Scroll to top

Top

Geen reacties

DNSSEC | De 14 wachters van het internet en hun 7 sleutels

Gepost op 09/11/2016
DNSSEC | De 14 wachters van het internet en hun 7 sleutels

Neen, het is geen sprookje, maar bittere ernst. Het internet wordt beschermd door 7 sleutels. En deze sleutels zijn meer waard dan de lanceercodes van een kernraket. Deze 7 sleutels worden in bewaring gehouden door de 14 Crypto Officers. Van elke sleutels zijn er dus 2 exemplaren.

DNS, het grote internetboek

Om te kunnen begrijpen wat deze sleutels net doen moeten we even een stap terugzetten en de technologie die het internet draaiende houdt bestuderen. Alles op het internet dat publiek toegankelijk is heeft krijg een adres toegewezen. Ook Technologium heeft er een. Maar dat is niet technologium.be zoals jullie zouden denken. Computers maken gebruik van nummers om computers te benaderen. Deze nummers bestaan uit 4 getallen tussen 0 en 255, gescheiden door puntjes. Dit heet een IP adres en ziet er uit zoals 188.93.120.123.

Het zou echter niet zo praktisch zijn om deze nummers te onthouden. De gemiddelde tiener kan nog maar amper een telefoonnummer onthouden, laat staan de 13 IP adressen van al zijn online netwerken. Daarom werd het Domain Name System uitgevonden, afgekort DNS. Dit systeem laat je computer toe om het adres op te zoeken voor de website dat je ingeeft. Het lijkt dus op een soort van telefoonboek, het internetboek.
southpark

Nu kan je al bedenken dat er heel wat leuks te frauderen valt. Zo kan je met een vals DNS record het verkeer naar een bank omleiden naar je eigen server. Of kredietkaartgegevens voor Amazon langs je eigen databank sturen. Om dat soort fratsen tegen te gaan werd er een hiërarchisch vertrouwenssyteem opgebouwd genaamd DNSSEC. Helemaal aan de top staat de root DNS zone die ervoor zorgt dat sytemen andere DNS servers kunnen verifiëren. Maar hoe valideren we nu net dat we met deze root aan het praten zijn en niet met iemand anders?

Elke verzoek afkomstig van deze root DNS wordt ondertekend met een bepaald certificaat. Dit certificaat bestaat uit 2 delen: een publieke sleutel en een private sleutel. Dit zijn geen echte sleutels, dit zijn een reeks goedgekozen nulletjes en eentjes. De root DNS gebruikt zijn private sleutel om de data te versleutelen. Die private sleutel is dus cruciaal voor de veiligheid van het internet.

De Root Signing Ceremony

Elke 3 maanden vindt de Root Signing Ceremony plaats waarbij nieuwe sleutels gemaakt worden. Er zijn twee beveiligde locaties waar deze ceremonie kan plaatsvinden: El Segundo (Californië) en Culpeper (Virginia). Beide zijn echter wel in de Verenigde Staten, een heikel politiek punt in deze turbulente tijden.

Er zijn 7 aanwezigen bij een Root Signing Ceremony: 3 Crypto Officers (elk met een sleutel), een getuige, twee kluisbeheerders en ten slotte een ceremoniemeester. De hele ceremonie wordt rigoreus geleid door protocollen. Zo geven de 3 (fysieke) sleutels van de Crypto Officers toegang tot 3 kluizen. Deze kluizen bevatten smart key cards, een digitale sleutel dus. Met deze 3 smart key cards kan je toegang krijgen tot de hardware die de loper van het internet genereert.

Twee van de kluizen. Jep, die zitten ook nog eens in een afgesloten kooi.

Twee van de kluizen. Jep, die zitten ook nog eens in een afgesloten kooi.

Natuurlijk is het niet zo eenvoudig als 3 sleutels te stelen. Je moet al het complex binnengeraken en daar is ook de nodige beveiliging aanwezig. Biometrische scanners, veiligheidsagenten… En ben je toch binnengeraakt heb je 7 mensen nodig vooraleer je kan prutsen met het certificaat van de root DNS.

Je kan natuurlijk altijd mensen omkopen. Ook daar werd aan gedacht. De rollen zijn op een specifieke manier verdeeld over de verschillende internetorganisaties. Als we veronderstellen dat gemiddeld 5% van de mensheid oneerlijk is en dus slechte bedoelingen heeft, is er een kans van 1 op 1 miljoen dat een complot om de root sleutel van het internet te pakken te krijgen slaagt. En dat lijkt me best nog veel…

Conclusie

Het internet is ontwikkeld in andere tijden: de basis veronderstelt dat iedereen goede bedoelingen heeft. Deze stelling gaat echter al lang niet meer op en daarom werden extra veiligheidsmechanismes zoals DNSSEC ingevoerd. Dit heeft echter nog steeds een enkel heikel punt: de root DNS server en zijn certificaat. Twee locaties, 7 sleutels en 14 crypto officers zorgen ervoor dat jij zeker kan zijn dat je bank je bank is. Zij vormen de basis van veiligheid op het internet. Maar ze vormen ook een kwetsbaarheid.

Bram Vandewalle

Plaats reactie

dnssec-de-14-wachters-van-het-internet-en-hun-7-sleutels