eller konfigurasjonsfilene, er blant dem er nødt til å forholde seg til denne endringen. Disse må sikre at den nye rotsone-KSK-en blir tatt i bruk, helst så raskt som mulig etter at den har blitt publisert, altså i februar 2017.

De som drifter DNS-klienter med DNSSEC-støtte må sørge for at den nye rotsone-KSK-en er konfigurert innen den 11. oktober 2017.

Men ingen av dem som er helt sikre på at programvaren de utvikler eller bruker, følger RFC 5011 om automatisk oppdatering av tillitsankerne til DNSSEC, behøver å gjøre noe. 

Mer informasjon om hele utskiftingen finnes her.

Leste du denne? Mistet domenenavn brukt til å konfigurere kundenes rutere

Kommentarer (0)

Kommentarer (0)
Til toppen