Ir al contenido principal

Hora de discontinuar SHA-1 en DNSSEC

Con la introducción de DNSSEC se hizo necesario el manejo de "criptografía asimétrica" en el DNS. Para ello se utilizan diversas tecnologías de seguridad como los clásicos algoritmos RSA y DSA, y otras nuevas que se incorporan a medida que van haciéndose prácticas -como las curvas elípticas el año 2012-, y por supuesto otras que deben irse dando de baja en la medida de que nuevas técnicas matemáticas y el avance de la capacidad de procesamiento hacen riesgoso su uso.




Fue el caso del algoritmo MD5, que fue utilizado en los comienzos de DNSSEC, pero que desde el año 2001 está declarado obsoleto para firmas digitales.

Ahora le toca el turno a SHA-1. Iniciando el 2020 unos investigadores demostraron por primera vez una forma práctica de hacer un ataque de tipo "chosen-prefix collision", con el que son capaces de armar dos registros distintos que dan la misma firma digital. Aunque no se han reportado ataques reales, y tiene varios supuestos que aún no lo hacen totalmente práctico, ya es el momento de darlo de baja en forma ordenada y preparada.

En un análisis de dominios de primer nivel (TLDs), se advierte que casi 300 de ellos están todavía empleando SHA-1. En la administración del .CL nunca lo hemos utilizado, ya que se comenzó a firmar desde un comienzo con el algoritmo SHA-256, que aún es bastante seguro. Sin embargo existe un número considerable de nombre de dominio de segundo nivel bajo .CL que aún lo siguen empleando. Aunque no es un tema de urgencia, ellos deberían programar durante este año su recambio a un algoritmo más seguro.

Existe un procedimiento estándar para dar de baja un algoritmo, al cual se le llama "rollover de algoritmo de llaves", que permite pasar a uno más seguro. Actualmente se recomienda utilizar o bien SHA-256 (número 8) o ECDSA con SHA-256 (número 13). Recomendamos revisar en sus sistemas de firmado la forma de realizar este procedimiento.

Además ya se ha visto movimiento en la comunidad DNS. ISC, la empresa que creó y mantiene Bind, el software más utilizado para DNS, ya anunció que quitará de sus "default" el uso de SHA-1 y recomendará fuertemente su reemplazo entre sus clientes. IETF ya a mediados del año pasado había recomendado dejar de usarlo, y ahora comenzó el trabajo de dejarlo obsoleto, y declararlo como tal en las tablas de algoritmos oficiales.

Etiquetas:

Comentarios

No se permiten comentarios nuevos.

Entradas más populares de este blog

Servicio AS112: atendiendo los reversos de direcciones IP privadas

El uso más común que se le da al servicio DNS es el de "transformar los nombres de dominio en direcciones IP", que permite por ejemplo a los humanos recordar fácilmente una dirección de un sitio web como "www.nic.cl", y dejar que sean las máquinas -mediante el DNS- que lo transformen a una dirección IPv6 como 2001:1398:5::6003, ó 200.7.7.3 en IPv4. Pero no es el único uso del DNS. También existe el llamado "servicio reverso", que como su nombre lo indica, hace lo contrario: transformar una IP en un nombre de máquina. Esto no es usado por los usuarios corrientes, sino por servicios por ejemplo de control de acceso, o registro de logs, etcétera; quienes parten de una dirección IPv6 como 2800:3f0:4003:c00::69 y obtienen como resultado www.google.com. Por otro lado, también existen direcciones IP especiales que se les llama "privadas", o "locales"; que tienen la particularidad que pueden ser usadas libremente por organizaciones en sus ...
Publicar un comentario
Leer más

Uso correcto del servicio DNS secundario gratuito

NIC Chile desde hace más de 20 años ha ofrecido el servicio de " Secundario DNS gratuito " para sus clientes. El objetivo siempre fue mejorar la robustez de .CL, ya que disponer de solo 1 NS es demasiado frágil, y este servicio siempre se ha mantenido con los niveles de infraestructura y tiempos de respuesta adecuados a su tiempo. El uso del servicio ha sido sostenido en el tiempo. Actualmente, más de 30 mil de nuestros clientes lo utilizan! Y con la adición de tecnologías como IPv6, se ha permitido que estos miles de dominios CL tengan presencia en la nueva red . Sin embargo, no todo es miel sobre hojuelas. Desde los inicios se ha detectado un problema técnico recurrente. El uso de este servicio, si bien es gratuito para clientes de NIC Chile, requiere una configuración técnica especial para que funcione correctamente. Y esta configuración debe ser realizada por quien administre el servicio DNS del dominio (por ejemplo la empresa de hospedaje (" host...
Publicar un comentario
Leer más

dns-tools: herramienta para verificar zonas (ZONEMD) y firmar DNSSEC en forma distribuida

Actualmente existen diversas soluciones que permiten automatizar la firma DNSSEC de los dominios, integrados a los mismos servicios que normalmente proveen DNS. En el ámbito de código abierto, los más utilizados permiten activar DNSSEC con algunas instrucciones en la configuración, sin preocuparse de llaves ni firmas. Sin embargo, siempre es bueno tener herramientas que permitan hacer verificaciones o incluso firmas de una forma más de bajo nivel. Suelen ocurrir casos de uso donde alguien prefiere tener más control, o integrarse con sistemas internos no estándar. Les presentamos  dns-tools , una herramienta de línea de comandos (CLI), escrita en lenguaje Go, que permite firmar con DNSSEC una zona, crear registros de  integridad  de zona llamados ZONEMD, y a su vez validar estas firmas y registros. Esta herramienta fue creada por NICLabs , el laboratorio de NIC Chile. Es mantenida con código abierto en github , con licencia MIT. Una de las cosas más destacadas, y que lo ha...
Publicar un comentario
Leer más