Sprzętowe podpisywanie DNSSEC – zamiana administratorów domeny w Strażników Internetu

Ponad 25 lat temu, kiedy wynaleziono Internet, nikt nie myślał o tworzeniu punktów kontrolnych w celach bezpieczeństwa. Przewijając do przodu kilka lat, dowiadujemy się, że każdy ze złymi zamiarami i technicznymi umiejętnościami może spowodować poważne szkody dla rdzenia, na którym zbudowany jest Internet: system domenowy (DNS). DNS to system nadawanie nazw, które towarzyszą i nawigują informacje poprzez przesyłanie nazwy domeny do adresu IP.

The Domain Name System Security Extensions (DNSSEC) jest światową inicjatywą, aby stworzyć zestaw dodatkowych specyfikacji, które zapewniają, że informacja, która przesyłamy przez Internet jest bezpieczna. Technologia DNESSC zapobiega fałszerskim domenom tworząc unikalną sygnaturę dla każdej domeny. Poprzez porównywanie użytkownika z prawdziwą stroną, można zapobiec atakom jak Phishing, kiedy dane użytkownika (np. szczegóły transakcji) są przekierowywane do serwerów osób trzecich poprzez fałszywe strony internetowe.

Nowi strażnicy Internetu pozwalają na podpisywanie DNSSEC. Grupa serwerów przechowuje informacje na temat domen w odczytywalnych plikach tekstowych , aby móc przekierować użytkownika. Po zastosowaniu podpisywanie DNSSEC dane pozostają czytelne, jednak unikalny podpis został stworzony, aby identyfikować zapytania.

Na Litwie, Uniwersyt Technologii jest odpowiedzialny za wysokopoziomowe domeny *.lt . Jako oficjalny administrator domen *.lt, uniwersytet wybrał HSM, aby zmienić domenę w strzeżony obszar DNSSEC.

Certyfikowany moduł HSM tworzy i przechowuje bezpieczne podpisy cyfrowe, które są potrzebne do autoryzowania poleceń komunikacyjnych pomiędzy domeną, serwerem i użytkownikiem. Każdy podpis jest generowany poprzez losową liczbę. HSM który udostępnia unikalne klucze, które nie mogą dostać się w ręce osób trzecich. Dla porównania – klucze generowane z poziomu software’owego mogą być przechwytywane w momencie odblokowania – oferuje to napastnikom umiejętność uczenia się oprogramowania, przez co wykorzystują luki i uruchomiają atak zdalnie.

Wspomniany Uniwersytet Technologii z sukcesem wdrożył rozwiązanie DNSSEC podpisywanie sprzętowego, aby zapewnić domenom *.lt administrację wysokiego poziomu oraz podtrzymanie procedur. Z HSM, uniwersytet może generować domeny które zapewniają prywatność użytkownika oraz klucze kryptograficzne mogą odeprzeć każdy atak – czy to atak cyfrowy za pośrednictwem Internetu, czy atak fizyczny na polu sprzętowym.