Traspaso de la KSK: Preguntas y Respuestas ¿Qué es la clave para la firma de la llave de la zona raíz? • La Clave para la firma de la llave de la zona raíz (KSK) es un par de claves públicaprivada criptográficas que juega un papel importante en las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC). La KSK de la zona raíz sirve como punto de partida de confianza para la validación de las DNSSEC, similar a la forma en que la zona raíz sirve como punto de partida para la resolución del DNS. • Justo cuando uno inicia en la zona raíz para resolver un nombre de dominio en cualquier lugar del DNS, el software que realiza la validación de las DNSSEC confía en la KSK de la zona raíz y crea una “cadena de confianza” de claves y firmas sucesivas para validar la autenticidad de los datos firmados en el DNS. ¿Qué implica el traspaso de la clave para la firma de la llave de la zona raíz (KSK)? • El proceso de traspaso de la KSK actualiza el anclaje de confianza de la zona raíz al introducir una nueva KSK (KSK-2017) en la zona raíz. ¿Por qué se debe traspasar la KSK? • • • Porque no es bueno que una clave criptográfica dure eternamente. Como toda contraseña, se debe cambiar a veces. Porque es mejor realizar cambios proactivos durante las operaciones normales cuando todo funciona correctamente en vez de actuar a posteriori en una emergencia. Cuando se implementó el protocolo de DNSSEC por primera vez en el año 2010, la NTIA requirió que la KSK sea traspasada y los Socios en la Gestión de la Zona Raíz posteriormente estipularon los requisitos para cambiar la clave transcurridos los cinco años de su funcionamiento. ¿Quiénes deben saber sobre el traspaso de la KSK? • Los proveedores de servicios de Internet, los operadores de redes empresariales y otros que empleen la validación por DNSSEC deben actualizar sus sistemas con la parte pública de la nueva clave para la firma de la llave de la zona raíz. ¿Cómo se enterarán? • La ICANN está llevando a cabo una extensa campaña de difusión para garantizar que aquellos que actualmente usan la KSK tomen conocimiento del cambio. • Quienes estén interesados pueden ver un programa de eventos en los cuales se debatirá el traspaso en el sitio web de la ICANN, donde también podrán seguir las actualizaciones sobre la KSK y unirse a una lista de correo electrónico especial. Asimismo, pueden seguir el hashtag #KeyRoll en las redes sociales para mantenerse informados. ¿Cuál es el impacto en los usuarios de Internet? • Si se lleva a cabo sin inconvenientes, no habrá ningún cambio visible para el usuario final. ¿Qué podría salir mal? • Es posible que algunos elementos de software que realizan la validación de las DNSSEC no se actualicen con la KSK nueva, o que algunos elementos de software quizá no puedan hacer frente a los cambios en el archivo de anclaje de confianza publicado en el sitio web de la IANA. Si estas complicaciones se vuelven generalizadas, los Socios en Gestión de la Zona Raíz pueden decidir que los cambios deban revertirse para que el sistema pueda volver a una condición estable. Eso se conoce como “escenario de reversión”. De ser necesario, la duración de una etapa dada también puede extenderse a fin de ayudar a garantizar la estabilidad, si, por ejemplo, información nueva indica que la próxima etapa puede generar complicaciones. ¿Cuál sería el efecto de una “reversión” o extensión? • El principal objetivo de una reversión o extensión sería mantener la estabilidad operativa para que el efecto en los usuarios finales sea mínimo. ¿Cuánto duraría una reversión o extensión? • Podría durar indefinidamente o hasta que las causas que originaron una reversión se estudien o rectifiquen. Las correcciones entonces podrían desplegarse en un nuevo proceso de traspaso de la KSK. ¿De qué manera exacta se traspasará la KSK? • Tendrá lugar en ocho etapas, las cuales durarán aproximadamente dos años. Cada una de las ocho etapas se asocia con una ceremonia de claves programada. • Una KSK firma el Conjunto de Registro de Recursos de DNSKEY (RRset) que constituye todos los registros de un dominio determinado en la zona raíz. Estas firmas se generan durante ceremonias de firma de claves y pasan a formar parte de Respuestas de Claves Firmadas (SKR). ¿Cuál es el plazo de las ocho etapas? • • • • • • Etapa A: Generación de clave (octubre de 2016) o Se genera la KSK-2017 en la primera instalación en la cual se administra la clave Etapa B: Replicación de clave (febrero de 2017) o Se copia la KSK-2017 a la segunda instalación en la cual se administra la clave. La KSK ahora está calificada para ingresar al estado de producción. Etapa C: Se firman los primeros datos con la KSK-2017 para usarse en la Etapa D (mayo de 2017) o Se firma el primer conjunto de solicitudes de firma de claves. Etapa D: Publicación (agosto de 2017) o La KSK-2017 se publica en la zona raíz. o Tanto la KSK-2010 como la KSK-2017 se utilizan para firmar la zona raíz. Etapa E: Traspaso (noviembre de 2017) o Solo la KSK-2017 se utiliza para firmar la zona raíz. Etapa F: Revocación (febrero de 2018) • • o La KSK-2010 se elimina de la zona raíz. Etapa G: Eliminación 1 (mayo de 2018) o Se elimina la KSK-2010 de la primera instalación en la cual se administra la clave. Etapa H: Eliminación 2 (agosto de 2018) o Se elimina la KSK-2010 de la segunda instalación en la cual se administra la clave. ¿Qué acción se puede realizar ahora? • Los desarrolladores de software que crean o mantienen software de validación de DNSSEC deberían asegurarse de que sea compatible con la RFC 5011. • Para el software no compatible con la RFC 5011 o el software configurado para no utilizar la RFC 5011, un archivo de anclaje de confianza de área de publicación estará disponible aquí. El archivo debería recuperarse cuando el resolutor se inicie y cuando las KSK en el RRSET DNSKEY de la zona raíz del DNS sean cambiadas. Los desarrolladores y operadores de software de resolutores de validación pueden tener acceso a pruebas operativas, desarrolladas por la ICANN, para evaluar si sus sistemas implementan correctamente la RFC 5011 y se actualizarán automáticamente durante el traspaso de la KSK. • ¿De qué manera la Transición de la custodia de la IANA afectará el traspaso de la KSK? • En virtud de la propuesta para la Transición de la custodia de la IANA, el rol de la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de los Estados Unidos, que actúa como la entidad administradora de la Zona Raíz, finalizará después de una transición correcta. • Los planes de traspaso fueron desarrollados por los Socios en la Gestión de la Zona Raíz; la ICANN en su rol de entidad operadora de las funciones de la IANA, Verisign como la entidad encargada del mantenimiento de la Zona Raíz y la NTIA como la entidad administradora de la Zona Raíz. Ahora que los planes se han desarrollado de manera colaborativa, los futuros traspasos de la KSK serán realizados por la ICANN de conformidad con dichos planes.