Nu är det inte långt kvar till ett säkrare Internet

Under veckan som gick så har det första stora steget mot en DNSSEC-signerad rotzon för Internet ägt rum, i ett splitternytt datacenter med beväpnade vakter och SCIF-säkra utrymmen där man verkligen kan prata hemligheter i den lilla staden Culpeper utanför Washington i USA.

DNSSEC är ett tillägg till Internets öppna katalogtjänst DNS som säkrar att bland annat webb- och e-postadresser kan verifieras och att de leder rätt på Internet. Med DNSSEC signeras zonerna på Internet kryptografiskt. Vid en uppslagning av ett domännamn kontrolleras signaturen mot en nyckel hos den som ansvarar för dess zon.

Att nu Internets rotzon högst upp i DNS-hierarkin signeras och därmed kan vara tillitsankare för alla underliggande zoner, toppdomänerna, förenklar införandet av DNSSEC för alla andra domänaktörer. De som har dragit sig för att försöka hantera enskilda tillitsankare för enstaka signerade toppdomäner kan andas ut. När nu rotzonen signeras med DNSSEC förenklas hanteringen radikalt.

.SE är pionjär på området och använder DNSSEC sedan 2005. Jag har personligen varit involverad i utvecklingen av både tekniken och rutinerna för dess användning sedan 1999.

Genom dessa meriter blev jag också bland fler än 60 andra kandidater utvald av ICANN för uppdraget att som betrodd representant för det globala Internetsamfundet delta vid nyckelceremonin i Culpeper, Virginia i USA som ”crypto officer” då de första nyckelsigneringsnycklarna (KSK:erna) skapades för rotzonen.  Det innebär att jag är en av de sju personer varav minst tre måste infinna sig fyra gånger per år på den sajt som är belägen på den amerikanska östkusten.

Motsvarande facilitet finns även på västkusten, för vilken sju andra betrodda representanter har utsetts till ”crypto officers”. Den sajten kommer att aktiveras i mitten av juli, samtidigt som avtäckning av nyckeln för rotzonen äger rum. Dessutom finns det sju crypto officers utsedda som reserv, för det fall att någon av de ordinarie inte skulle hinna ta sig i tid till sin sajt på grund av oförutsedda händelser. Därtill finns det sju så kallade RKSH:er, eller Recovery Key Share Holders som bara behöver rycka in om inte någon av de båda sajterna skulle vara nåbara, det vill säga i mycket extrema situationer.

Att få ett sådant förtroende är förstås en stor ära, men framför allt är detta ett efterlängtat ögonblick för alla som har arbetat i många år med att förbättra säkerheten på Internet.
 

Onsdagen den 16 juni ägde så den första nyckelceremonin rum. Närvarande förutom sju CO och sju RKSH tillresta från minst 10 länder från alla kontinenter, var även en ceremonimästare (Richard Lamb), en ceremoniledare (Mehmet Akcin), två systemadministratörer, två kassaskåpsansvariga samt en revisor, tre interna vittnen (ICANN-anställda) och fem externa vittnen, allt som allt runt 30 personer. Utöver det så fanns det en mängd deltagare som satt i ett konferensrum utanför ceremonirummet, och som kunde följa hela förloppet via video.

Som enda svensk TCR hade jag förmånen att få resa till Culpeper för att delta i detta historiska ögonblick. För en som har varit med under utvecklingen av DNSSEC under så lång tid så känns det otroligt tillfredsställande. Vi kan också glädja oss åt annan svensk representation genom de båda konsulter som står bakom arkitekturen för hela lösningen, Jakob Schlyter och Fredrik Ljunggren från det Göteborgsbaserade konsultföretaget Kirei, vilka har gjort ett utomordentligt bra arbete.

Alla dessa olika personer och roller syftar till att signeringen av rotzonen för domännamnssystemet (DNS) och alla därtill hörande aktiviteter är transparenta processer. En nyckelceremoni kan bara betraktas som tillförlitlig om alla inblandade TCR:er är nöjda med de olika steg som gås igenom, och att det sker korrekt och på ett sätt som är spårbart.

Stämningen var spänd men förväntansfull, vissa deltagare hade klätt upp sig för ceremonin med kostym och slips medan andra höll sig till den klädkod som vanligtvis råder inom Internet, T-shirt och jeans (shorts funkar inte för det skulle bli för kallt för en datorhall, och sandaler var inte tillåtna). Det är inte utan en viss känsla av högtidlighet som jag trädde in i ceremonirummet efter att ha skrivit in mig i loggen (assisterad av en vakt och två interna vittnen). Det är lite lätt surrealistiskt att stå och småprata med alla dessa namnkunniga människor som har ställt upp som frivilliga för att få detta att hända.

Ceremonin genomfördes med framgång och utan problem, all utrustning aktiverades, smarta kort genererades och fysiska nycklar placerades i förslutna påsar som inte går att öppna utan att det syns och distribuerades till sina respektive mottagare. Vissa påsar innehåller de nyckelfragment som RKSH behöver ha för att kunna rycka in, andra påsar innehåller de kort som CO behöver för att aktivera krypteringsutrustningen. Denna senare kategori av kort låstes in i personliga säkerhetsboxar inneslutna i ett kassaskåp, instängda i ett låst rum, instängda i en datorhall, beläget i ett som sagt mycket hårt bevakat område. Rysk gumma dyker upp i mitt huvud.

Hela operationen tog lite drygt sex timmar, exklusive en ”biologisk” paus mitt i.

Inför nyckelceremoni nummer två som kommer att äga rum den 12 juli 2010 kommer nycklar genererade under den första nyckelceremonin att transporteras på ett säkert sätt till ICANN:s datacenter på västkusten, närmare bestämt i El Segundo i Kalifornien, USA och den 15 juli planeras allt gå i produktion.

Håll er uppdaterade om DNSSEC i rotzonen!

Anne-Marie Eklund Löwinder är kvalitets- och säkerhetschef på .SE. Anne-Marie har rankats som en av Sveriges främsta IT-säkerhetsexperter av CS och har även mottagit Kjell Hultman-stipendiet av Dataföreningen för sina insatser inom området. Hon sitter som ledamot i styrelserna för ISOC-SE och för föreningen SNUS, Swedish Network Users' Society.

Ann-Marie satt också med i de första arbets- och referensgrupperna för informations- säkerhetsstandarden LIS inom standardisteringsorganen SIS och myndigheten Swedac. Hon läser och besvarar flitigt remisser på statens offentliga utredningar inom allt som berör Internet och säkerhet. Bland tidigare arbetsgivare finns Statskontoret och IT-kommissionen. Ann-Marie har en systemvetenskaplig utbildning från Stockholms universitet.