Testemunhas da assinatura da região UY

23/06/2022

Por Carlos Martínez – CTO do LACNIC

TLD .UY (Uruguai) renovou suas assinaturas da região, utilizando sua KSK (Key Signing Key), uma chave criptográfica que permite assinar a região do DNS (Domain Name System), fortalecendo assim o sistema e a confiança na Internet.

A KSK é a chave utilizada para assinar digitalmente o conjunto de chaves de assinatura da zona raiz. O.uy do DNS tem o compromisso – como todos os TLDs (Top Level Domain, por suas siglas em inglês) – de assinar seu espaço utilizando DNSSEC.

Uma boa prática – aceita e indicada mundialmente – é rotar as assinaturas, rotando as senhas. As assinaturas no DNS têm uma particularidade, é preciso a ajuda da raiz para validá-lo.

Alterar a senha implica gerar um novo par de senhas criptográficas e distribuir o novo componente público a todos os resolvedores que validam DNSSEC a nível global. Esta é uma mudança significativa, uma vez que cada consulta à Internet que utiliza DNSSEC depende da KSK da zona região para validar o destino.

Não ter a KSK da zona raiz atualizada significa que os resolvedores do DNS que validam DNSSEC não conseguirão resolver nenhuma consulta do DNS.

O mecanismo utilizado consiste em desdobrar as assinaturas em duas: a ZSK (qualquer alteração na sua região) e a KSK, que é a senha para sair do .UY.

No caso do Uruguai foi fixado um prazo de cinco anos para renovar a senha. Com a KSL são gerados ZSK, em geral são geradas o dobro das senhas necessárias.

A cerimônia para gerar novas senhas no Uruguai foi realizada na data center de Pocitos, onde está o rack com o servidor HSM.

Quem esteve na cerimônia? Dois crypto officers, (cada um com um usb), uma tabeliã e cinco testemunhas, para que houvesse transparência, caso acontecesse algum contratempo.

Foi ligado o servidor do HSM (é uma placa que está dentro de um servidor) e foram realizadas uma série de passos, cujo produto final foram as chaves ZSK assinadas com a KSK.

Foi gerada também uma espécie de assinatura digital que é registrada na ata e que pode ser verificada. Dessa forma alguém pode confirmar – se desejar – se estão sendo usadas as chaves adequadas. Dá transparência e garantia ao processo.

As chaves geradas foram copiadas em dois usb. Um deles deslocou-se ao escritório do SECIU (Serviço Central de Informática da Universidade da República) e o outro foi guardado em um cofre de um banco. Esta cópia das chaves geradas é uma espécie de backup para restaurar o HSM (Hardware Security Module) caso o original seja destruído.

O usb levado ao SeCIU foi para levantar as chaves e aí efetuar as operações de assinatura.

Esta mesma cerimônia é realizada em todos os territórios abrangidos pelo LACNIC nos TLDs locais.

Suscríbete para recibir mensualmente las últimas novedades en tu mail Click here to subscribe and monthly receive the latest news in your inbox. Inscreva-se aqui para receber mensalmente as últimas novidades no seu e-mail