Ir al contenido principal

Hora de discontinuar SHA-1 en DNSSEC

Con la introducción de DNSSEC se hizo necesario el manejo de "criptografía asimétrica" en el DNS. Para ello se utilizan diversas tecnologías de seguridad como los clásicos algoritmos RSA y DSA, y otras nuevas que se incorporan a medida que van haciéndose prácticas -como las curvas elípticas el año 2012-, y por supuesto otras que deben irse dando de baja en la medida de que nuevas técnicas matemáticas y el avance de la capacidad de procesamiento hacen riesgoso su uso.




Fue el caso del algoritmo MD5, que fue utilizado en los comienzos de DNSSEC, pero que desde el año 2001 está declarado obsoleto para firmas digitales.

Ahora le toca el turno a SHA-1. Iniciando el 2020 unos investigadores demostraron por primera vez una forma práctica de hacer un ataque de tipo "chosen-prefix collision", con el que son capaces de armar dos registros distintos que dan la misma firma digital. Aunque no se han reportado ataques reales, y tiene varios supuestos que aún no lo hacen totalmente práctico, ya es el momento de darlo de baja en forma ordenada y preparada.

En un análisis de dominios de primer nivel (TLDs), se advierte que casi 300 de ellos están todavía empleando SHA-1. En la administración del .CL nunca lo hemos utilizado, ya que se comenzó a firmar desde un comienzo con el algoritmo SHA-256, que aún es bastante seguro. Sin embargo existe un número considerable de nombre de dominio de segundo nivel bajo .CL que aún lo siguen empleando. Aunque no es un tema de urgencia, ellos deberían programar durante este año su recambio a un algoritmo más seguro.

Existe un procedimiento estándar para dar de baja un algoritmo, al cual se le llama "rollover de algoritmo de llaves", que permite pasar a uno más seguro. Actualmente se recomienda utilizar o bien SHA-256 (número 8) o ECDSA con SHA-256 (número 13). Recomendamos revisar en sus sistemas de firmado la forma de realizar este procedimiento.

Además ya se ha visto movimiento en la comunidad DNS. ISC, la empresa que creó y mantiene Bind, el software más utilizado para DNS, ya anunció que quitará de sus "default" el uso de SHA-1 y recomendará fuertemente su reemplazo entre sus clientes. IETF ya a mediados del año pasado había recomendado dejar de usarlo, y ahora comenzó el trabajo de dejarlo obsoleto, y declararlo como tal en las tablas de algoritmos oficiales.

Comentarios

Entradas más populares de este blog

El servicio más extraño de NIC Chile

Uno de los servicios más extraños que nos ha tocado entregar dentro de NIC Chile desde tiempos históricos, es el de "verificador de la Internet funcionando" ;)

Muchos administradores de red en sus organizaciones, cuando necesitan confirmar que su conexión a Internet está funcionando, hacen una prueba muy sencilla llamada "ping". Este test es básicamente enviar un paquete especial a un servidor determinado, que te responde con una copia del mismo paquete recibido. De hecho, el nombre original del servicio es "eco". Lo de ping es el nombre de una de sus primeras implementaciones, que hacía ese sonido por los parlantes del computador cada vez que tenía una respuesta, al estilo de los sonares de submarinos :) Se trata de  una herramienta sencilla y básica de cualquier administrador de red, que provee una primera prueba de que un sitio remoto es alcanzable.


¿Y hacia qué servidor puedo enviar mis ping? En teoría, ¡a cualquiera! El servicio "eco" es pr…

¿Cómo probar conectividad IPv6 en Chile?

NIC Chile ha estado empujando la adopción de IPv6 en Chile como parte de nuestra misión de mejorar Internet en el país, comenzando con obtener nuestro prefijo de direcciones y conectividad nativa el año 2006. Dentro de las actividades en más de una década tenemos algunasconferencias y seminarios, participación en los World IPv6 Day y en un piloto con Google, liderar a través de NIC Chile Labs la iniciativa "IPv6 para Chile" del 2010, apoyado por InnovaChile de Corfo y la Subsecretaría de Telecomunicaciones junto a grandes proveedores de Internet del país; entre otras charlas y cursos.

Además nos hemos preocupado de entregar nuestros propios servicios en IPv6 nativo, permitiendo el registro de servidores "glue" para nuestros clientes en IPv6 desde el año 2007, activando los DNS para .CL desde el año 2010, dando servicios web, correo, whois desde el 2012, y por último el año 2015 activando nuestro servicio secundario de DNS para dominios .CL con IPv6, dando con este …