DNSSEC: implementace a přechod na algoritmus ECDSA

Podobné dokumenty
Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

Provozní manuál DNSSec pro registr.cz a e164.arpa

Automatická správa keysetu. Jaromír Talíř

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Provozní manuál DNSSec pro registr.cz a e164.arpa

DNSSEC Pavel Tuček

Automatická správa KeySetu

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

DNSSEC na vlastní doméně snadno a rychle

DNSSEC během 6 minut

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Novinky v.cz registru a mojeid. Zdeněk Brůna

Šifrová ochrana informací věk počítačů PS5-2

Výpis z registru doménových jmen.cz

Výpis z registru doménových jmen.cz

Implementace DNSSEC v CZ.NIC, z.s.p.o.

DNSSEC u nás i ve světě. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

Šifrová ochrana informací věk počítačů PS5-2

Ondřej Caletka. 2. března 2014

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

asymetrická kryptografie

Digitální podepisování pomocí asymetrické kryptografie

Útok na DNS pomocí IP fragmentů

Digitální podepisování pomocí asymetrické kryptografie

212/2012 Sb. VYHLÁŠKA

Správa a zabezpečení DNS

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

DNSSEC. Adam Tkac, Red Hat, Inc. 23. dubna 2009

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Digitální podepisování pomocí asymetrické kryptografie

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Principy a správa DNS

Pokročilá kryptologie

!"##$%&'&()*+,-./&0*(1&(&2)+34.50*6&2&78(94 EEE<(F*614BC<F2&

C5 Bezpečnost dat v PC

MINIMÁLNÍ POŽADAVKY NA KRYPTOGRAFICKÉ ALGORITMY. doporučení v oblasti kryptografických prostředků

Domain Name System (DNS)

Cryptelo je systém kompletně navržený a vyvinutý přímo naší společností. Aplikace šifrování do běžné praxe. Cryptelo chrání přímo vaše data

Šifrová ochrana informací věk počítačů KS - 5

Robert Hernady, Regional Solution Architect, Microsoft

Problematika převodu zprávy na body eliptické křivky

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

Šifrová ochrana informací věk počítačů PS5-1

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Kryptografie založená na problému diskrétního logaritmu

Principy a správa DNS

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

pomocí asymetrické kryptografie 15. dubna 2013

Informatika / bezpečnost

Kryptografie - Síla šifer

Knot DNS Knot Resolver

Knot DNS a DNSSEC. IT14 Workshop Jan Kadlec Daniel Salzman

496/2004 Sb. VYHLÁŠKA Ministerstva informatiky ze dne 29. července 2004 o elektronických podatelnách

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

České vysoké učení technické v Praze Fakulta elektrotechnická Katedra telekomunikační techniky. 7.přednáška. Kryptosystémy veřejného klíče II

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

PA159 - Bezpečnostní aspekty

Knot DNS workshop (aneb alternativy k BINDu) Jan Kadlec jan.kadlec@nic.cz

Základy šifrování a kódování

Diffieho-Hellmanův protokol ustanovení klíče

SIM karty a bezpečnost v mobilních sítích

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Přínos teorie eliptických křivek k řešení moderních kryptografických systémů

12. Bezpečnost počítačových sítí

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

ElGamal, Diffie-Hellman

Principy a správa DNS

Jen správně nasazené HTTPS je bezpečné

Principy a správa DNS - cvičení

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Identifikátor materiálu: ICT-2-04

dokumentaci Miloslav Špunda

Historie Kryptografie

Bezpečnost vzdáleného přístupu. Jan Kubr

Elektronický podpis. Marek Kumpošt Kamil Malinka

Eliptické křivky a RSA

Principy a správa DNS

DNSSEC na vlastní doméně snadno a rychle

y s garantovaným odesílatelem a obsahem v praxi s využitím DKIM. Ing. Tomáš Hála ACTIVE 24, s.r.o.

