Dnssec in UA - Talk at UAdom 2011

Dmitry Kohmanyuk
Dmitry KohmanyukSystems Integration Engineer um Intuix LLC / kolo.net
DNSSEC в домене .UA Дмитрий Кохманюк UAdom 2011
Как пройти к Верховной Раде
Угрозы на пути
Как работает DNSSEC • Администратор rada.gov.ua подписывает адресную информацию цифровой подписью • Подпись состоит из открытой и закрытой частей. Открытая часть публикуется • Пользователь получает подпись вместе с ответом DNS-сервера и может проверить подпись с помощью открытого ключа
Как работает DNSSEC. Иерархия
Как работает DNSSEC. Корень • Каждый вышестоящий узел удостоверяет подписи нижестоящих узлов • Корневой узел уже подписан • Пользователь получает корневую подпись по каналам, независимым от DNS: – Вместе с операционной системой – Вместе с интернет-броузером
Как работает DNSSEC. Противоречие • Ключ должен быть сложным, чтобы его нельзя было бы взломать быстро • Ключ должен быть коротким, чтобы его могла передать система DNS • Короткие ключи надо менять часто, но часто переподписывать домены невозможно • Выход: Суперключ (KSK)
Как работает DNSSEC. Суперключ • У каждого домена есть сложный суперключ (KSK), который меняется один раз в год. • С помощью этого суперключа администратор домена создают простые ключи • Ключи слабые, но они часто меняются.
План
Тестирование в UA.UA • Специальный домен • Ключ сгенерирован на "Мастерской IPv6» 8 ноября 2011 • Зона подписана с помощью утилит bind 9.7 (DNSSEC for Humans) • Открытая часть ключа опубликована http://hostmaster.ua/dnssec
Dnssec in UA - Talk at UAdom 2011
Подготовка • Переход инфраструктуры на bind 9.8+ • Отдельные сервера подписания и публикаций • Возможно использование DLV
Тестирование подписания .UA
Выбор алгоритма RSAMD5 DSA RSASHA1 DSA-NSEC3-SHA1 RSASHA1-NSEC3-SHA1 DH RSASHA256 ECC RSASHA512 ECC-GOST
Потенциальные сложности • GOST – нет полноценной поддержки • Алгоритм, поддерживаемый в IANA RZM • Безопасное хранение ключей
Запуск • Генерация ключа – сегодня • Параметры RSASHA512, 2048/1024 bits • Тестирование в копии домена • Публикация контрольной суммы публичного ключа в IANA и на наших собственных ресурсах
Сопровождение • Ротация ключей: суперключ (KSK) – 3 года, ZSK – 3 месяца • Украинский алгоритм эллиптических кривых (необходим RFC)
Вопросы? www.hostmaster.ua Whois.ua info@hostmaster.ua
1 von 18

Dnssec in UA - Talk at UAdom 2011

Downloaden Sie, um offline zu lesen
Dmitry Kohmanyuk
Dmitry KohmanyukSystems Integration Engineer um Intuix LLC / kolo.net

Recomendados

Максим Дунин, Nginx, Inc. von
Максим Дунин, Nginx, Inc.Максим Дунин, Nginx, Inc.
Максим Дунин, Nginx, Inc.Ontico
2.9K views45 Folien
DNSSEC von
DNSSECDNSSEC
DNSSECPhilipp Kulin
582 views13 Folien
Tyurin Alexey - NTLM. Part 1. Pass-the-Hash von
Tyurin Alexey - NTLM. Part 1. Pass-the-HashTyurin Alexey - NTLM. Part 1. Pass-the-Hash
Tyurin Alexey - NTLM. Part 1. Pass-the-HashDefconRussia
990 views17 Folien
Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware) von
Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware)Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware)
Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware)Ontico
1.3K views76 Folien
Системный администратор Vkontakte. Как? / Антон Кирюшкин (Vkontakte) von
Системный администратор Vkontakte. Как? / Антон Кирюшкин (Vkontakte)Системный администратор Vkontakte. Как? / Антон Кирюшкин (Vkontakte)
Системный администратор Vkontakte. Как? / Антон Кирюшкин (Vkontakte)Ontico
1.1K views25 Folien
Опыт внедрения DNSSEC von
Опыт внедрения DNSSECОпыт внедрения DNSSEC
Опыт внедрения DNSSECPhilipp Kulin
539 views8 Folien

Más contenido relacionado

Was ist angesagt?

