Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

VeriSign wil gedeelde toegang tot de DNSSEC root zone key

  • Door
  • Arnout Veenman
  • geplaatst op
  • 8 oktober 2008 08:05 uur

Eindelijk, VeriSign heeft een voorstel gedaan om de root zone te signeren met DNSSEC. Daarbij heeft VeriSign ook een oplossing bedacht voor de controle over de Key Signing Key (KSK).

De belangrijkste punten uit het voorstel van VeriSign zijn:

  • De verschillende rollen die VeriSign, ICANN en het Amerikaanse Department of Commerce (DoC) hebben veranderen niet. VeriSign en ICANN blijven samen verder bouwen aan het Root Zone Management System (RZMS).
  • De controle over de Key Signing Key (KSK) wordt gesplitst over verschillende organisaties, op een “M” van de “N” manier. “N” is het aantal organisaties dat een deel van de toegang tot de KSK in handen heeft en “M” is het aantal van die organisaties dat het gebruik van de KSK moet autoriseren alvorens deze gebruikt kan worden. VeriSign heeft voorgesteld om de 13 root server operators toegang tot de KSK te geven (“M”=13). Om de KSK te kunnen gebruiken zouden 5 van deze organisaties dat moeten autoriseren (“N”=5).
  • De Zone Signing Key (ZSK) wordt door VeriSign gegenereerd en beheerd.

Het Internet Governance Project (IGP) heeft een belangrijke bedenking bij het plan van VeriSign: 10 van de 13 root server operators, private Amerikaanse organisaties en daardoor vallen onder de Amerikaanse wet en bestuur. Om deze reden zou het aantal organisaties dat nodig is om de KSK te kunnen gebruiken groter moeten zijn dan de 5 die door VeriSign is voorgesteld, waarbij IGP een minimum van 6 noemt, idealiter zou dat aantal zelfs groter moeten zijn dan het aantal Amerikaanse organisaties (10).

Ondanks dat de vraag hoe de KSK beheerd gaat worden, is het belangrijkste dat de root zone überhaupt gesigned wordt met DNSSEC, want op die manier wordt de implementatie van DNSSEC voor individuele TLD’s een heel stuk eenvoudiger en ook ISP’s hoeven maar één public KSK in hun DNS-servers op te nemen. In Zweden is dit dan ook de belangrijkste reden waarom grote ISP’s DNSSEC nog niet omarmt hebben, vertelde Anne-Marie Eklund van DNSSEC pionieer .SE tijdens de Summer School on Network Information Security.

Het volledige voorstel voor het signen van de root zone van VeriSign staat hier.

Signen die Root Zone!

Schematisch overzicht van hoe het signen van de root zone met DNSSEC in zijn werk gaat:

gerwin, 9 oktober 2008 7:59 am

het signen van de root server is zeker een stap in de goede richting echter blijft het probleem bestaan dat alleen de communicatie tussen de recursive nameserver en de rootserver encrypted is. De communicatie tussen de client en recursive nameserver is dit NIET, waardoor je nog steeds niet de resultaten van een dns query kan vertrouwen. Imho gaat het hier dan ook om een halve maatregel.

- Gerwin

Lennie, 11 oktober 2008 3:52 pm

Encrypted is niet het juiste woord hier, signed, dat maakt het mogelijk de data de verifieren dat het van een partij komt die de juiste key heeft. Het gebruik van een caching forwarding verifing recursive-nameserver op localhost lost dat probleem heel aardig op. Probeer maar eens wat te spoofen op localhost. :-)

Lennie, 19 oktober 2008 6:20 pm

Zie ook de presentatie op NANOG 44, daar word ook het voorstel van IANA besproken:

http://www.nanog.org/meetings/nanog44/abstracts.php?pt=ODY4Jm5hbm9nNDQ=&nm=nanog44

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.