Dns Distribuido

¿Por qué es importante para la seguridad de DNSSEC que las tareas de examen, edición y firma estén a cargo de una sola organización?

Para DNSSEC, la fortaleza de cada enlace de la cadena de confianza se basa en la confianza que tenga el usuario en la organización que examina la clave y en otros datos del DNS de ese enlace. A fin de garantizar la integridad de esta información y de preservar la confianza, una vez que se han autenticadoiv los datos, se los debe proteger inmediatamente contra errores, ya sean deliberados o accidentales, que se pueden introducir en cualquier momento que se intercambian datos clave entre organizaciones. Si una sola organización y un solo sistema incorporan directamente el material autenticado en la zona firmada se mantiene esa confianza hasta la publicación. Simplemente es más seguro. 4

Gracias a la mayor confianza en la seguridad del DNS que aportará DNSSEC, se hace más importante que la confianza lograda a través de la validación y la autenticación del material de anclaje de confianza de TLD que realiza ICANN se mantenga a través de un archivo de zona raíz firmado.

9) En la tecnología DNSSEC, ¿a qué se refiere KSK y ZSK?

La sigla KSK corresponde a clave de firma de clave (una clave de términos larga) y la sigla ZSK corresponde a clave de firma de zona (una clave de términos corta). Con tiempo y datos suficientes, las claves criptográficas eventualmente pueden verse amenazadas. En el caso de la criptografía de clave pública o asimétrica utilizada en la tecnología DNSSECv, esto significa que el atacante determina, a través de ataques por fuerza bruta u otros métodos, la mitad privada del par de claves pública-privada utilizado para crear firmas que certifican la validez de los registros del DNS. Lo que le permite vencer las defensas que interpone la tecnología DNSSEC. DNSSEC obstaculiza estos intentos de amenaza mediante una clave de términos corta - la clave de firma de zona (ZSK) – para computar en forma rutinaria las firmas de los registros del DNS y una clave de términos larga – la clave de firma de clave (KSK) – para calcular una firma en la ZSK para permitir la validación. La clave ZSK se cambia o renueva con frecuencia para que el atacante tenga mayor dificultad a la hora de “suponer”, mientras que la clave KSK más larga se cambia a intervalos mucho más largos (las mejores prácticas vigentes colocan este plazo en el término de un año). Puesto que la KSK firma la ZSK, y la ZSK firma los registros del DNS, sólo se requiere la clave de KSK para validar un registro del DNS en la zona. Es un modelo de la KSK, en la forma de un registro de Firmante de delegación (DS, la sigla en inglés) que se transmite a la zona “principal”. La zona principal (por ej., la raíz) firma el registro de DS del secundario (por ej., .org) con su propia ZSK

...