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Principy a správa DNS

Osnova přednášky. Seznámení s asymetrickou kryptografií, díl 2. Podpisová schémata -elementární principy- (1)

DNSSEC a CSIRT. aneb co může udělat webhoster pro bezpečnější internet. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Tel.: (+420)

Principy a správa DNS - cvičení

Směry rozvoje v oblasti ochrany informací KS - 7

Karel Kohout 18. května 2010

Principy a správa DNS

Bezpečnější pošta aneb DANE for SMTP

Průvodce registrací domény CZ

Počítačové sítě 1 Přednáška č.10 Služby sítě

SSL Secure Sockets Layer

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Komerční výrobky pro kvantovou kryptografii

Co nového v ICANN. Aneb problémy vládce Internetu. Ondřej Filip ondrej.filip@nic.cz

Správa DNS zónových souborů v Gitu

Transkript:

DNSSEC: implementace a přechod na algoritmus ECDSA Konference Internet a Technologie 2017 21. 6. 2017 Martin Švec ZONER software, a.s. martin.svec@zoner.cz

ZONER software, a.s. Na trhu od roku 1993 Divize software Zoner Photo Studio X Divize internetových služeb CZECHIA.COM registrátor domén, webhosting, serverhosting e-commerce, cloudové služby SSL certifikáty Vydavatelství Zoner Press

DNSSEC Bezpečnostní rozšíření protokolu DNS Asymetrická kryptografie RSA ECDSA Řetěz důvěry od kořenové zóny k listům autenticita DNS záznamů detekce změn při přenosu

DNSSEC veřejné klíče KSK, ZSK DS delegace v nadřazené zóně RRSIG podpisy RRsetů NSEC/NSEC3 maatts.cz cz. alg=8, id=19036 alg=8, id=14796 DS digest alg=2 alg=10, id=54576 alg=10, id=30047 1024 bits alg=7, id=33684 4096 bits DS digest alg=2 alg=7, id=14810 maatts.cz/aaaa maatts.cz/soa maatts.cz/ns maatts.cz/txt maatts.cz/mx maatts.cz/a

DNSSEC v.cz zóně Stav k 13.6.2017: 668 210 zón 51.51% 800 000 Od 2016-06-13 do 2017-06-12 Počet domén 450 000 čnc '16 zář '16 lis '16 led '17 bře '17 kvě '17 Čas Bez DNSSEC Zabezpečeno DNSSEC CZ.NIC - https://stats.nic.cz/

Eliptické křivky Elliptic Curve Digital Signature Algorithm (ECDSA) založen na ECC (elliptic curve cryptography) místo RSA Asymetrické šifrování princip jako RSA privátní a veřejný klíč hledání diskrétního logaritmu náhodného elementu eliptické křivky s ohledem na známý základní bod (Wikipedie) Neal Koblitz, Victor S. Miller, 1985 NIST P-192, P-256, P-384, P-521 (RFC 5114)

Eliptické křivky v DNSSEC RFC 6605 duben 2012 Přidány algoritmy 13 a 14 ECDSAP256SHA256 (alg. 13) ECDSAP384SHA384 (alg. 14) Implementace podpora v autoritativních nameserverech podpora v DNS resolverech podpora v TLD registrech

Přednosti ECDSA Bezpečnost ECDSA P-256: síla cca jako RSA 3072 nejsou nutné časté rotace lze použít jen jeden klíč místo KSK + ZSK Velikost záznamů velikost zónových souborů DNS reflection útoky fragmentace paketů Rychlost podepisování online podpisy

Problémy ECDSA (Ne)podpora v DNS resolverech resolvery vracející INSECURE = nepodepsaná zóna chyba v dnsmasq 2.72 2.74 Pomalejší ověřování? vyšší nároky na resolvery nezaznamenali jsme... Výměna algoritmu (algorithm rollover) komplikace při přechodu od RSA na živé sadě zón

Podpora ECDSA v resolverech https://stats.labs.apnic.net/ecdsa Česká republika (k 13.6.2017) 34.66% validuje RSA 30.75% validuje ECDSA 27.57% validuje RSA i ECDSA dnsmasq? zanedbatelné množství...

Výměna algoritmu RFC 6781, sec. 4.1.4 nelze provést prostou rotaci klíčů! Dvojí podpis všech zón staré verze Unboundu zóny bez dvojího podpisu označí jako BOGUS dočasné zdvojnásobení velikosti zóny pět kroků pro výměnu všech KSK a ZSK klíčů prodlevy pro uvolnění starých záznamů z cachí

Vstupní podmínky Nameservery Zoneru (11/2016) celkem zón: 112.000 podepsaných zón: 43.200 podepsaných.cz zón: 30.500 podepsaných.eu zón: 12.700 NSD, velikost nsd.db: 329 MiB Změna algoritmu původní: RSA 4096/2048 (alg. 7) nový: ECDSAP256SHA256 (alg. 13)

Implementace Na straně Zoneru každá zóna má stavový automat rotace klíčů, řízeno z db využití aktivního a pasivního ZSK z běžné rotace rozšíření tabulky zón o druhý KSK rozšíření stavového automatu o stavy výměny algoritmu Na straně CZ.NICu objekt KEYSET výměna DS záznamů pro všechny zóny naráz :-)

