Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto...

iis.se

Internets nyckelpiga- Eller dnssec i internets rotzonAnne-Marie Eklund Löwinder, CISOamel@iis.se I @amelsec

Vem är jag?

Anne-Marie Eklund LöwinderChief Information Security Officer, IIS

amel@iis.se@amelsec

Invald i Internet Hall of Fame

Ledamot Kungliga Svenska Ingenjörsvetenskapsakademien (IVA), Avdelning XII,

Informationsteknik

Styrelseledamot institutet för rättsinformatik, IRI, Stockholms universitet

Medlem i MSB:s informationssäkerhetsråd

Kort om Internetstiftelsen i Sverige (IIS)

Oberoende allmännyttig stiftelse med två huvudsakliga verksamhetsområden:• Ansvar för drift och administration av toppdomänerna .se

och .nu• Främja utveckling och användning av internet i SverigeSom till exempel:• Federationsoperatör för Skolfederation och Sambi• Testorganisation för nya gTLD:er på internet• Bredbandskollen, Webbstjärnan, Internetdagarna,

Internetmuseum, Internetstatistik, Internetguider med mera….

We live on trust; ”we are the trustees for the delegateddomain, and have the duty to serve the community”. (RFC 1591)

Nya RFC:er publiceras (2005): RFC4033, RFC4034, RFC4035

EMILEGRAPHICS, FLICKR CREATIVE COMMONS

2005

Sverige (.se) inför DNSSEC som den första toppdomänen i världen

Karola Riegler, Flickr | CC-BY-ND | via Wylio

Key Ceremony # 1

2010• Juni

– Första nyckelceremonin i Culpeper, Virginia

• Juli– Ceremoni #2 i Los Angeles, Kalifornien– Nyckelmaterial från ceremony #1 kopieras

och lagras– Q4/2010 KSR hanterad

• Den signerade rotzonen publicerades i DNS avVeriSign

– Tillitsankare för rotzonen publiceras avIANA

Första Root DNSSEC Design Team

• Joe Abley• Mehmet Akcin• David Blacka• David Conrad• Richard Lamb• Matt Larson• Fredrik Ljunggren• Dave Knight• Tomofumi Okubo• Jakob Schlyter• Duane Wessels

Hantering av DNSSEC i rotzonen

• ICANN (IANA sköter operativ drift)– Kontrollerar nyckelsigneringsnyckeln (KSK), samma

nyckel sedan starten 2010– KSK signerar varje kvartal zonsigneringsnyckel i en

nyckelceremoni– Verifierar och genomför ändringsärenden

• Verisign (distribuerar den signerade rotzonen)– Hanterar zonsigneringsnyckeln som byts ut varje kvartal

• Skedde tidigare i enlighet med överenskommelse med US Department of Commerce NTIA, nu är det helt på ICANN:s ansvar

Nyckelgenerering och signeringsprocess av KSK för rotzonen

De vägledande principerna bakom den övergripande designen är att resultatet måste vara trovärdigt och pålitligt vid varje tidpunkt

Revision och uppföljning

Processer och rutiner ska revideras mot standarder som till exempel ISO/IEC 27002:2013, Information technology --Security techniques -- Code of practice for information security controls

Hög säkerhetsnivå

Systemen för rotzonen ska möta alla relevanta tekniska säkerhetskontroller enligt NIST SP 800-53 som krävs för ”HIGH IMPACT system”

Engagemang från internetkollektivet

Trovärdiga representanter från internetsamfundet har bjudits in och har en aktiv roll i nyckelhanteringsprocessen

iis.se

iis.se

Ansats för att skydda KSK

El Segundo, Los Angeles, CA

iis.se

Terramark Data Center, Culpeper, VA

iis.se

Fysisk säkerhet

Fysiska säkerhetskontroller

• Två i förening• Separation av arbetsuppgifter• Extern övervakning• Kameraövervakning• Rörelse-, seismiska och andra sensorer• …och mycket mer

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

ICANN-roller vid KSK-ceremonierna

• Ceremonimästare (CA) är den ICANN-medarbetaresom leder ceremonin via skriptet

• Interna vittnen (IW) är ICANN-medarbetare somobserverar och spelar in ceremonin och eventuellaavvikelser

• Systemadministratör (SA) är teknikmedarbetare somansvarar för IT-miljön

• Kassaskåpskontrollanter (Safe Security Controllers (SSC)) är medarbetare som hanterar kassaskåpen(öppnar och stänger)

DPS – DNSSEC Säkerhetsdeklaration

• Beskriver processer och rutiner som har införtsför signering respektive distribution av zonfilen– generera, hantera, byta och distribuera DNS-nycklar i

enlighet med fastställda krav

• Jämförbart med certificate practice statement (CPS) från en utfärdare (certification authority(CA)) av X.509-certifikat

• Följer strukturen i RFC 6841https://tools.ietf.org/html/rfc6841

Spårbarhet och transparens

• Tredjepartsrevisorer granskar att ICANN agerar i enlighet med DPS

• Andra externa vittnen har också möjlighet attdelta vid nyckelceremonierna

• En Systrust-granskning och -certifieringgenomförs varje år sedan 2010

ICANN is committed to ensuring the security and stability of the Internet's unique identifier systems. As the DNSSEC Root Zone Key Signing Key (RZ KSK) manager, we are pleased to announce that ICANN's RZ KSK System has achieved SysTrust certification — an audit by the international accounting firm, PricewaterhouseCoopers, LLP (PwC) to ensure we have appropriate internal controls in place to meet the availability, processing integrity and security objectives for our RZ KSK System.

