Testemunhas da assinatura da região UY
23/06/2022

Por Carlos Martínez – CTO do LACNIC
TLD .UY (Uruguai) renovou suas assinaturas da região, utilizando sua KSK (Key Signing Key), uma chave criptográfica que permite assinar a região do DNS (Domain Name System), fortalecendo assim o sistema e a confiança na Internet.
A KSK é a chave utilizada para assinar digitalmente o conjunto de chaves de assinatura da zona raiz. O.uy do DNS tem o compromisso – como todos os TLDs (Top Level Domain, por suas siglas em inglês) – de assinar seu espaço utilizando DNSSEC.
Uma boa prática – aceita e indicada mundialmente – é rotar as assinaturas, rotando as senhas. As assinaturas no DNS têm uma particularidade, é preciso a ajuda da raiz para validá-lo.
Alterar a senha implica gerar um novo par de senhas criptográficas e distribuir o novo componente público a todos os resolvedores que validam DNSSEC a nível global. Esta é uma mudança significativa, uma vez que cada consulta à Internet que utiliza DNSSEC depende da KSK da zona região para validar o destino.

Não ter a KSK da zona raiz atualizada significa que os resolvedores do DNS que validam DNSSEC não conseguirão resolver nenhuma consulta do DNS.
O mecanismo utilizado consiste em desdobrar as assinaturas em duas: a ZSK (qualquer alteração na sua região) e a KSK, que é a senha para sair do .UY.
No caso do Uruguai foi fixado um prazo de cinco anos para renovar a senha. Com a KSL são gerados ZSK, em geral são geradas o dobro das senhas necessárias.
A cerimônia para gerar novas senhas no Uruguai foi realizada na data center de Pocitos, onde está o rack com o servidor HSM.
Quem esteve na cerimônia? Dois crypto officers, (cada um com um usb), uma tabeliã e cinco testemunhas, para que houvesse transparência, caso acontecesse algum contratempo.
Foi ligado o servidor do HSM (é uma placa que está dentro de um servidor) e foram realizadas uma série de passos, cujo produto final foram as chaves ZSK assinadas com a KSK.
Foi gerada também uma espécie de assinatura digital que é registrada na ata e que pode ser verificada. Dessa forma alguém pode confirmar – se desejar – se estão sendo usadas as chaves adequadas. Dá transparência e garantia ao processo.
As chaves geradas foram copiadas em dois usb. Um deles deslocou-se ao escritório do SECIU (Serviço Central de Informática da Universidade da República) e o outro foi guardado em um cofre de um banco. Esta cópia das chaves geradas é uma espécie de backup para restaurar o HSM (Hardware Security Module) caso o original seja destruído.
O usb levado ao SeCIU foi para levantar as chaves e aí efetuar as operações de assinatura.
Esta mesma cerimônia é realizada em todos os territórios abrangidos pelo LACNIC nos TLDs locais.