Správca českej domény najvyššej úrovne .cz, CZ.NIC, dnes zverejnil viacero detailov o spôsobe zabezpečenia kľúčov systému DNSSEC, bezpečného DNS, pre túto doménu.
Česko začalo podporovať technológiu DNSSEC už v roku 2008, dva roky pred zabezpečením koreňovej zóny DNS.
Technológia DNSSEC zvyšuje bezpečnosť DNS tým, že umožňuje záznamy digitálne podpisovať a overiteľné podpisy zasielať spolu s DNS odpoveďou.
DNS klient respektíve rekurzívny DNS server prekladajúci domény na IP adresy tak môže bezpečne overiť, že odpoveď pochádza z oficiálneho DNS servera pre doménu a nebola žiadnym spôsobom podvrhnutá.
Hlavný DNSSEC KSK kľúč zóny .cz, ktorý podpisuje ostatné kľúče, má CZ.NIC na bližšie nešpecifikovanom zariadení zamknutý v bezpečnej schránke vloženej v trezore v sídle združenia. Jeho druhá kópia sa nachádza v trezore bližšie nešpecifikovanej banky.
Na oboch miestach je zároveň uložené bootovateľné CD, pomocou ktorého sa realizujú jednotlivé operácie s KSK kľúčom. CD vychádza z Ubuntu 12.04 LTS.
V schránke v trezore je tiež uložený notebook, na ktorom sa pomocou tohto CD realizujú jednotlivé operácie. Z notebooku je odstránený pevný disk, aby prípadne nezostali niektoré informácie uložené v diskových cache, a fyzicky sú na ňom odpojené bezdrôtové siete, aby doňho pri používaní prípadne nebolo možné preniknúť.
KSK tím pri KSK ceremónii (foto: CZ.NIC)
Operácie s KSK kľúčom vykonávajú členovia tzv. KSK tímu, pričom pri každej operácii musia byť minimálne dvaja. Každý člen z tímu má totiž buď len kľúč od trezora alebo kľúč od bezpečnostnej schránky.
Ďalšie detaily napríklad podpisovania ZSK kľúčov je možné nájsť na nic.cz.
Slovenská doména .sk zatiaľ stále nie je technológiou DNSSEC zabezpečená a pre .sk domény je tak možné v rozličných scenároch efektívne podvrhovať falošné záznamy.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
titulok na 5 znakov
Od: Banann
|
Pridané:
19.7.2013 12:25
tos, klasicka key creation ceremony, ktoru ma snad kazda normalna CAcka...
|
|
Re: titulok na 5 znakov
Od reg.: Pjetro de
|
Pridané:
19.7.2013 12:55
a este si oskenovat doklady a uskladnovat dekadu :)
tiez CA ceremony :)
|
|
Re: titulok na 5 znakov
Od: Banann
|
Pridané:
19.7.2013 13:48
nene, to je RA ceremony ;).
|
|
Re: titulok na 5 znakov
Od: sfdfsdfs
|
Pridané:
19.7.2013 22:22
to foto vyzera ako ten odskul jpg drsna party informatikov ... to foto z pionierskeho ptabora ci co ... ale toto je drsna party informatikov po 20tich rokoch :d
|
|
Re: titulok na 5 znakov
Od: xvzf
|
Pridané:
21.7.2013 9:26
Mas na mysli "brutalni parbu informatiku" - http://i.imgur.com/inPh8EG.jpg ? :)
|
|
Re: titulok na 5 znakov
Od: MAJAK - neregistrovany
|
Pridané:
22.7.2013 11:00
aj mne to napadlo :D lol
|
|
Re: titulok na 5 znakov
Od: asdsdfsgfd
|
Pridané:
23.7.2013 12:34
Ale nám vyrástli tí "chlapci"... :)
|
|
slovensky SK-NIC
Od: fffffffffffffffffffffff
|
Pridané:
19.7.2013 12:26
sedia na riti a nic nove neprinasaju, len ryzuju na poplatkoch za domeny, podla mna by sprava .sk domeny mala ist na akademicku podu, kde by bol zaisteny aspon nejaky pokrok
|
|
Re: slovensky SK-NIC
Od: quix_
|
Pridané:
19.7.2013 15:25
Hocikde inde by bol zaisteny vacsi pokrok ako u sknicu .teraz som na hajzli a uz som urobil vacsi pokrok ako pani z sknicu. To co je za mnou teraz vidiet je to iste ako za sknicom.. H...o
|
|
Bourne
Od: bebas
|
Pridané:
19.7.2013 12:27
Pekne zabezpecenie... a v reale "ku*va hod mi ten kluc do mailu, nechce sa mi j*bat do banky!"
|
|
Re: Bourne
Od: peter8789
|
Pridané:
19.7.2013 12:42
asi tak :)
|
|
Re: Bourne
Od: bebas
|
Pridané:
19.7.2013 12:56
B: neee, radeji ti to hodim na skype, ten je mnohem bezpecnejsi.
A: co ty nectes spravy? Microsoft poskytuje informace NSA.
B: to my taky!
|
|
Re: Bourne
Od: sdadsad
|
Pridané:
21.7.2013 12:03
a prave preto je to bezpecnejsie, zachvilu to bude reklamny slogan, powered by nsa ;-)
|
|
Re: Bourne
Od: obyčajne
|
Pridané:
19.7.2013 17:23
V súčasnosti si neviem predstaviť, že by sa to dalo robiť reálne bezpečnejšie. Všetko je otázka peňazí. V článku popísaný spôsob vyzerá byť rozumný spôsob. Kľúč (okrem verejného) do mailu neposiela nikto, kto chce bezpečnosť dosiahnuť a rozumie jej. Na svete existujú ľudia, ktorí bezpečnosti rozumejú a majú o ňu záujem. Vzhľadom na informácie o CZ NIC verím tomu, že tých pár nadšencov patria medzi takých ľudí.