Trusted Community Representatives (TCR)

• Aktiva roller i hanteringen av nyckelsigneringsnyckeln (KSK):– Crypto Officers vars uppgift är att aktivera KSK– Recovery Key Share Holders vars uppgift är att

skydda delar av den symmetriska nyckel som använtsför att kryptera en säkerhetskopia av KSK

Crypto Officer (CO)

• Har fysiska nycklar till säkerhetsboxar sominnehåller smarta kort somanvänds för att aktiveraHSM

• ICANN kan inte generera enny KSK eller signera ZSK:erutan närvaro från 3 av 7 CO

• Måste kunna resa till USA två gånger per år (per sajt)

Recovery Key Share Holder (RKSH)

• Har smarta kort som innehåller delar (M-of-N) avden nyckel som används för att kryptera KSK:nsom lagras i HSM.

• 5 av 7 RKSH-kort tillsammans med ett smart kort med den krypterade KSK:n kanrekonstruera KSK:n i en ny HSM

• Det smarta kortet med den krypteradesäkerhetskopian av KSK hanteras av ICANN.

• Måste kunna resa med kort framförhållning. Förhoppningsvis aldrig. Årlig inventering.

Community Representatives

• CO• Alain Aina, BJ• Nicolas Antoniello, UY• Fabian Arbogast, TZ• Anne-Marie Eklund Löwinder, SE• Christopher Griffiths, US• Frederico Neves, BR• Gaurab Upadhaya, NP • Olaf Kolkman, NL• Robert Seastrom, US• Vinton Cerf, US• Andy Linton, NZ• Carlos Martinez, UY• Dmitry Burkov, RU• Edward Lewis, US• João Luis Silva Damas, PT• Masato Minda, JP• Ólafur Guðmundsson, IS• Subramanian Moonesamy, MU

• CO Backup• Christopher Griffiths, US• Fabian Arbogast, TZ• John Curran, US• Nicolas Antoniello, UY• Rudolph Daniel, UK• Sarmad Hussain, PK• Ólafur Guðmundsson, IS

• RKSH• Bevil Wooding, TT• Dan Kaminsky, US• Jiankang Yao, CN• Moussa Guebre, BF• Norm Ritchie, CA• Ondřej Surý, CZ• Paul Kane, UK• (5 BKP)

iis.se

Jag har INTE nyckeln till Internet!

Typer av nyckelceremonier

• Nyckelgenerering– Generering av ny KSK

• Hantering av begäran om signering avZSK (ZSK Signing Request (KSR))– Signering av ZSK för nästa kvartal– Sker kvartalsvis– Ömsom på västkusten, ömsom på östkusten

Tillitsankare för rotzonen

• Publiceras av ICANN på en webbplatssom:– XML-kodad och textformaterad DS-post

• För att underlätta automatisk hantering– Signeringsbegäran av PKCS #10-certifikat (CSR)

• Som självsignerad publik nyckel

DNSSEC är idag en standardprocess

Nya aktiviteter

• ZSK ökade i storlek (1 oktober 2016)– Planerades för att ske före…

• Byte av KSK (nyckelrullning)• Separata med ändå koordinerade aktiviteter

iis.se

Viktiga datum!

• Nyckelceremonier– Q4 2016 (oktober): generera ny KSK – Q1 2017 (februari): KSK operationellt färdig

• Ändringar i DNS– Ny KSK i rotzonen juli 2017– Ny KSK signerar DKSKEY RRset med början oktober

2017– Nuvarande KSK revokeras januari 2018

iis.se

Ceremoni # XXVII

• En ny KSK genererades vid den ceremonin baserad på ICANNs noggranna planering

• Ceremonidatum: 27 oktober 2016 • Plats: ICANN Key Management Facility in

Culpeper, VA, USA• Alla detaljer om ceremonin och

videoinspelning finns tillgänglig på https://www.iana.org/dnssec/ceremonies/27

Det går åt tonvis med pop corn….!

https://www.iana.org/dnssec/ceremonies

iis.se

Varför byter man KSK i rotzonen?