Výchozí stav.cz zón RSASHA1-NSEC3-SHA1 (alg 7) KSK 4096 bitů ZSK 2048 bitů. alg=8, id=19036 alg=8, id=14796 DS digest alg=2 alg=10, id=54576 alg=10, id=30047 1024 bits DS digest alg=2 cz maatts.cz alg=7, id=33684 4096 bits alg=7, id=14810 maatts.cz/aaaa maatts.cz/soa maatts.cz/ns maatts.cz/txt maatts.cz/mx maatts.cz/a

1. Nové klíče a RRSIGy 28.11.2016 nový společný KSK alg 13 vygenerování ZSK alg 13 publikace dvojích podpisů pouze staré! alg=10, id=54576 alg=10, id=30047 1024 bits DS digest alg=2 cz maatts.cz alg=13, id=11972 alg=7, id=33684 4096 bits alg=7, id=14810 alg=13, id=7110 maatts.cz/ns maatts.cz/txt maatts.cz/mx maatts.cz/a maatts.cz/aaaa maatts.cz/soa

2. Publikace nových 29.11.2016 publikace dvojích klíčů publikace dvojích podpisů alg=10, id=54576 alg=10, id=30047 1024 bits DS digest alg=2 cz maatts.cz alg=13, id=11972 512 bits alg=7, id=33684 4096 bits alg=13, id=7110 512 bits alg=7, id=14810 maatts.cz/ns maatts.cz/txt maatts.cz/mx maatts.cz/a maatts.cz/aaaa maatts.cz/soa

3. Výměna klíče v KEYSETu 1.12.2016 přidání nového KSK odebrání starého KSK lze v jednom kroku... alg=10, id=54576 alg=10, id=30047 1024 bits DS digest alg=2 DS digest alg=2 cz maatts.cz alg=13, id=11972 512 bits alg=7, id=33684 4096 bits alg=13, id=7110 512 bits alg=7, id=14810 maatts.cz/ns maatts.cz/txt maatts.cz/mx maatts.cz/a maatts.cz/aaaa maatts.cz/soa

3. Výměna klíče v KEYSETu 1.12.2016 stav po odebrání starého KSK alg=10, id=54576 alg=10, id=30047 1024 bits DS digest alg=2 cz maatts.cz alg=13, id=11972 512 bits alg=7, id=33684 4096 bits alg=13, id=7110 512 bits alg=7, id=14810 maatts.cz/ns maatts.cz/txt maatts.cz/mx maatts.cz/a maatts.cz/aaaa maatts.cz/soa

4. Odebrání starých 13.12.2016 dvojí RRSIGy pouze nové alg=10, id=54576 alg=10, id=30047 1024 bits DS digest alg=2 cz maatts.cz alg=7, id=33684 alg=13, id=11972 512 bits alg=13, id=7110 512 bits alg=7, id=14810 maatts.cz/ns maatts.cz/txt maatts.cz/mx maatts.cz/a maatts.cz/aaaa maatts.cz/soa

5. Finální stav 14.12.2016 pouze nové klíče pouze nové podpisy alg=10, id=54576 alg=10, id=30047 1024 bits DS digest alg=2 cz maatts.cz alg=13, id=11972 512 bits alg=13, id=7110 512 bits maatts.cz/aaaa maatts.cz/soa maatts.cz/ns maatts.cz/txt maatts.cz/mx maatts.cz/a

Přechod na ECDSA u.eu cca 12.700 zón identický postup jako u.cz konec prosince 2016

Výsledky přechodu na ECDSA původní velikost nsd.db: maximální velikost při rolloveru: finální velikost nsd.db: 329 MiB 393 MiB 164 MiB zkrácení doby kompilace zón: cca o 30% žádné negativní odezvy žádné nepředvídané komplikace

DNSSEC algoritmy v.cz Stav k 13.6.2017: 84 107 ECDSA 12.59% 400 000 Od 2016-06-15 do 2017-06-14 250 000 Počet domén -50 000 čnc '16 zář '16 lis '16 led '17 bře '17 kvě '17 Čas DH DSA DSA-NSEC3-SHA1 ECDSAP256SHA256 ECDSAP384SHA384 RSAMD5 RSASHA1 RSASHA1-NSEC3-SHA1 RSASHA256 RSASHA512 CZ.NIC - https://stats.nic.cz/

Děkuji za pozornost

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář