Portál AbcLinuxu, 10. května 2025 14:01

Jak vypadá zabezpečení podpisu zóny .CZ

Bezpečnostní analytik CZ.NIC Pavel Bašta popsal na blogu sdružení proces zabezpečení záznamů v zóně .CZ. K takzvané KSK ceremonii mimo jiné uvádí: „celá ceremonie může působit poměrně složitě. Jejím cílem je ale především poskytnout držitelům domén .CZ jistotu, že ke kompromitaci KSK klíče a tím tedy ohrožení jejich domén nemůže dojít.“

Aby byla zvýšena bezpečnost při nakládání s KSK (Key Signing Key) klíčem, je jeho správa oddělena od správy ZSK (Zone Signing Key) klíčů. Ty jsou používány při podepisování zóny pomocí DNSSEC a slouží k podpisu všech záznamů v zóně, zatímco KSK klíč slouží pouze k podepisování všech DNSKEY záznamů.

Samotné vybavení nezbytné pro realizaci KSK ceremonie včetně notebooku, zařízení s uloženým KSK klíčem a bootovacího CD s Linuxem je uloženo v trezoru v sídle sdružení. Přesněji, v tomto trezoru je ještě jedna schránka s vlastním zámkem, ve které jsou tyto nezbytné předměty uloženy. Každý z členů KSK týmu má klíč pouze od trezoru nebo od vnitřní schránky. Není tedy možné, aby někdo z KSK týmu sám vyjmul z trezoru jakoukoliv součást vybavení pro KSK ceremonii. Více na blogu CZ.NIC.

19.7.2013 11:02 | Vilem Sladek | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

19.7.2013 21:49 NN
Rozbalit Rozbalit vše Re: Jak vypadá zabezpečení podpisu zóny .CZ
Odpovědět | Sbalit | Link | Blokovat | Admin
komedie
21.7.2013 10:33 Bill Gates
Rozbalit Rozbalit vše Re: Jak vypadá zabezpečení podpisu zóny .CZ
Odpovědět | Sbalit | Link | Blokovat | Admin
Muze mi nekdo vysvetlit k cemu je tahle komedie uzitecna? :D
22.7.2013 15:32 .
Rozbalit Rozbalit vše Re: Jak vypadá zabezpečení podpisu zóny .CZ
nevim, treba aby neslo overit, ze si obsah schranky nekdo vypujcil? :-D
22.7.2013 22:24 j
Rozbalit Rozbalit vše Re: Jak vypadá zabezpečení podpisu zóny .CZ
Dobry je to na dDOSy ... pomoci DNS s DNSSEC ti staci doslova par Mbit ... a vygenerujes klido destitky GB. Jinak celkem nanic - teda, taky sem si hral (ale zaznam do tld propagovat nebudu, to bych se zas musel s nekym dohadovat, protoze "samo" to nejde - 99% nasich uzasnych registratoru neumi vypropagovat ani glue zaznamy ... korektne ...).

Nebot pokud nemas lokalni validujici resolver (kteryzto lze pouzit k utoku ... viz dal) primo na koncovym klientovi ... tak je to lautr uplne nahowno. Pokud mas DNSko ktery to dela, ale ne na klintovi, tak prozmenu to DNSko je bod, kde veskera bezpecnost konci a stejne muzes klientovi vratit co libo.

Takze mozna za 20let, az to M$ implementuje a aspon 80% klientu system vymeni ... to bude ... uz davno prolomeny.
pavlix avatar 23.7.2013 11:21 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jak vypadá zabezpečení podpisu zóny .CZ
Na Microsoft se mi čekat nechce, ale pokud jde o linuxové distribuce, tak to není až taková hudba budoucnosti.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.