Юрий Насретдинов-«Сбор логов в «облаке» в Badoo» von
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»Tanya Denisyuk
12K views28 Folien
Что нового в nginx? / Максим Дунин (Nginx, Inc.) von
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Ontico
3.2K views36 Folien
Быстрое прототипирование бэкенда игры с геолокацией на OpenResty, Redis и Doc... von
Быстрое прототипирование бэкенда игры с геолокацией на OpenResty, Redis и Doc...Быстрое прототипирование бэкенда игры с геолокацией на OpenResty, Redis и Doc...
Быстрое прототипирование бэкенда игры с геолокацией на OpenResty, Redis и Doc...Ontico
928 views63 Folien
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно... von
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...Tanya Denisyuk
12.2K views48 Folien
2017-03-11 01 Игорь Родионов. Docker swarm vs Kubernetes von
2017-03-11 01 Игорь Родионов. Docker swarm vs Kubernetes2017-03-11 01 Игорь Родионов. Docker swarm vs Kubernetes
2017-03-11 01 Игорь Родионов. Docker swarm vs KubernetesОмские ИТ-субботники
1.2K views89 Folien
Механика DDoS (Александр Крижановский) von
Механика DDoS (Александр Крижановский)Механика DDoS (Александр Крижановский)
Механика DDoS (Александр Крижановский)Ontico
902 views13 Folien

Was ist angesagt?(20)

