Den första nyckelsigneringsnyckeln för rotzonen genererades den 16 Juni 2010 klockan 21:19 (UTC) vid en nyckelceremoni i Culpeper, Virginia. DS-posten för den genererade nyckeln är:

. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

Den fullständiga DNSKEY-representationen av den publika nyckeln kommer att publiceras snart efter den andra nyckelceremonin, som är planerad att genomföras den 12 Juli 2010. Vid denna ceremoni kommer den generade nyckeln att installeras i den andra nyckelhanteringsanläggningen i El Segundo, Kalifornien. Den genererade nyckelsigneringsnyckeln skall betraktas som preliminär tills dess att den har installerats i båda nyckelhanteringsanläggningarna.

Kirei representerades vid nyckelceremonin av Jakob Schlyter och Fredrik Ljunggren, båda i rollen som externa vittnen (External Witnesses, EW).

Fredrik och Jakob intygar att nyckelceremonin utfördes så som beskrivits i ceremonins manus. Dena PGP signatur kan användas för att verifiera DS-postens äkthet.

Som många av er redan vet, har Kirei – som en del av Root DNSSEC Design Team, och på uppdrag av ICANN – en central roll i införandet av DNSSEC i rotzonen. Arbetsgruppen, som består av Internet- och säkerhetsexperter från ICANN, VeriSign och Kirei, arbetar tillsammans för att uppnå målet att implementera en stabil och säker lösning för DNSSEC i rotzonen till juli 2010.

De senaste 10 månaderna har vi arbetat med ett antal viktiga frågor, bland annat:

• Övergripande system- och säkerhetsarkitektur baserat på kraven från U.S. Department of Commerce, National Telecommunications and Information Administration (DoC/NTIA)
• Säkerhetsdeklaration (DPS) för KSK- och ZSK-operatörerna (ICANN respektive VeriSign), samt ett ramverk för säkerhetsdeklarationer som andra införandeprojekt kan dra nytta av
• Kommunicera framsteg och inhämta kommentarer från Internetsamfundet
• Etablera metoder för publicering av tillitsankare
• Öka transparensen och tilliten till säkerhetsfunktionerna genom att introducera konceptet med Trusted Community Representatives i processen
• Definiera fysiska säkerhetskontroller och krav för KSK-operatörens anläggningar
• Förberedelser för att genomgå en SysTrust-certifiering av KSK-operatörens procedurer och processer
• Utarbetande av nyckelceremonier samt testning och repetitioner av dessa
• Framtagande av utrullningsplaner samt interagera med rotserveroperatörer
• Test av resolverimplementationer

Kirei är mycket stolta över att vara en del i denna milstolpe i utveckligen av Internet, och är övertygade om att en signerad rot är ett mycket viktigt steg i att öka säkerheten i DNS-infrastrukturen.

För mer information om DNSSEC för rotzonen, besök gärna webbplatsen på adressen http://www.root-dnssec.org/.

Detta blogginlägg finns bara på engelska.

Förra veckan släppte Kirei tillsammans med .SE, John A Dickinson, NLnet Labs, Nominet, SIDN och SURFnet en förhandsversion av OpenDNSSEC.

• Pressmeddelande

Inför signering av rotzonen diskuteras flitigt vem som skall utöva kontrollen över den kryptografiska nyckelsigneringsnyckel (KSK) som ligger till grund för validering av rotzonen och därmed alla underliggande zoner i domännamnssystemet (DNS). I potten ligger förtroendet för rotzonen och det organ som administrerar och driver denna, ICANN. Hotet man försöker avvärja är en partitionering av Internet med flera olika alternativa rotzoner. För att stärka ICANNS legitimitet och förtroendet för rotzonen förespråkar en del att kontrollen av nycklarna bör delas upp över flera olika intresseorganisationer genom s.k. M av N.

Säkerhetsmekanismen M av N syftar till att försvåra eller förhindra för enskilda tjänstemän att åsidosätta uppsatta säkerhetsföreskrifter. De tekniska styrmedlen för M av N bygger på att åtkomst till en fysiskt skyddad signeringsenhet (säkerhetsmodul, HSM) med nyckellagring och manipulationsskydd regleras så att M av N tjänstemän måste närvara vid nyckeloperationer. Denna åtkomstkontroll innebär som regel inte att själva nyckelmaterialet delas över tjänstemännen, utan endast åtkomst till säkerhetsmodulen.

Även om det är kryptografiskt möjligt att dela en datamängd över M av N är det i detta fallet opraktiskt och ger dessutom möjlighet för en grupp av tjänstemän att slå sig samman och röja nyckelmaterialet. Att dela upp nyckelmaterialet försvagar de privata nycklarnas konfidentialitetsskydd och motverkar därför syftet att stärka tilliten.

Åtkomst reglerad med M av N är inte heller ett lämpligt sätt att delegera (del)ansvar för driften till andra organisationer. Driftmiljön blir alltför sårbar med svåra konsekvenser om nödvändiga personer inte kan eller vill infinna sig (av politiska eller praktiska orsaker), för att med kort varsel genomföra kryptografiska operationer.

Man bör i alla avseenden sträva efter att reducera komplexiteten vid drift och förvaltning av rotzonen. Organisatorisk, politisk och teknisk stabilitet är det primära målet, tilliten följer därav.

Ett vanligt missförstånd är att förtroendet till rotnyckeln är överordnad förtroendet till ICANN. I själva verket är det tvärt om. De förlitande parterna väljer själva vem de litar på genom att peka sina namnservrar mot ICANN-roten och konfigurera det av ICANN publicerade tillitsankaret. Det är inte viktigt vem eller vilka som kontrollerar och utför signeringsoperationerna så länge innehållet i zonen är kontrollerat. M av N över flera organisationer riskerar istället att introducera osäkerhetsmoment som i förlängningen kan motverka syftet att förhindra en uppdelning av namnrymden på Internet. Tilliten till roten är inte heller beroende av att man kan ta nyckelmaterialet och överföra till en annan organisation – en ny organisation måste ändå använda nya nycklar och måste på samma sätt vinna tillit. Tilliten är inte detsamma som att råda över nyckelmaterialet.

Vi anser att det inte finns någon anledning att komplicera driften av rotzonen genom att blanda in fler parter vid nödvändiga nyckeloperationer. M av N bör endast användas inom förvaltningsorganisatonen som ett sätt stärka förtroendet för rotzonens integritet.

Tillit är ett mjukt värde som inte ytterst vilar på detta tekniska styrmedel.