Церемонию подписания ключей Интернета DNSSEC отложили: не могут открыть один из сейфов с материалами для церемонии

Сороковая церемония Root KSK Ceremony, назначенная на 12 февраля 2020 года, была в последний момент отложена до субботы 15 февраля из-за того, что представители Администрации адресного пространства Интернета (Internet Assigned Numbers Authority, IANA) не смогли в нужное время открыть один из сейфов из-за сбоя в работе его замкового механизма. Внутри этого закрытого сейфа хранятся материалы для церемонии подписания криптографической пары (открытый и закрытый ключи) — ключа для подписания ключей корневой зоны (KSK).

Полное описание непростого порядка проведения церемонии Root KSK Ceremony 40 приведено в этой инструкции.

DNSSec использует два типа ключей — одним подписывается зона (ZSK, zone signing key), другим подписывается набор ключей (KSK, key signing key).

Церемония подписания цифровых ключей DNSSEC является довольно сложной процедурой. В этом меропр��ятии принимают участие несколько доверенных сетевых инженеров (от трех до семи). Информационная безопасность во время проведения церемонии обеспечивается несколькими уровнями физической защиты. Самым последним уровнем физической защиты является специализированное устройство — программно-аппаратный криптографический модуль (HSM), в котором хранятся собственно криптографические ключи.

В ходе церемонии члены технического сообщества из разных стран мира и представители IANA на краткий срок разблокирует закрытую часть KSK для подписи вспомогательного ключа ZSK. Для этой цели сотрудники открывают два сейфа, в одном из них находится аппаратный модуль, содержащий закрытый ключ KSK. Далее с помощью KSK производится подпись ключей с использованием смарт-карт, назначенных ранее и выданных каждому из участников этого этапа церемонии только после ее начала. Эти смарт-карты хранятся в депозитных ячейках во втором сейфе. Весь процесс транслируется в прямом эфире и занимает несколько часов.

«Мы приносим извинения за причиненные неудобства участникам, которые уже прибыли для участия в церемонии. Это первый раз за десять лет, когда возникла необходимость переноса даты церемонии», — написали организаторы из IANA.