DNSSEC: Doména cz má být bezpečnější

Správce české domény CZ.NIC uvádí, že technologie DNSSEC zvyšuje bezpečnost systému DNS; DNSSEC bude užitečný především pro firmy, které pracují s citlivými informacemi a daty; spuštění testovací verze pro doménu ENUM je plánováno na duben, pro doménu .CZ na srpen, spuštění ostrého provozu potom na září 2008.



Sdružení CZ.NIC, správce domény CZ, připravuje zavedení technologie DNSSEC (DNS Security Extensions) do systému správy domén. Tato technologie rozšiřuje DNS a zvyšuje jeho bezpečnost. Sdružení CZ.NIC v těchto dnech seznamuje se zavedením technologie DNSSEC registrátory, kteří by na ni měli začít od dubna připravovat své systémy.

„Provoz DNS, doménových jmenných serverů, s sebou v dnešní době přináší různá rizika. Na správném a bezchybném provozu domény záleží mnoha firmám a jednotlivcům včetně těch, kteří žádnou doménu nevlastní. Přes internet probíhá řada finančních, obchodních a jinak důležitých operací. Nezřídka se objevují případy útoků na internetové bankovnictví. V minulosti již byly zaznamenány případy, které byly přímo namířené proti uživatelům internetu v České republice,“ uvádí Ondřej Surý, technický ředitel sdružení CZ.NIC.

DNSSEC zavádí do DNS dotazů digitální podpisy. V případě, že je doména takto chráněna, je odpověď, kterou systém pošle, ověřená a informace správná. V běžném provozu to ale uživatel nepozná.

Technologie DNSSEC je určena především firmám, které mají zájem o bezpečnost svých sítí a informací. Každá doména, aby mohla být digitálně podepsaná, musí mít registrovanou veřejnou část digitálního klíče. S tím souvisí to, že zájemci o tuto technologii na ni musí být technologicky připraveni. Firmy musí umět podepisovat záznamy v doméně a zároveň sdružení CZ.NIC prostřednictvím registrátora poskytovat použitý klíč. Ten potom zařadí administrátoři sdružení do serverů, které se starají o doménu CZ. „Pro nás je zavedení DNSSEC v tomto roce projekt číslo jedna. V dubnu chceme začít tuto technologii testovat u ENUM domén, od srpna potom u domén .CZ,“ říká Ondřej Filip, výkonný ředitel sdružení, a dodává: “Tuto technologii používají v Evropě pouze dva registry domén nejvyšší úrovně, švédský a bulharský. Česká republika tak bude podle všeho od září tohoto roku třetí zemí, která zavede DNSSEC ve svém systému správy domén.“


Jak DNSSEC funguje?
Zdroj: CZ.NIC
DNSSEC zavádí DNS asymetrickou kryptografii – tedy používání jednoho klíče na zašifrování a jiného klíče na dešifrování obsahu. Obdobný princip je základem známějšího šifrování zpráv pomocí PGP či podepisování e-mailů elektronickým podpisem. V případě DNSSEC si držitel domény vygeneruje dvojici soukromého a veřejného klíče. Svým soukromým klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je pak možné ověřit pravost tohoto podpisu. Aby měli všichni tento klíč dostupný, publikuje jej ke své doméně u nadřazené autority. To je pro všechny domény .cz v registru domén .cz. I na úrovni registru domén .cz jsou technická data v DNS podepsána a veřejný klíč k tomuto podpisu je opět správcem registru předán nadřazené autoritě. Vytváří se tak řetěz důvěry, který zajistí, že údajům můžeme důvěřovat, pokud je řetěz ve všech svých krocích nepřerušen a všechny elektronické podpisy souhlasí, viz následující schéma.











Komentáře