Юрий Насретдинов-«Сбор логов в «облаке» в Badoo» von Tanya Denisyuk
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Tanya Denisyuk12K views
Что нового в nginx? / Максим Дунин (Nginx, Inc.) von Ontico
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Ontico3.2K views
Быстрое прототипирование бэкенда игры с геолокацией на OpenResty, Redis и Doc... von Ontico
Быстрое прототипирование бэкенда игры с геолокацией на OpenResty, Redis и Doc...Быстрое прототипирование бэкенда игры с геолокацией на OpenResty, Redis и Doc...
Быстрое прототипирование бэкенда игры с геолокацией на OpenResty, Redis и Doc...
Ontico928 views
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно... von Tanya Denisyuk
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Tanya Denisyuk12.2K views
2017-03-11 01 Игорь Родионов. Docker swarm vs Kubernetes von Омские ИТ-субботники
2017-03-11 01 Игорь Родионов. Docker swarm vs Kubernetes2017-03-11 01 Игорь Родионов. Docker swarm vs Kubernetes
2017-03-11 01 Игорь Родионов. Docker swarm vs Kubernetes
Омские ИТ-субботники1.2K views
Механика DDoS (Александр Крижановский) von Ontico
Механика DDoS (Александр Крижановский)Механика DDoS (Александр Крижановский)
Механика DDoS (Александр Крижановский)
Ontico902 views
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS) von Ontico
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
Ontico2.2K views
Доклад Ильи Аблеева на DevOps Meetup "Мониторинг высоконагруженного проекта". von Badoo Development
Доклад Ильи Аблеева на DevOps Meetup "Мониторинг высоконагруженного проекта".Доклад Ильи Аблеева на DevOps Meetup "Мониторинг высоконагруженного проекта".
Доклад Ильи Аблеева на DevOps Meetup "Мониторинг высоконагруженного проекта".
Badoo Development1.6K views
Архитектура растущего проекта на примере ВКонтакте / Алексей Акулович (ВКонт... von Ontico
Архитектура растущего проекта на примере ВКонтакте / Алексей Акулович (ВКонт... Архитектура растущего проекта на примере ВКонтакте / Алексей Акулович (ВКонт...
Архитектура растущего проекта на примере ВКонтакте / Алексей Акулович (ВКонт...
Ontico1.8K views
Снижение нагрузки на сервер с помощью NGINX von Andrii Podanenko
Снижение нагрузки на сервер с помощью NGINXСнижение нагрузки на сервер с помощью NGINX
Снижение нагрузки на сервер с помощью NGINX
Andrii Podanenko1K views
Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса... von Ontico
Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...
Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...
Ontico1.3K views
Евгений Потапов (Сумма Айти) von Ontico
Евгений Потапов (Сумма Айти)Евгений Потапов (Сумма Айти)
Евгений Потапов (Сумма Айти)
Ontico1.7K views
Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright» von Tanya Denisyuk
Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»
Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»
Tanya Denisyuk12.1K views
Курс высокие нагрузки: сеть (отрывок) von Andrey Smirnov
Курс высокие нагрузки: сеть (отрывок)Курс высокие нагрузки: сеть (отрывок)
Курс высокие нагрузки: сеть (отрывок)
Andrey Smirnov28.5K views
Zabbix: Прошлое, настоящее и будущее (Zabbix: Past, present and the future) von Zabbix
Zabbix: Прошлое, настоящее и будущее (Zabbix: Past, present and the future)Zabbix: Прошлое, настоящее и будущее (Zabbix: Past, present and the future)
Zabbix: Прошлое, настоящее и будущее (Zabbix: Past, present and the future)
Zabbix287.1K views
Масштабирование и отказоустойчивость с Nginx von GetDev.NET
Масштабирование и отказоустойчивость с NginxМасштабирование и отказоустойчивость с Nginx
Масштабирование и отказоустойчивость с Nginx
GetDev.NET2.2K views
Zabbix в Badoo или о чем не пишут в мануале, Илья Аблеев (Badoo) von Badoo Development
Zabbix в Badoo или о чем не пишут в мануале, Илья Аблеев (Badoo)Zabbix в Badoo или о чем не пишут в мануале, Илья Аблеев (Badoo)
Zabbix в Badoo или о чем не пишут в мануале, Илья Аблеев (Badoo)
Badoo Development20.6K views
Вячеслав Бирюков - HTTP и HTTPS von Yandex
Вячеслав Бирюков - HTTP и HTTPSВячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPS
Yandex1.1K views
Что нового в nginx? / Максим Дунин (Nginx, Inc.) von Ontico
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Ontico551 views
Moбильная база данных Realm. Прошло ли время SQLite? von Олег Чебулаев
Moбильная база данных Realm. Прошло ли время SQLite?Moбильная база данных Realm. Прошло ли время SQLite?
Moбильная база данных Realm. Прошло ли время SQLite?
Олег Чебулаев1.9K views

Similar a Dnssec in UA - Talk at UAdom 2011

A popular DNS security overview von
A popular DNS security overviewA popular DNS security overview
A popular DNS security overviewPhilipp Kulin
120 views73 Folien
Flexireg von
FlexiregFlexireg
FlexiregFAITID
821 views13 Folien
Обеспечение безопасности в локальных сетях.pptx von
Обеспечение безопасности в локальных сетях.pptxОбеспечение безопасности в локальных сетях.pptx
Обеспечение безопасности в локальных сетях.pptxElvinKerimov3
8 views19 Folien
Wi-Fi Audit Workshop von
Wi-Fi Audit WorkshopWi-Fi Audit Workshop
Wi-Fi Audit WorkshopKirill Murzin
333 views61 Folien
Высокая доступность приложений в гибридном облаке на базе Jelastic и Azure Tr... von
Высокая доступность приложений в гибридном облаке на базе Jelastic и Azure Tr...Высокая доступность приложений в гибридном облаке на базе Jelastic и Azure Tr...
Высокая доступность приложений в гибридном облаке на базе Jelastic и Azure Tr...Dmitry Lazarenko
443 views53 Folien
Hosting for forbes.ru_ von
Hosting for forbes.ru_Hosting for forbes.ru_
Hosting for forbes.ru_drupalconf
449 views30 Folien