Vzhľadom na informácie o SK NIC mám dôvod si myslieť, že jej zamestnanci medzi takých ľudí nepatria.
|
|
Re: Bourne
Od: na_sak_ja
|
Pridané:
20.7.2013 9:44
Maju u riti jedny aj druhy tvoju bezpecnost. Robia si iba svoju pracu a beru za nu prachy.
|
|
Re: Bourne
Od: majkyman
|
Pridané:
20.7.2013 21:40
Kamosko je obrovsky rozdiel pracovat "za prachy" a robit nieco co ta bavi a navyse byt za to plateny.
|
|
otazka
Od: trezor
|
Pridané:
19.7.2013 12:57
ako laikovi mi este chyba info
ako casto chodia k notebooku do trezora? Len ked vznika novy DNSSEC server alebo ked vznikne nova domena? To co sa vytvori si odnesu na USB kluci? Je teda nemozne ziskat "ostatný kľúč" a nim podvrhnut zaznamy?
|
|
Re: otazka
Od: NooN
|
Pridané:
19.7.2013 13:24
Opisu si ho na papier
|
|
Re: otazka
Od reg.: cca01
|
Pridané:
19.7.2013 14:52
jasné, na tie žlté lepiace papieriky, aby si to mohli prilepiť na monitor..
|
|
Re: otazka
Od: hotentot
|
Pridané:
19.7.2013 15:04
mas na mysli monitor toho notebooku ktory je v trezore, vsak?
|
|
Re: otazka
Od reg.: Co ta Potem
|
Pridané:
19.7.2013 15:30
ano a taky isty papierik s heslom maju nalepeny aj na trezore, aby nezabudli heslo
|
|
Re: otazka
Od: kidko
|
Pridané:
19.7.2013 19:50
Na pisacom stroji z ruska samozrejme
|
|
titulok
Od: omen
|
Pridané:
19.7.2013 13:58
A kde maju potom ulozeny ten kluc ak zrusili HDD?
|
|
Re: titulok
Od: peter3432
|
Pridané:
19.7.2013 14:09
na SkyDrive maju backup
|
|
Re: titulok
Od: Aladin
|
Pridané:
19.7.2013 14:13
na bližšie nešpecifikovanom zariadení zamknutý v bezpečnej schránke vloženej v trezore
|
|
Re: titulok
Od: er23
|
Pridané:
19.7.2013 14:23
v nepouzivanom sklade v podzemi, za zamknutymi dverami s napisom POZOR LEOPARD
|
|
Re: titulok
Od: Alino
|
Pridané:
19.7.2013 14:26
su to RAMky a strazi ich trojhlavy mega psisko pod ktorym su padacie dvierka.
|
|
Re: titulok
Od: foobar0_
|
Pridané:
19.7.2013 14:27
Kazdy si pamata stvrtinu!
|
|
Re: titulok
Od reg.: Co ta Potem
|
Pridané:
19.7.2013 15:31
a co ked su len traja ?
|
|
Re: titulok
Od: Alino
|
Pridané:
19.7.2013 15:44
tak si musia obliect tristvrtove gate
|
|
Re: titulok
Od: cicin
|
Pridané:
20.7.2013 8:00
vysekaný do mramorovej dosky
|
|
Re: titulok
Od: djdjddjdkd
|
Pridané:
20.7.2013 12:59
Kluc je ukryty na ukrajine, v rochniakovom anali!
|
|
Redakcii
Od: JozefPucik
|
Pridané:
19.7.2013 18:42
Odporucam redakcii, aby sa spravila rozhovorom s riaditelom Sk-NICu - nech vysvetli co vlastne cele dni robia.
|
|
Re: Redakcii
Od: WildAya-Hyuona-Sica-Yoona
|
Pridané:
19.7.2013 22:12
NIC
|
|
Re: Redakcii
Od: Alino
|
Pridané:
19.7.2013 23:50
ale take slovenske NIC, SK NIC
|
|
(hocico) uzamknuté v trezore
Od: Margaery-Sansa-Shae-Igritte
|
Pridané:
19.7.2013 22:19
tak hned čo som zbadal slovko trezor, som spomenul na príbehy a povídky z Hríšních Lidé mesta pražského, a prípady rady Vacátka - že ted by nekdo, kto by chcel získať obsah trezoru, nepotreboval žiadneho moderneho, modneho, metrosexuelního, preplateného, (+ s tzv. "fach-idioten"-syndromom)atd, atd.. iiíííteeéééčkára, ale stačil by mu 1 (príp.2) poriadni, remeselní, klasický, old-fashioned, PRVOREPUBLIKOVYýí, poctiví, atd.. kasar -zámečník, .. :p ;)
njn, KASAR...
|
|
Re: (hocico) uzamknuté v trezore
Od: Aya-Maki-Hyuona-Sica-Yoona
|
Pridané:
19.7.2013 22:22
nj, staré zlaté poviedky četnické humoresky, a iné príbehy z pražskej ,( /a českej vobec, galérky
v podaní marvana
|
|
Prístupové heslá
Od: Prihlásený užívateľ 223
|
Pridané:
21.7.2013 15:22
A všade používajú jedno spoločné heslo, aby ho nezabudli. A heslo je CZNIC123
|