Sdružení CZ.NIC, správce domény CZ, připravuje zavedení technologie DNSSEC (DNS Security Extensions) do systému správy domén. Tato technologie rozšiřuje DNS a zvyšuje jeho bezpečnost. Sdružení CZ.NIC v těchto dnech seznamuje se zavedením technologie DNSSEC registrátory, kteří by na ni měli začít od dubna připravovat své systémy.
„Provoz DNS, doménových jmenných serverů, s sebou v dnešní době přináší různá rizika. Na správném a bezchybném provozu domény záleží mnoha firmám a jednotlivcům včetně těch, kteří žádnou doménu nevlastní. Přes internet probíhá řada finančních, obchodních a jinak důležitých operací. Nezřídka se objevují případy útoků na internetové bankovnictví. V minulosti již byly zaznamenány případy, které byly přímo namířené proti uživatelům internetu v České republice,“ uvádí Ondřej Surý, technický ředitel sdružení CZ.NIC.
DNSSEC zavádí do DNS dotazů digitální podpisy. V případě, že je doména takto chráněna, je odpověď, kterou systém pošle, ověřená a informace správná. V běžném provozu to ale uživatel nepozná.
Technologie DNSSEC je určena především firmám, které mají zájem o bezpečnost svých sítí a informací. Každá doména, aby mohla být digitálně podepsaná, musí mít registrovanou veřejnou část digitálního klíče. S tím souvisí to, že zájemci o tuto technologii na ni musí být technologicky připraveni. Firmy musí umět podepisovat záznamy v doméně a zároveň sdružení CZ.NIC prostřednictvím registrátora poskytovat použitý klíč. Ten potom zařadí administrátoři sdružení do serverů, které se starají o doménu CZ. „Pro nás je zavedení DNSSEC v tomto roce projekt číslo jedna. V dubnu chceme začít tuto technologii testovat u ENUM domén, od srpna potom u domén .CZ,“ říká Ondřej Filip, výkonný ředitel sdružení, a dodává: “Tuto technologii používají v Evropě pouze dva registry domén nejvyšší úrovně, švédský a bulharský. Česká republika tak bude podle všeho od září tohoto roku třetí zemí, která zavede DNSSEC ve svém systému správy domén.“
Jak DNSSEC funguje?
Zdroj: CZ.NIC
DNSSEC zavádí DNS asymetrickou kryptografii – tedy používání jednoho klíče na zašifrování a jiného klíče na dešifrování obsahu. Obdobný princip je základem známějšího šifrování zpráv pomocí PGP či podepisování e-mailů elektronickým podpisem. V případě DNSSEC si držitel domény vygeneruje dvojici soukromého a veřejného klíče. Svým soukromým klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je pak možné ověřit pravost tohoto podpisu. Aby měli všichni tento klíč dostupný, publikuje jej ke své doméně u nadřazené autority. To je pro všechny domény .cz v registru domén .cz. I na úrovni registru domén .cz jsou technická data v DNS podepsána a veřejný klíč k tomuto podpisu je opět správcem registru předán nadřazené autoritě. Vytváří se tak řetěz důvěry, který zajistí, že údajům můžeme důvěřovat, pokud je řetěz ve všech svých krocích nepřerušen a všechny elektronické podpisy souhlasí, viz následující schéma.
PŘEDPLATNÉ
ČLÁNKY DO MAILU