Similar a Dnssec in UA - Talk at UAdom 2011(20)

A popular DNS security overview von Philipp Kulin
A popular DNS security overviewA popular DNS security overview
A popular DNS security overview
Philipp Kulin120 views
Flexireg von FAITID
FlexiregFlexireg
Flexireg
FAITID821 views
Обеспечение безопасности в локальных сетях.pptx von ElvinKerimov3
Обеспечение безопасности в локальных сетях.pptxОбеспечение безопасности в локальных сетях.pptx
Обеспечение безопасности в локальных сетях.pptx
ElvinKerimov38 views
Wi-Fi Audit Workshop von Kirill Murzin
Wi-Fi Audit WorkshopWi-Fi Audit Workshop
Wi-Fi Audit Workshop
Kirill Murzin333 views
Высокая доступность приложений в гибридном облаке на базе Jelastic и Azure Tr... von Dmitry Lazarenko
Высокая доступность приложений в гибридном облаке на базе Jelastic и Azure Tr...Высокая доступность приложений в гибридном облаке на базе Jelastic и Azure Tr...
Высокая доступность приложений в гибридном облаке на базе Jelastic и Azure Tr...
Dmitry Lazarenko443 views
Hosting for forbes.ru_ von drupalconf
Hosting for forbes.ru_Hosting for forbes.ru_
Hosting for forbes.ru_
drupalconf449 views
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех) von Ontico
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Ontico2.9K views
Евгений Потапов, АйТиСумма von Ontico
Евгений Потапов, АйТиСуммаЕвгений Потапов, АйТиСумма
Евгений Потапов, АйТиСумма
Ontico876 views
Криптография von Valentin Gostyuzhov
КриптографияКриптография
Криптография
Valentin Gostyuzhov1.1K views
Опыт использования NoSQL-хранилищ (Андрей Новиков) von Olga Lavrentieva
Опыт использования NoSQL-хранилищ (Андрей Новиков)Опыт использования NoSQL-хранилищ (Андрей Новиков)
Опыт использования NoSQL-хранилищ (Андрей Новиков)
Olga Lavrentieva4.8K views
Учет и управление IP-ресурсами сети von Cisco Russia
Учет и управление IP-ресурсами сетиУчет и управление IP-ресурсами сети
Учет и управление IP-ресурсами сети
Cisco Russia 733 views
AVITO. Решардинг Redis без даунтайма. DevConf 2012 von Roman Pavlushko
AVITO. Решардинг Redis без даунтайма. DevConf 2012AVITO. Решардинг Redis без даунтайма. DevConf 2012
AVITO. Решардинг Redis без даунтайма. DevConf 2012
Roman Pavlushko2.6K views
Обзор Redis storage / Symfony Camp UA 2011 von Igor Brovchenko
Обзор Redis storage / Symfony Camp UA 2011Обзор Redis storage / Symfony Camp UA 2011
Обзор Redis storage / Symfony Camp UA 2011
Igor Brovchenko2.3K views
Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасность von SmartTools
Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасностьСтажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасность
Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасность
SmartTools266 views
SECON'2016. Панин Сергей, Лебедев Андрей, Храмушин Дмитрий, IT-инфраструктура... von SECON
SECON'2016. Панин Сергей, Лебедев Андрей, Храмушин Дмитрий, IT-инфраструктура...SECON'2016. Панин Сергей, Лебедев Андрей, Храмушин Дмитрий, IT-инфраструктура...
SECON'2016. Панин Сергей, Лебедев Андрей, Храмушин Дмитрий, IT-инфраструктура...
SECON523 views
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из... von Positive Hack Days
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Positive Hack Days5.1K views
Опыт внедрения OpenStack von Yandex
Опыт внедрения OpenStackОпыт внедрения OpenStack
Опыт внедрения OpenStack
Yandex2.1K views
Обзор перспективных баз данных для highload / Юрий Насретдинов von Ontico
Обзор перспективных баз данных для highload / Юрий НасретдиновОбзор перспективных баз данных для highload / Юрий Насретдинов
Обзор перспективных баз данных для highload / Юрий Насретдинов
Ontico1.8K views
SPb Jenkins Meetup #6. Тёмная сторона Jenkins. Стабилизируем Remoting von Oleg Nenashev
SPb Jenkins Meetup #6. Тёмная сторона Jenkins. Стабилизируем Remoting SPb Jenkins Meetup #6. Тёмная сторона Jenkins. Стабилизируем Remoting
SPb Jenkins Meetup #6. Тёмная сторона Jenkins. Стабилизируем Remoting
Oleg Nenashev588 views
Solaris OS von SSA KPI
Solaris OSSolaris OS
Solaris OS
SSA KPI2.5K views

