Koreňová zóna CZ prešla na eliptické krivky
(Bratislava, 12. 6. 2018) V decembri 2016 sme oznámili, že ako prvý veľký registrátor v SR prechádzame na našich DNS na najnovší a najbezpečnejší algoritmus pre šifrovanie dát v DNS, ktorý je založený na eliptických krivkách (ECDSA).
Aj vďaka Zoneru sa tento algoritmus stal najpoužívanejším šifrovacím algoritmom, ktoré používajú registrátori na zabezpečenie domén technológiou DNSSEC. Oba varianty tohoto algoritmu (v grafu označené svojimi plnými názvami ECDSAP256SHA256 a ECDSAP384SHA384) už chránia takmer polovicu všetkých zabezpečených .CZ domén.
Výmena kľúča v koreňovej zóne .CZ
V ttomto roku posledného mája CZ.NIC, správca domény CZ, oznámil, že vykoná začiatkom júna rotáciu kľúčov v koreňovej zóne domény .CZ a prejde tak na šifrovací algoritmus na eliptické krivky tiež na najvyššej úrovni. Celý článok s technickými detailami o tejto zmene si môžete prečítať na blogu CZ.NICu.
CZ.NIC bude vôbec prvý správca domény najvyššej úrovne, ktorý najnovší a najbezpečnejší algoritmus ECDSA použije. To bude mať dopad na správcov DNS serverov, ktorí neaktualizujú svoje servery a využívajú zastaralý software. Po rotácii kľúčov im pravdepodobne DNS nepôjde vôbec, preto CZ.NIC apeluje na správcov, aby preverili konfigurácie svojich serverov a prípadne ich aktualizovali. Zákazníci Zoneru našťastie nič takého riešiť nemusia, všetky .CZ aj .EU domény automaticky podpisujeme algoritmom ECDSA.
Prínosy eliptických kriviek ECDSA
Výhodami algoritmu ECDSA je výrazne vyššia bezpečnosť (vďaka väčššej sile kľúča) a nižšia náchylnosť k zneužitiu pre DDoS (distributed denial of service – zahltenie cieľovej služby požadavkami veľkého množstva rozptýlených počítačov). Veľkou výhodou je tiež lepšia dostupnosť DNS. Na základe výskumu laboratórií APNIC tento algoritmus prispieva k rýchlejšej DNS odpovedi a tým k potencionálnemu zrýchleniu fungovania DNS po IPv6 sieťach.
Vyššia miera bezpečnosti ECDSA kľúčov umožňuje znížit frekvenciu rotácií kľúčov oproti RSA kľúčom. Podpisovanie zón algoritmom ECDSA je výrazne rýchlejšie ako v prípade RSA. To umožňuje zjednodušiť management kľúčov a v budúcnosti prejsť na on-line podpisovanie.
Čo je DNSSEC?
Zatiaľ čo DNS je decentralizovaný systém, ktorý sa stará o údržbu databázy doménových mien a ich preklad na IP adresy, technológia DNSSEC (Domain Name System Security Extensions) chráni používateľov pred podvrhnutím IP adresy útočníkom, ktorý by chcel, aby určitá doména zobrazovala používateľovi iný obsah – teda pred jej presmerovaním, bez toho, aby to používateľ tušil. DNSSEC tak zaručuje, že obsah je autentický.
Služba DNSSEC má za posledné roky pomerne búrlivý vývoj a združenie CZ.NIC, správca domény .CZ, patrí medzi popredných inovátorov pri nasadzovaní DNSSEC. Prvou doménou, ktorá zaviedla podpisovanie, bola švédska doména .SE v roku 2005. CZ.NIC začal českú národnú doménu zabezpečovať pomocou DNSSEC v roku 2009, o veľa skôr, ako ostatní registrátori aj ako organizácia ICANN. CZ.NIC na stránkach dnssec.cz publikuje veľké množstvo informácií o tejto technológii. Ak se teda o nej chcete dozvedieť viac, odporúčame návštevu týchto stránok.