« DNSSEC en la recta final | Inicio | Nace una estrella »

KSK Ceremonia

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC
En el centro (parado) - Mehmet Akcin, Critical Infrastructure Engineer, DNS Group, a la derecha -Richard Lamb, DNSSEC Program Manager, dando inicio a la KSK Ceremonia2.

Como he explicado anteriormente, DNSSEC es la capa de seguridad que se ha añadido al Sistema de Nombres de Dominios (Domain Name SystemDNS), que consiste en firmar con llaves (claves) criptográficas los datos de los dominios (zona) y de esta forma autenticar los datos de la misma y que, por consiguiente, éstos no han sido alterados. Y como el DNS comienza con la Zona Raíz, la cadena de verificaciones de firmas comienza precisamente por ella, creando lo que se ha dado en llamar la cadena de autenticación, y la llave con la que se firmó la llave para firmar la Zona Raíz—el ancla de confianza (trust anchor, ing.).

La Zona Raíz es un fichero de texto, con un formato determinado, que contiene el listado de todos los dominios de primer orden - TLDTop-level domain (Dominio de nivel superior) (.net, .com, .org, .cu, .bg, .es, … etc) de Internet. Ésta se actualiza por el ICANN (Internet Corporation for Assigned Names and Numbers) - más exactamente por su dependencia—IANA, en base a la información procesada y verificada que recibe de lo operadores de los TLD; luego el ICANN (IANA) remite un pedido de autorización para su publicación al U.S. DoC NTIA (United States Department of Comerce—National Telecommunications and Information Administartion) y después de concedido, el ICANN (IANA) transmite la Zona Raíz actualizada a la empresa VeriSign que es la encargada de mantener y firmar la Zona Raíz y distribuir ésta a los otros 11 operadores de servidores raíz, que en su conjunto operan 13 grupos de servidores raíz.

VeriSign firma la Zona Raíz con la llave ZSK (Zone Signing Key—Llave para firmar la zona); está establecido que VeriSign debe cambiar ésta cada tres meses. Pero antes de poner en uso una llave ZSK, VeriSign la debe mandar al ICANN para que éste la firme con su KSK (Key Signing Key - Llave para firmar llave) y es la ZSK firmada la que se utiliza para firmar la Zona Raíz jajajaja, ¿un poco engoroso. eh?. Y es precisamente al proceso de firmar la ZSK de VeriSign por parte del ICANN lo que se ha dado en llamar - KSK Ceremonia. Ésta se ejecuta según la Guía de la KSK Ceremonia de la Zona Raíz DNSSEC.

La Primera KSK Ceremonia (KSK Ceremony) tuvo lugar el 16 de junio de 2010 a las 13:00EDT (17:00UTC, 19:00CEDT, 20:00EEDT—Bulgaria), en las instalaciones de la Costa Este del ICANN en 18155 Technology Drive, Culpeper, VA 22701-3805. Y como ésta fue la primera ceremonia para firmar la primera ZSK de VeriSign, lo primero que se hizo fue generar la primera llave KSK y luego firmar con ella la ZSK que se utilizará durante el tercer trimestre de 2010—desde el 15 de julio de 2010 hasta el 30 de septiembre de 2010.
Fotos de esta ceremonia pueden ver aquí.

La Segunda KSK Ceremonia se efectuó ayer, 12 de julio de 2010 a las 13:00PDT (20:00UTC, 22:00CEDT, 23:00EEDT—Bulgaria), en las instalaciones de la Costa Oeste del ICANN en 11920 E. Maple Ave. El Segundo, CA 90245. En esta ceremonia se firmó la segunda ZSK de VeriSign que se utilizará para firma la Zona Raíz durante el cuarto trimestre de 2010—desde el 1 de octubre de 2010 hasta el 31 de diciembre de 2010.
Esta vez, el equipo de Operaciones DNS del ICANN transmitió en vivo la Segunda KSK Ceremonia y tuve la posibilidad de ver cómo transcurría la misma e hice 106 tomas de pantalla que pongo a continuación.

En las dos KSK Ceremonias efectuadas, Mehmet Akcin, Critical Infrastructure Engineer, DNS Group actuó como Ceremony Administrator supervisado por Richard Lamb, DNSSEC Program Manager.

Pasado mañana, 15 de julio de 2010 en un lapso de tiempo entre las 19:30UTC y las 23:30UTC, se comenzará a utilizar por todos los servidores raíz la Zona Raíz firmada y se publicará el ancla de confianza (trust anchor) de la Zona Raíz—el Sistema de Nombres de Dominios (Domain Name SystemDNS comienza una nueva era.

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC
Sistema Operativo—CentOS

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

A partir de este momento—en la foto anterior se ve que son las 21:30UTC—sucedió algo que me llamó la atención. El Admisitrador de Ceremonia introdujo una tarjeta de memoria en el equipo y comenzó a teclear el PIN código, cosa ésta que no debería transmitirse, y así lo mismo con dos o tres tarjetas y de momento se cortó la transmisión a la 21:36UTC, esperé un rato a que se restableciera la transmisión y como ya estaba pasada la medianoche desistí y me acosté a dormir. Pude ver una hora y 36 minutos de la ceremonia, no sé si restablecieron la transmisión más tarde.

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Segunda KSK Ceremonia de la Zona Raíz para la implementación de DNSSEC

Publicar un comentario