Más de Dmitry Kohmanyuk

UA Perspectives: Talk at UAdom 2012 von
UA Perspectives: Talk at UAdom 2012UA Perspectives: Talk at UAdom 2012
UA Perspectives: Talk at UAdom 2012Dmitry Kohmanyuk
209 views21 Folien
DNS Alphabet Soup von
DNS Alphabet SoupDNS Alphabet Soup
DNS Alphabet SoupDmitry Kohmanyuk
213 views8 Folien
IPv6 for Developers - icamp.lviv.ua 2011 von
IPv6 for Developers - icamp.lviv.ua 2011IPv6 for Developers - icamp.lviv.ua 2011
IPv6 for Developers - icamp.lviv.ua 2011Dmitry Kohmanyuk
195 views10 Folien
.UA ccTLD Overview - ENOG1 von
.UA ccTLD Overview - ENOG1.UA ccTLD Overview - ENOG1
.UA ccTLD Overview - ENOG1Dmitry Kohmanyuk
372 views17 Folien
DNSSEC in UA Domain (ENOG2) von
DNSSEC in UA Domain (ENOG2)DNSSEC in UA Domain (ENOG2)
DNSSEC in UA Domain (ENOG2)Dmitry Kohmanyuk
350 views11 Folien
DNSSEC in UA: Zero to Live in Six Months von
DNSSEC in UA: Zero to Live in Six MonthsDNSSEC in UA: Zero to Live in Six Months
DNSSEC in UA: Zero to Live in Six MonthsDmitry Kohmanyuk
183 views9 Folien

Más de Dmitry Kohmanyuk(9)

