Cómo gestiona ICANN las DNS para garantizar el funcionamiento de Internet

Cómo gestiona ICANN las DNS para garantizar el funcionamiento de Internet

El Confidencial ha publicado un vídeo donde explica cómo es ‘La ceremonia de las llaves’, un proceso diseñado por ICANN para regenerar las DNS.

 

DNS

Cada dominio tiene asignada una dirección IP numérica, y el sistema DNS permite vincular esa dirección IP a un nombre alfanumérico (una URL). Por ejemplo, la IP de Hostalia es 217.116.0.249. Si pones esos números en un navegador llegarás a la web pero claro, eso es muy difícil de recordar. Gracias a las DNS (Domain Name System, sistema de nombres de dominio), cuando pones www.hostalia.com el sistema traduce la información y te lleva a la web.

 

 

Para asegurar la veracidad de las direcciones web de todo internet, cada sitio dispone de dos claves que permiten asegurar y verificar la propia identidad: la clave pública y la clave privada. Si las dos claves coinciden, la web es fiable y para validar esa autenticación de las dos llaves se requiere lo que se llama la cadena de confianza ratificada en el estándar DNSSEC-bis, que consiste en que cada servidor tiene su propia clave, que está firmada por el servidor anterior en la jerarquía. Un servidor superior valida las llaves del otro y así sucesivamente, hasta llegar al gran validador final: los guardianes del sistema DNS.

 

Los guardianes del sistema DNS

Cada 3 meses unos profesionales de reconocido prestigio en los campos de la ciberseguridad y la ingeniería informática se reúnen en uno de los dos puntos asignados, que se encuentran en la costa Este y la costa Oeste de Estados Unidos. Ellos guardan las llaves que dan acceso al servidor de la ICANN, el organismo no gubernamental que custodia cuatro máquinas donde se crean las claves maestras que permiten verificar las claves públicas de todo Internet. Están sujetos a un estricto proceso de verificación personal, puertas bloqueadas con claves de acceso y escáneres biométricos hasta llegar a la sala asegurada, en la que no se pueden hacer comunicaciones electrónicas (excepto la retransmisión en streaming por parte de ICANN para darle máxima transparencia a todo el proceso).

7 son portadores titulares de las llaves físicas que abren unas cajas de seguridad custodiadas en celdas, en las que hay unas tarjetas criptográficas que ponen en marcha los módulos informáticos HSM. Estos módulos generan una serie de claves que integran conjuntamente la clave raíz conocida como SKR, que a su vez contiene nuevas claves que se distribuirán por Internet desde los 13 servidores raíz repartidos por todo el mundo, algo que harán durante los siguientes tres meses de la creación de la clave para poder confirmar los sistemas DNS de todo Internet y que todo siga funcionando sin problemas. Después de que la firma se complete, se vuelven a aplicar cuidadosos procedimientos para guardar de nuevo las tarjetas inteligentes y dejar todo tal y como estaba listo para la siguiente ceremonia. Al final de cada evento, los participantes se fotografían para demostrar que ellos fueron los que estuvieron allí.

 

Las reglas de ICANN imponen que hace falta un mínimo de tres personas para activar el HSM y solo funciona cuando todas las personas responsables están juntas. El propio módulo físico es un dispositivo inmune a la manipulación. Si alguien intenta abrirlo o romperlo, el HSM se borra automáticamente.

 

Recovery Key Holders

Incluso si los cuatro dispositivos HSM se rompieran o inhabilitaran simultáneamente, gracias a los llamados Recovery Key Holders sería posible realizar el proceso de actualización y verificación. Estos 7 suplentes poseen tarjetas digitales y no están en la reunión física para hacer la recuperación del sistema. Al menos 5 de los sustitutos tendrían que reunirse para resucitar la clave raíz en un nuevo equipo y así poder seguir con el resto de operaciones de verificación de seguridad.

 

Comentarios

Déjanos un comentario o cuéntanos algo.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *