Este año fui seleccionado para ser uno de los TCR de ICANN, los Representantes de Confianza de la Comunidad, para participar de la ceremonia de la firma de la raíz del DNS. Mi rol en particular es ser Cryptographic Officer, responsable de custodiar 1 de las 7 llaves que permiten acceder a la KSK.

En este artículo quiero explicar de qué se trata esta labor, orientado a gente sin conocimientos técnicos profundos en DNS/DNSSEC.

1. ¿De qué se trata la firma de la raíz?

El DNS es el protocolo que permite el funcionamiento de los nombres de dominio en Internet. Mediante DNSSEC, se puede agregar firmas digitales al DNS, de manera que cualquier mensaje lleve una certificación de validez, que puede ser verificada en tiempo real por cualquiera que tenga acceso a esos mensajes.

De esta forma, el DNS permite saber que www.fao.org es un sitio web que se encuentra en la dirección IP 104.18.24.133, y DNSSEC le agrega una firma digital que certifica que la respuesta fue creada por la Organización Mundial para la Agricultura y Alimentación, y que es correcta e íntegra.

Para esta certificación se utilizan llaves criptográficas, trozos de información matemática que permiten que solo la persona autorizada puede crear firmas, y que cualquiera en Internet puede ser capaz de verificarlas. Haciendo un paralelo con las firmas en el mundo real, solo tú puedes dibujar tu firma (nadie puede copiar tus trazos ni tu forma de dibujarla), y todos somos peritos especializados que podemos verificar que es real y correcta; y que nadie la copió de otro lado.

El DNS es jerárquico, en el sentido que toda la información parte de una raíz y desde ahí se va distribuyendo hacia el resto de nombres de dominios. Siguiendo el ejemplo, www.fao.org es un nombre que es parte del dominio fao.org, el que a su vez es parte del dominio org, el que finalmente es parte de la raíz. Cada organización es responsable de cada etiqueta. www.fao.org es creado y administrado por la FAO, lo que pase en org es creado y administrado por un organismo llamado PIR, y lo que pase en la raíz es administrado por ICANN, el organismo a cargo de la raíz del DNS.

Para las firmas se utiliza esta misma jerarquía. Para verificar que el mensaje DNS de www.fao.org tiene firmas correctas, se revisa que la prueba matemática es válida, usando las llaves de FAO. Pero ¿cómo confiamos en las llaves de FAO? Tenemos que ir a su padre .org, quien certifica que la llave de fao.org es correcta. ¿Y cómo sabemos que la llave de org es la correcta? Vamos donde su padre, la raíz del DNS, que certifica que la llave de org es correcta. Y finalmente, ¿cómo verificamos que la llave de la raíz es la correcta? Acá ya no hay más padres, entonces esta llave tiene que conocerse por todo Internet. Y es así como cualquier computador, servidor, teléfono, o cualquier dispositivo que utilice DNSSEC, debe conocer esta última llave, madre de todas.

Entonces llegamos finalmente a responder la pregunta original: ¿qué es la firma de la raíz? Es la creación de llaves y firmas digitales usando llaves criptográficas de la raíz del DNS, que es el origen de la cadena de verificación de todos los nombres de dominio en Internet.

2. ¿Qué son las ceremonias?

Las Ceremonias de firma de la raíz son reuniones en que se accede a las llaves de la raíz del DNS. En algunas ceremonias se crean nuevas llaves, en otras se firma con esas llaves, y también hay actividades administrativas como hacer respaldos, copiarlo entre distintos dispositivos, etcétera.

Como deben sospechar, esta labor hay que hacerla con mucho cuidado. Las llaves se guardan en dispositivos especializados, llamados “HSM” (Hardware Security Modules), cajas que son capaces de generar llaves y firmar, y que tienen controles de seguridad extremos. Los HSM tienen dispositivos internos que evitan que los abran, que los golpeen, y cualquier manipulación física. Ante cualquiera de estos actos, se borran automáticamente. Para comunicarse con ellos, se necesita de un protocolo especial, no se conectan a ningún tipo de red, ¡menos Internet! Por último, para poder activar los HSM se necesita de smartcards (tarjetas inteligentes) que son custodiadas por distintas personas, y se requiere de un quorum mínimo para funcionar. Esto evita que cualquier persona pueda activarlas por sí sola, y necesita de un mínimo de otras personas más, lo que evita colusión.

Las ceremonias son actividades muy controladas. Todo lo que se hace debe estar escrito en un guión, desde el ingreso a la sala hasta el paso a paso de todas las actividades. Este guión está disponible para cualquiera que quiera revisarlo, y existen distintas personas que auditan y certifican que se siguió correctamente. IANA cuenta con certificación de dos auditorías externas anuales.

Por otro lado, las HSM se guardan dentro de bolsas anti-intrusión, y luego dentro de cajas fuertes. Las cajas fuertes están dentro de una jaula con accesos restringidos, y esta jaula está en una oficina especial, en un data center custodiado por guardias armados.

IANA mantiene dos instalaciones de este tipo, cada una con una copia de la información. Uno está en la costa este de Estados Unidos (cerca de Washington DC), y la otra en la costa oeste, en Los Angeles.

3. ¿Cuál es mi labor ahí?

Los TCRs son seleccionados desde distintos lugares del mundo, para representar la comunidad completa. Actualmente somos 4 personas de latinoamérica, que se reparten distintos roles y se dividen en las dos ubicaciones donde se hacen las ceremonias.

Tal como fue indicado en la pregunta anterior, para activar los HSM se necesita de un quórum de tarjetas inteligentes. Estas tarjetas son custodiadas por “Cryptographic Officers” (oficiales criptográficos), y es necesario que de los siete oficiales, al menos tres estén presentes para activarlas.

Es por esto que mi labor como CO sea asistir a las ceremonias, presentar la tarjeta al administrador de la ceremonia, y certificar que las actividades que se realizan sean fieles al guión. Por último, es importante también preocuparse de que los HSM sean desactivados luego de su uso, almacenados correctamente en sus bolsas y cajas fuertes, y custodiar la tarjeta que le corresponde hasta la siguiente ceremonia.

4. ¿Dónde puedo aprender más?

IANA maneja un sitio donde está públicamente todas las políticas, procedimientos y guiones que controlan las ceremonias de firma de la raíz: IANA DNSSEC Information.

También se encuentra el material de cada ceremonia, incluyendo el guión con las notas escritas, ¡y un video de toda la actividad! Este video se transmite en tiempo real y cualquiera puede seguirlo, e incluso hay un experto presente revisando sus comentarios, así que pueden aprovechar de consultar ahí mismo sus dudas.

5. Todo esto parece de una película, ¿no?

Por supuesto se armó bastante revuelo con lo de “las siete llaves que controlan Internet” :) Hay bastantes notas de prensa y artículos, algunos más acertados que otros.

Y en realidad ya ha aparecido en algunos capítulos de series ;)

Acá tenemos una escena de la serie “The Blacklist Redemption” del año 2017, y otra de “Elementary” (solo en inglés).

También hubo la visita de un Youtuber famoso, quien hizo un par de notas.

Y en un lado más serio, la BBC hizo un documental, del cual solo he conseguido los primeros segundos.


Next post: La Ceremonia 51 de la Firma de la Raíz del DNS

Previous post: Reversing an IPv6 address