UA Perspectives: Talk at UAdom 2012 von Dmitry Kohmanyuk
UA Perspectives: Talk at UAdom 2012UA Perspectives: Talk at UAdom 2012
UA Perspectives: Talk at UAdom 2012
Dmitry Kohmanyuk209 views
DNS Alphabet Soup von Dmitry Kohmanyuk
DNS Alphabet SoupDNS Alphabet Soup
DNS Alphabet Soup
Dmitry Kohmanyuk213 views
IPv6 for Developers - icamp.lviv.ua 2011 von Dmitry Kohmanyuk
IPv6 for Developers - icamp.lviv.ua 2011IPv6 for Developers - icamp.lviv.ua 2011
IPv6 for Developers - icamp.lviv.ua 2011
Dmitry Kohmanyuk195 views
.UA ccTLD Overview - ENOG1 von Dmitry Kohmanyuk
.UA ccTLD Overview - ENOG1.UA ccTLD Overview - ENOG1
.UA ccTLD Overview - ENOG1
Dmitry Kohmanyuk372 views
DNSSEC in UA Domain (ENOG2) von Dmitry Kohmanyuk
DNSSEC in UA Domain (ENOG2)DNSSEC in UA Domain (ENOG2)
DNSSEC in UA Domain (ENOG2)
Dmitry Kohmanyuk350 views
DNSSEC in UA: Zero to Live in Six Months von Dmitry Kohmanyuk
DNSSEC in UA: Zero to Live in Six MonthsDNSSEC in UA: Zero to Live in Six Months
DNSSEC in UA: Zero to Live in Six Months
Dmitry Kohmanyuk183 views
DNSSEC: там и здесь von Dmitry Kohmanyuk
DNSSEC: там и здесьDNSSEC: там и здесь
DNSSEC: там и здесь
Dmitry Kohmanyuk222 views
UA DNSSEC Status Update: ENOG3 von Dmitry Kohmanyuk
UA DNSSEC Status Update: ENOG3UA DNSSEC Status Update: ENOG3
UA DNSSEC Status Update: ENOG3
Dmitry Kohmanyuk268 views
DNSSEC in the World and Ukraine von Dmitry Kohmanyuk
DNSSEC in the World and UkraineDNSSEC in the World and Ukraine
DNSSEC in the World and Ukraine
Dmitry Kohmanyuk223 views

Dnssec in UA - Talk at UAdom 2011

  • 1. DNSSEC в домене .UA Дмитрий Кохманюк UAdom 2011
  • 2. Как пройти к Верховной Раде
  • 4. Как работает DNSSEC • Администратор rada.gov.ua подписывает адресную информацию цифровой подписью • Подпись состоит из открытой и закрытой частей. Открытая часть публикуется • Пользователь получает подпись вместе с ответом DNS-сервера и может проверить подпись с помощью открытого ключа
  • 6. Как работает DNSSEC. Корень • Каждый вышестоящий узел удостоверяет подписи нижестоящих узлов • Корневой узел уже подписан • Пользователь получает корневую подпись по каналам, независимым от DNS: – Вместе с операционной системой – Вместе с интернет-броузером
  • 7. Как работает DNSSEC. Противоречие • Ключ должен быть сложным, чтобы его нельзя было бы взломать быстро • Ключ должен быть коротким, чтобы его могла передать система DNS • Короткие ключи надо менять часто, но часто переподписывать домены невозможно • Выход: Суперключ (KSK)
  • 8. Как работает DNSSEC. Суперключ • У каждого домена есть сложный суперключ (KSK), который меняется один раз в год. • С помощью этого суперключа администратор домена создают простые ключи • Ключи слабые, но они часто меняются.
  • 10. Тестирование в UA.UA • Специальный домен • Ключ сгенерирован на "Мастерской IPv6» 8 ноября 2011 • Зона подписана с помощью утилит bind 9.7 (DNSSEC for Humans) • Открытая часть ключа опубликована http://hostmaster.ua/dnssec
  • 12. Подготовка • Переход инфраструктуры на bind 9.8+ • Отдельные сервера подписания и публикаций • Возможно использование DLV
  • 14. Выбор алгоритма RSAMD5 DSA RSASHA1 DSA-NSEC3-SHA1 RSASHA1-NSEC3-SHA1 DH RSASHA256 ECC RSASHA512 ECC-GOST
  • 15. Потенциальные сложности • GOST – нет полноценной поддержки • Алгоритм, поддерживаемый в IANA RZM • Безопасное хранение ключей
  • 16. Запуск • Генерация ключа – сегодня • Параметры RSASHA512, 2048/1024 bits • Тестирование в копии домена • Публикация контрольной суммы публичного ключа в IANA и на наших собственных ресурсах
  • 17. Сопровождение • Ротация ключей: суперключ (KSK) – 3 года, ZSK – 3 месяца • Украинский алгоритм эллиптических кривых (необходим RFC)
  • 18. Вопросы? www.hostmaster.ua Whois.ua info@hostmaster.ua