Ротация ключей KSK Рекомендации MSK-IX по обновлению криптоключей KSK корневой зоны DNS в 2017 году (от 28.07.2017)

Введение

Корпорация ICANN инициировала процедуру замены криптографического ключа KSK (Key Signing Key) корневой зоны DNS, используемого в расширениях DNSSEC (Root zone KSK rollover). Новый ключ KSK-2017 опубликован в описании корневых зон DNS с 11 июля 2017 года и начнет применяться с 11 октября. В январе 2018 года старый ключ KSK будет отозван.

Настоящий документ содержит рекомендации для владельцев DNS-резолверов по обновлению криптоключей корневой зоны DNS.

Что такое DNSSEC и для чего нужен ключ KSK?

Технология DNSSEC разработана как расширение системы DNS (Domain Name System) для защиты от подмены данных. Она позволяет удостовериться, что получаемая из DNS информация о соответствии между именем хоста и IP-адресом соответствует записям, внесенным в DNS администратором соответствующего доменного имени.

Удостоверение данных в DNSSEC базируется на цепочках доверия. В иерархии доменных зон с единым корнем вершиной всех цепочек доверия является ключ корневой зоны доменных имен Root Key Signing Key (далее – KSK). Административное управление корневой зоной DNS и ключом KSK осуществляет корпорация ICANN.

Серверы, обрабатывающие клиентские запросы в системе DNS и поддерживающие DNSSEC, называются «валидирующими рекурсивными резолверами». Для проверки цепочек доверия валидирующие резолверы используют открытую часть ключа KSK. Таким образом, каждый такой резолвер должен иметь копию такого ключа KSK, полученную из доверенного источника.

Зачем менять ключ KSK?

В практике информационной безопасности криптографическим ключам принято назначать время жизни, которое зависит от их свойств и условий использования (тип криптосистемы, длина ключа, число криптографических операций и др.) До истечения срока жизни ключ должен быть заменен на новый – эта процедура называется «ротацией».

С момента введения DNSSEC в 2010 году ключ корневой зоны не менялся ни разу, так время его жизни и порядок замены не были определены на старте. За прошедшие годы рабочими группами ICANN разработана процедура ротации, которая впервые должна пройти в конце 2017 года. В результате ротации все цепочки доверия будут использовать новый ключ с условным названием KSK-2017. Если этого не сделать, валидация ответов DNS перестанет работать.

Кто должен участвовать в замене ключа KSK?

В ротации ключа KSK участвуют администраторы валидирующих рекурсивных резолверов. Такие DNS-серверы могут быть доступны публично или в закрытых сетях и принадлежать операторам связи, интернет-компаниям и другим организациям.

Ротация не затрагивает авторитативные серверы доменных зон (за исключением корневых). Национальные домены .RU/.РФ и другие доменные зоны продолжают работать в соответствии со стандартными процедурами DNSSEC.

Что нужно сделать для замены ключа KSK?

Процедура ротации разработана таким образом, чтобы каждый валидирующий резолвер мог заблаговременно получить копию ключа KSK и внести его в список доверенных.

Ротации ключа предшествует несколько подготовительных этапов. Новый ключ KSK-2017 опубликован в корневой зоне 11 июля 2017 года. Сама по себе такая публикация еще не является заменой: для генерации подписей и для их валидации по-прежнему используется действующий (старый) ключ. Опубликованный новый ключ подписан действующим KSK, что позволяет резолверу проверить достоверность KSK-2017 и внести его в список доверенных.

Автоматическая процедура замены ключа описана в стандарте RFC 5011. Если валидирующий резолвер корректно поддерживает RFC 5011 (примеры – BIND9, KnotDNS, Unbound и др.), то по истечении 30 дней периода первого получения ключа KSK-2017 резолвер автоматически внесет его в список доверенных. Таким образом, администратору такого резолвера необходимо проверить, что в конфигурации резовера включена поддержка RFC 5011, а по истечении 30 дней убедиться, что новый ключ KSK-2017 получен и внесен в список доверенных.

Если резолвер не поддерживает RFC 5011, новый ключ KSK-2017 необходимо заблаговременно включить в список доверенных в ручном режиме. Ключ можно получить по стандартному DNS-запросу к корневой зоне DNS (с проверкой подписей DNSSEC), либо использовать подписанные данные (в том числе, значение DS-записи) с сайта IANA https://data.iana.org/root-anchors/. Способ получения KSK-2017 не играет роли, т.к. его валидность можно проверить, используя действующий KSK.

Сколько времени отведено на замену ключей KSK?

Согласно плану ICANN, фактическая ротация ключей, после которой KSK-2017 начнет использоваться для генерации подписей, произойдет 11 октября 2017 года. До этого момента владельцам DNS-резолверов, поддерживающих DNSSEC, необходимо обновить копии ключа. В начале января 2018 года старый KSK будет отозван путем публикации его в корневой зоне с установленным признаком отзыва ключа.

О замене ключа KSK на DNS-резолверах MSK-IX

Публичные DNS-резолверы MSK-IX построены на отказоустойчивой распределенной инфраструктуре и обеспечивают полную поддержку расширений DNSSEC, включая RFC 5011.

Имя DNS-сервера dns.msk-ix.ru dns2.msk-ix.ru
IPv4-адрес 62.76.76.62 62.76.62.76
IPv6-адрес 2001:6d0:6d0::2001 2001:6d0:d6::2001

Все необходимые настройки для автоматической ротации ключа KSK корневой зоны DNS активированы. Согласно правилам RFC 5011, внесение ключа KSK-2017 в список доверенных на резолверах MSK-IX произойдет 11 августа 2017 года.

Где получить дополнительную информацию?

Сайт ICANN о процедуре Root KSK rollover: https://www.icann.org/kskroll