• Primärt: beredskap och övning– KSK har inget bäst före-datum– Inga kända svagheter– Ingen nyckel ska leva för evigt: det är dålig

krypteringspraxis– Fördel att öva processer och rutiner för nyckelrullning

under normala och kontrollerade förhållanden• Till skillnad mot onormala förhållanden, som när en nyckel röjts

• Stor utmaning– Involverar oräkneliga deltagare– Ingen testmiljö kan täcka alla möjliga fall

iis.se

Byte av tillitsankare

• Tillitsankare konfigureras in direkt i validerare för DNSSEC– OM automatiska uppdateringar av tillitsankare för

DNSSEC (RFC 5011) är påslaget och fungerar så sker nyckelrullningen med automatik

– Annars krävs någon form av manuell hantering• Lägg till den nya KSK:n före den 11 oktober 2017 (förutsatt

att allt följer planen)• Ta bort den gamla KSK:n vid ett senare tillfälle

iis.se

Mer information om nyckelrullningen för rotzonen

• Mejllista:– https://mm.icann.org/listinfo/ksk-rollover

• Följ ICANN på Twitter– @ICANN Hashtag: #KeyRoll

• Webbplats:– https://www.icann.org/kskroll

iis.se

Användbara verktyg för DNSSEC

• Testa implementationen– DNSSEC Analyzer från Verisign Labs– DNSViz – A DNS Visualization Tool från Sandia National

Laboratories• Använda DNSSEC i lokala system

– DNSSEC-Trigger – lokal DNSSEC resolver för Windows, Mac OS X eller Linux

– DNSSEC Validator Add-on for Firefox– DNSSEC Validator Extension for Google Chrome

• Verktyg för att sätta upp egna namnservrar– OpenDNSSEC project– DNSSEC-Tools project

• Verktyg för att testa DANE implementationer– NIST’s TLSA test tool– DANE SMTP Validator

iis.se

Kan jag kontrollera om en domän är signerad? Jajamensan!

https://dnssec-name-and-shame.com/http://zonemaster.se/

Aktuell statistik för toppdomäner med DNSSEC (2017-03-03, 16:20)

• Totalt 1 530 toppdomäner i rotzonen– 1 385 TLD:er är signerade med DNSSEC– 1 375 TLD:er har sina tillitsankare publicerade som

DS-poster i rotzonen

http://stats.research.icann.org/dns/tld_report/

Färsk statistik…

http://www.internetsociety.org/deploy360/dnssec/

iis.se

DNSSEC tillväxt i .sehttps://www.iis.se/domaner/statistik/tillvaxt/?chart=per-type

iis.se

Andel resolvrar som validerar signaturer(per land)

TLD LandValiderar DNSSEC

Antal domäner

SESweden, NorthernEurope, Europe

82.97% 3 290 068

NONorway, Northern Europe,Europe

71,53% 1 455 481

DKDenmark, Northern Europe,Europé

53,48% 1 968 279

FIFinland, Northern Europe,Europé

5,82% 922 177

Källa: https://stats.labs.apnic.net/dnssec/XA

Att införa DNSSEC har ett pris

• Det kan vara potentiellt dödligt för online-existensen om man gör fel

• Kräver mer uppmärksamhet och merkunskap, framför allt för felsökning

iis.se

Kortsiktiga fördelar?

• Alltså som i JUST NU?– I princip alla svenska internetoperatörer validerar

dnssec-signaturer för sina kunder– Om det hanteras korrekt skapar DNSSEC-signerade

zoner högre säkerhet genom att förhindra mannen-i-mitten-attacker och cache-förgiftning

Långsiktiga fördelar

• Mer robust och mer pålitliginternetinfrastruktur

• Inga fler lögner i DNS• Vi drar nytta av tillitstjänster som bygger

på DNS• Här hjälper DNSSEC. Nu när vi kan

verifiera svar från en DNS-server kan vi också säkert lagra publika nycklar i DNS-poster

iis.se

Och så några ord om lösenord….

iis.se

Lösenordsparadoxen: Du vet att det är dåligtmen du gör det i alla fall

iis.se

Brukar du byta lösenord?

iis.se

Vilka lösenord är vanligast?

År

password password 123456 123456123456 123456 password password12345678 12345678 12345 12345678abc123 abc123 12345678 qwertyqwerty qwerty qwerty 12345monkey monkey 123456789 123456789letmein letmein 1234 footballdragon dragon baseball 1234111111 111111 dragon 1234567baseball baseball football baseball

Dåliga lösenord

• Alldeles för många använder samma• Det är enkelt att gissa för någon som

känner dig• Det är för kort och därmed enkelt att

gå igenom alla kombinationer

iis.se

Lösenord ska vara

• Unika per inloggning• Långa (10 tkn eller fler)• Komplexa• Ovanliga (undvik de 1000 vanligaste)

iis.se

Spara helst inte lösenord i webbläsare

iis.se

Använd en lösenordshanterare!

Är ditt lösenord röjt?

iis.se

Tack så mycket!Frågestund?@amelsecamel@iis.se