{"id":4373,"date":"2017-08-20T14:19:41","date_gmt":"2017-08-20T20:19:41","guid":{"rendered":"https:\/\/blogs.laprensagrafica.com\/litoibarra\/?p=4373"},"modified":"2017-08-21T12:10:28","modified_gmt":"2017-08-21T18:10:28","slug":"una-ceremonia-clave-para-la-seguridad-de-internet","status":"publish","type":"post","link":"https:\/\/blogs.laprensagrafica.com\/litoibarra\/?p=4373","title":{"rendered":"Una ceremonia clave para la seguridad de Internet"},"content":{"rendered":"<p>Cuatro veces al a\u00f1o, en instalaciones especiales ubicadas en ambas costas de los Estados Unidos, se lleva a cabo en forma alterna un evento muy especial: la ceremonia de la generaci\u00f3n de la llave cifrada que se usa en el despliegue del protocolo de seguridad DNSSEC que contribuye a que la conversi\u00f3n de nombres de dominio no sea falsificada o alterada en forma fraudulenta.<\/p>\n<p>La ceremonia se denomina \u201cRoot DNSSEC KSK Ceremony\u201d (lo que podr\u00eda entenderse como \u201cCeremonia de la clave de firma de la clave para el DNSSEC de la Ra\u00edz\u201d), y el 17 de agosto se desarroll\u00f3 la n\u00famero 30 en El Segundo, California. A esta edici\u00f3n tuvimos la oportunidad de asistir 25 personas, varias de las cu\u00e1les son participantes activos consuetudinarios, mientras otros \u00e9ramos testigos externos, espectadores pasivos y asist\u00edamos por primera vez.<\/p>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-large wp-image-4375\" src=\"https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img01-1024x426.jpg\" alt=\"\" width=\"474\" height=\"197\" srcset=\"https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img01-1024x426.jpg 1024w, https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img01-300x125.jpg 300w, https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img01-768x319.jpg 768w, https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img01.jpg 1089w\" sizes=\"(max-width: 474px) 100vw, 474px\" \/><\/p>\n<p>Todo el evento se transmite por Internet en tiempo real, de la forma m\u00e1s transparente posible. Aun as\u00ed, es claro que el inter\u00e9s para asistir y ser testigos de una de estas ceremonias es limitado, ya que todo el evento sigue un estricto protocolo y un gui\u00f3n detallado que, por definici\u00f3n, debe ser lo m\u00e1s predeterminado posible, para asegurar a todos los participantes, testigos y audiencia externa, que los pasos se han seguido correcta y estrictamente, para garantizar la firma de la clave.<\/p>\n<p>En una ceremonia t\u00edpica, el KSK (Clave Firmante de Clave) se utiliza para firmar un conjunto de ZSK (Claves de Firma de la Zona) operacionales que se utilizar\u00e1n durante un per\u00edodo de tres meses para firmar la zona ra\u00edz de DNS (Servidor de Nombres de Dominio). Otras operaciones que pueden ocurrir durante las ceremonias incluyen la instalaci\u00f3n de nuevos oficiales criptogr\u00e1ficos, la sustituci\u00f3n de hardware, o la generaci\u00f3n o sustituci\u00f3n de un KSK.<\/p>\n<p><strong>Lo especial de la ceremonia 30<\/strong><\/p>\n<p>Adem\u00e1s de que en s\u00ed misma, ya se trata de una ceremonia especial y singular, y de una gran importancia para la seguridad y estabilidad del servicio de resoluci\u00f3n de nombres de dominio prestado por los servidores Ra\u00edz, en esta ocasi\u00f3n se trata de la generaci\u00f3n de la firma que estar\u00e1 vigente cuando ocurra el primer cambio de clave en la historia de Internet, el pr\u00f3ximo 11 de octubre (ver <a href=\"https:\/\/blogs.laprensagrafica.com\/litoibarra\/?p=4315\">entrada<\/a>).<\/p>\n<p>Como lo ha anunciado ICANN oportunamente, \u201cPor primera vez en la historia, la Corporaci\u00f3n para la Asignaci\u00f3n de Nombres y N\u00fameros en Internet (ICANN) est\u00e1 a punto de cambiar las claves criptogr\u00e1ficas que ayudan a proteger el Sistema de Nombres de Dominio (DNS) de Internet\u2026 El cambio, o \u00abtraspaso\u00bb, de la clave es un paso importante para mantener la seguridad e integridad del DNS mundial. Este cambio se encuentra en plena consonancia con las pr\u00e1cticas operativas com\u00fanmente aceptadas para garantizar que la principal infraestructura de seguridad pueda brindar soporte al cambio de contrase\u00f1as en caso de ser necesario\u201d.<\/p>\n<figure id=\"attachment_4376\" aria-describedby=\"caption-attachment-4376\" style=\"width: 474px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" loading=\"lazy\" class=\"size-large wp-image-4376\" src=\"https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img02-1024x799.jpg\" alt=\"\" width=\"474\" height=\"370\" srcset=\"https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img02-1024x799.jpg 1024w, https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img02-300x234.jpg 300w, https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img02-768x600.jpg 768w, https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img02.jpg 1067w\" sizes=\"(max-width: 474px) 100vw, 474px\" \/><figcaption id=\"caption-attachment-4376\" class=\"wp-caption-text\">Fotos del autor<\/figcaption><\/figure>\n<p>La ICANN ha estado trabajando con sus pares en la comunidad t\u00e9cnica, como los registros regionales de Internet, los grupos de operadores de redes, los registros y registradores de nombres de dominio, y dem\u00e1s integrantes de ecosistema de Internet, como la Sociedad de Internet y las asociaciones que nuclean a empresas en l\u00ednea, para asegurarse de que quienes puedan verse afectados por el cambio de claves a nivel mundial est\u00e9n al tanto de esta situaci\u00f3n y pendientes de este cambio.