miércoles, octubre 15, 2008

DNSSEC - cómo firmar la raiz del DNS, o no - seguridad en el DNS

Durante los años recientes se ha perfeccionado una serie de elementos de tecnología y estandarización para proveer seguridad en el sistema de nombres de dominio (DNS), conocidos en conjunto como DNSSEC. En DNSSEC se hace una firma digital de un nombre de dominio y los dominios de nivel inferior pueden ser programados para sólo reconocer la zona jerárquicamente más alta si la firma digital coincide. La firma está basada en PKI y requiere todos los elementos de criptografía de llave pública conocidos, incluyendo la dificultad (que está bien resuelta en DNSSEC) para propagar las firmas de manera segura, revocarlas o reemplazarlas, etc. DNSSEC da lugar a algunor problemas secundarios para los que también se han adaptado soluciones. El más conocido es el del "'peinado" de las zonas", que permite explotar DNSSEC para descubrir algunos registros en el DNS que debieran permanecer sin visibilidad.

DNSSEC se vuelve un tema mucho más delicado, y adquiere un ángulo político, cuando se aplica a dominios de primer nivel (TLDs) y a la raíz del DNS. Los dominios nacionales (ccTLDs) de algunos países, como Suecia (.se) ya están aplicando esta tecnología y adquiriendo experiencia con su uso. Pero el firmado de la raíz se vuelve contencioso.

La raíz del DNS, como se sabe, está bajo responsabilidad de ICANN, en un complejo arreglo del que también son parte la compañía Verisign y el gobierno de Estados Unidos a través de una agencia del Departamento de Comercio conocida como NTIA. En los últimos días se han dado a conocer la propuesta para la firma de la raíz de ICANN y la de Verisign. Huelga decir que son diferentes, que la de Versign tiende a perpetuar y fortalecer el papel asimétrico de Verisign en la administración del DNS (con un problema tipo "juez y parte" adicional, y que la NTIA... la NTIA.. la NTIA ha preferido llamar a una consulta pública que termina el 24 de noviembre, después de las inminentes elecciones presidenciales en Estados Unidos. La NTIA, en tanto que ha expresado una opinión, se ha manifestado por no proceder de acuerdo con la propuesta de ICANN en tanto que considera que es una modificación del contrato de IANA que no es posible considerar actualmente.

¿Qué hacer? Los interesados harían bien en enterarse bien del tema, y participar en la consulta. En lo personal me inclino fuertemente a favor de la propuesta de ICANN, y ante todo, a la necesidad expresada ya por expertos de muy alto nivel de que la raíz sea firmada en una forma que resulte convincente para todos quienes vitalmente dependen del DNS, y reduciendo el rol asimétrico de las entidades basadas en los Estados Unidos.