Mit allen protokollarischen Würden: Neuer KSK für die DNS-Rootzone im Anmarsch
Das Protokoll liest sich wie ein Hofzeremoniell aus Cyberland: Hof gehalten wurde Donnerstagnacht in der Key Management Facility, 18155 Technology Drive, Culpepper, Virginia. Zweck des Ganzen: Ein neuer Masterschlüssel fürs DNS wurde benötigt.
(Bild: ICANN)
Der erste Schritt auf dem langen Weg zum Schlüsselwechsel für die DNS-Rootzone ist getan: Gestern Nacht wurde an der US-Ostküste ein neuer Key Signing Key (KSK) erzeugt. Der Masterschlüssel, DNS-Rootkey, legt die Grundlage zur Authentisierung autoritativer DNS-Server und letztlich zu vertrauenswürdigen DNS-Antworten.
Manche Fachleute bezeichnen den Schlüsselwechsel salopp als kryptografische Hygiene. Die Prozedur gehört aber zu den elementaren Sicherheitsvorkehrungen, um mittels Domain Name System Security Extensions unverfälschte DNS-Informationen zu gewährleisten, also zu den Grundlagen für sicheren Internet-Verkehr. Warum der Schlüsselwechsel inzwischen überfällig ist und wie er ablaufen soll, hat die ICANN umfassend dokumentiert. Einen Überblick liefert das Dokument KSK rollover at a glance.
Starting: kskgen (at Fri Oct 14 22:31:14 2016 UTC)
Use HSM /opt/dnssec/aep.hsmconfig?
Activate HSM prior to accepting in the affirmative!! (y/N): y
Vier Mal im Jahr trifft sich eine Gruppe von DNS-Experten, externen Auditoren und Technikern der ICANN. Dabei geht es normalerweise um das Signieren von Zone Signing Keys mit dem Masterschlüssel. Das ist bereits Routine, 26 Mal traf man sich bislang. Am gestrigen Donnerstag stand jedoch eine besondere Aufgabe auf dem minutiös dokumentierten und live in alle Welt gestreamten Programm: Erstmals wurde ein neuer Masterschlüssel erzeugt. Das haben in Culpepper die Angestellten der IANA unter Aufsicht von Zeugen erledigt.
Strenges Protokoll
Das Protokoll der Key-Signing-Zeremonien ist streng. Jeder noch so kleine Schritt ist festgelegt. Einige Beispiele aus dem umfangreichen Protokoll: Der Ceremony Administrator (Zeremonienmeister) bringt eine Taschenlampe mit in den sicheren Raum, in dem die Krypto-Hardware aufbewahrt wird. Das Rad des Safes, der dort steht, muss mindestens zwei mal komplett gedreht werden, in jede Richtung, Seriennummern der Hardware Security Module und des Laptops zur Schlüsselerzeugung werden laut vorgelesen: Es ist "Laptop2 (Dell ATG6400): TEB# BB24646617 / serial # 35063364997". Auch das diesmal nicht gebrauchte Zweitlaptop wird genannt: "Laptop1 (Dell ATG6400): TEB# BB24646657 / serial # 41593712005."
Manche Kritiker tun die Zeremonie als bloßes Security-Theater ab. Sie geht auf eine Sammlung von Prüfschritten und Kontrollen zurück, die sich die technische Community hat einfallen lassen, um Manipulationen am Masterschlüssel möglichst auszuschließen. Deshalb muss bei der Zeremonie auch eine Mindestzahl an Beobachtern (M von N) anwesend sein, die den ordnungsgemäßen Ablauf überwachen.
Nächste Schritte
Jetzt liegt der neue 2048 Bit lange KSK in vierfacher Ausfertigung sicher im Safe. Zwei der Kopien sind für einen Flug zum Standort Nummer zwei der Key Management Facility in Cupertino, Kalifornien, vorgesehen.
Veröffentlich wird der neue public KSK erstmals im nächsten Quartal auf der IANA-Webseite. Die wichtigen Termine für den Schlüsseltausch kündigte Roy Arends, einer der DNS-Experten der ICANN auf dem 73. RIPE-Treffen in Madrid an. Besonders wichtig ist der 11. Oktober 2017: Ab diesem Datum werden Zone Signing Keys nur noch mit dem neuen Schlüssel signiert. Wer DNS-Antworten validiert, aber nicht auf diesen Stichtag vorbereitet ist, bekommt möglicherweise keine gültigen Antworten mehr. Der zweite wichtige Meilenstein ist im Januar 2018, wenn der erste Masterschlüssel aus dem Verkehr gezogen wird. Er soll dann im März "sicher vernichtet" werden, mit allen protokollarischen Würden. (dz)