<\/p>\n<p>Por tanto, si los operadores de los servidores de nombres de dominio y los proveedores de conectividad a Internet han hecho las preparaciones adecuadas y pertinentes, no deber\u00eda suceder nada en la fecha prevista para el cambio. Esperemos que as\u00ed sea.<\/p>\n<p><strong>La ceremonia en breve<\/strong><\/p>\n<p>De acuerdo a la <a href=\"https:\/\/www.cloudflare.com\/dns\/dnssec\/root-signing-ceremony\/\">descripci\u00f3n de la ceremonia<\/a> provista por \u00d3lafur Gu\u00f0mundsson, uno de los 14 Oficiales de Criptograf\u00eda que participan en esta ceremonia activamente, \u201cHay dos ubicaciones geogr\u00e1ficamente distintas que salvaguardan la clave de firma de clave ra\u00edz: El Segundo, California y Culpeper, Virgina. Ambas son instalaciones seguras, y contienen copias redundantes de la llave. La ceremonia alterna entre las ubicaciones de El Segundo y Culpeper\u201d.<\/p>\n<p>Dado que los servidores Ra\u00edz no tienen una cadena de confianza que las anteceda, pues ellos son el origen de toda conversi\u00f3n de nombres de dominio, el prop\u00f3sito de la ceremonia de firma de ra\u00edz es ejecutar un procedimiento riguroso para firmar la informaci\u00f3n de clave p\u00fablica de la zona DNS ra\u00edz durante los pr\u00f3ximos meses. La clave de firma privada utilizada en este proceso es literalmente la clave de todo el Internet protegido por DNSSEC. Una ceremonia p\u00fablica, auditada y estrictamente controlada alrededor del acceso a esta clave es una necesidad para que DNSSEC tenga \u00e9xito como un est\u00e1ndar global.<\/p>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-large wp-image-4377\" src=\"https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img03-1024x780.jpg\" alt=\"\" width=\"474\" height=\"361\" srcset=\"https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img03-1024x780.jpg 1024w, https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img03-300x228.jpg 300w, https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img03-768x585.jpg 768w, https:\/\/blogs.laprensagrafica.com\/litoibarra\/wp-content\/uploads\/2017\/08\/blog445img03.jpg 1099w\" sizes=\"(max-width: 474px) 100vw, 474px\" \/><\/p>\n<p>Los participantes necesarios e imprescindibles de cada ceremonia son<\/p>\n<ul>\n<li>El Administrador de la Ceremonia<\/li>\n<li>Un testigo interno<\/li>\n<li>El controlador de la caja fuerte de credenciales<\/li>\n<li>El controlador de la caja fuerte de hardware<\/li>\n<li>Oficial de criptograf\u00eda # 1<\/li>\n<li>Oficial de criptograf\u00eda # 2<\/li>\n<li>Oficial de criptograf\u00eda # 3<\/li>\n<\/ul>\n<p>Cada uno de estos participantes s\u00f3lo puede realizar ciertas partes de la ceremonia. Sus roles se dividen de una manera que garantiza menos de 1 en 1 mill\u00f3n de probabilidad de que un grupo de conspiradores pueda comprometer la clave de firma de ra\u00edz, asumiendo una tasa de deshonestidad del 5% entre estos individuos. Pueden existir un n\u00famero determinado de acompa\u00f1antes, llamados testigos externos, dependiendo del espacio en la sala.<\/p>\n<p>Podemos dar fe y seguridad que la firma de la clave firmante realizada en la ceremonia 30 se desarroll\u00f3 en forma eficiente, siguiendo al pie de la letra el gui\u00f3n preparado de antemano, y cumpliendo todos los pasos en un tiempo relativamente breve: un total de 2 horas y 55 minutos, llevando un detallado registro de la hora en cada paso fue completado.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cuatro veces al a\u00f1o, en instalaciones especiales ubicadas en ambas costas de los Estados Unidos, se lleva a cabo en forma alterna un evento muy especial: la ceremonia de la generaci\u00f3n de la llave cifrada que se usa en el despliegue del protocolo de seguridad DNSSEC que contribuye a que la conversi\u00f3n de nombres de &hellip; <a href=\"https:\/\/blogs.laprensagrafica.com\/litoibarra\/?p=4373\" class=\"more-link\">Seguir leyendo <span class=\"screen-reader-text\">Una ceremonia clave para la seguridad de Internet<\/span> <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[16,10,1,4],"tags":[],"_links":{"self":[{"href":"https:\/\/blogs.laprensagrafica.com\/litoibarra\/index.php?rest_route=\/wp\/v2\/posts\/4373"}],"collection":[{"href":"https:\/\/blogs.laprensagrafica.com\/litoibarra\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.laprensagrafica.com\/litoibarra\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.laprensagrafica.com\/litoibarra\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.laprensagrafica.com\/litoibarra\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4373"}],"version-history":[{"count":0,"href":"https:\/\/blogs.laprensagrafica.com\/litoibarra\/index.php?rest_route=\/wp\/v2\/posts\/4373\/revisions"}],"wp:attachment":[{"href":"https:\/\/blogs.laprensagrafica.com\/litoibarra\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4373"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.laprensagrafica.com\/litoibarra\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4373"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.laprensagrafica.com\/litoibarra\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4373"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}