Este año fui seleccionado para ser uno de los TCR de ICANN, los Representantes de Confianza de la Comunidad, para participar de la ceremonia de la firma de la raíz del DNS. Mi rol en particular es ser Cryptographic Officer, responsable de custodiar 1 de las 7 llaves que permiten acceder a la KSK.

En un artículo anterior escribí más detalles introductorios de qué es esta ceremonia, por qué se firma la raíz del DNS, cuál es mi labor, etc.

Durante la ceremonia número 51, realizada a fines de noviembre de 2023 en las instalaciones de la costa Este de Estados Unidos, se realizó la firma de las ZSK del primer semestre de 2024, que es la actividad habitual y normal. Además se aprovechó de agregar dos nuevos dispositivos HSM, para aprovechar de renovar los más antiguos que cumplieron el ciclo de vida del fabricante.

Por otro lado, en una ceremonia anterior, se aprovechó de cambiar a uno de los TCRs antiguos, Christopher Griffiths que estuvo 10 años en el puesto, y fue reemplazado por Nomsa Mwayenga de Sudáfrica.

La ceremonia funcionó sin problemas y aunque fue más larga de lo normal (3 horas y media), se logró realizar el guión en su totalidad.

Participamos 5 TCR de los 7 disponibles, incluyendo la nueva TCR recién incorporada. Además hay participantes de IANA e ICANN que van de testigos, y encargados de la operación de la ceremonia, de empresas de auditoría, de Verisign quien es responsable de entregar las ZSK que se firmarán, y dos personas externas (de SANS Institute y de Capital One) que solicitaron participar. Cualquier persona puede solicitar participar de una de estas ceremonias en calidad de testigo externo, y dependiendo del espacio y logística, son bienvenidas a asistir.

Además en estas ceremonias se aprovecha de verificar que todos los dispositivos criptográficos estén funcionando correctamente (llaves, smartcards, HSMs, etc), verificar que ni las cajas fuertes ni las bolsas de evidencia hayan sido manipuladas, entre otras actividades administrativas.

Aprovechamos también de conversar acerca de la noticia que los actuales HSM quedarán fuera soporte y stock, porque la empresa que los fabricaba cerró esa línea de negocio. Esto ocasionó un análisis de alternativas en IANA, considerando el riesgo de mantener las actuales HSM sin posibilidad de cambio. Cualquier alternativa de cambio de fabricante de HSM significa necesariamente regenerar las llaves KSK, porque por su naturaleza no permiten copiar la llave de una a otra. La opción sería comprar HSM de otra marca y volver a generar una KSK nueva, para hacer la rotación desde la llave actual en los HSM actuales, a esta nueva llave en los HSM nuevos. De ser así, la última KSK generada en la ceremonia 49 de abril de este año (id 46211), que fue hecha en los HSM actuales para reemplazar la actual KSK en funcionamiento desde 2017, y que aún se mantiene guardada sin comenzar su proceso de rotación, nunca vería la luz y sería abandonada.

Se espera que a comienzos del 2024 IANA tenga el plan completo, el cual será sometido a discusión y seguramente a evaluación y comentarios de toda la comunidad.

Por último, cumpliendo mi papel de TCR a nombre de la comunidad, certifico que la actividad se llevó a cabo de forma correcta, cumpliendo con los pasos del guión, sin compromiso de la KSK y con participación de distintos actores de la comunidad. Se firmaron los keysets del primer trimestre de 2024 (rotación de ZSK desde 46780 a 30903) que aparecerán en la zona raíz en los meses que siguen, se reemplazó a un Cryptographic Officer, y se incorporaron dos HSM nuevos que reemplazarán a los más antiguos.

Todo el material de la ceremonia, incluída la transmisión completa que se realiza públicamente en tiempo real a través de YouTube, está disponible en el sitio web de IANA.