每三个月,有 7 人飞往安全的 ICANN 服务器大楼,并通过精心设计的仪式为 DNSSEC 生成新的签名密钥。整个事件似乎是基于政治而不是任何真正的安全模型。如果私钥没有被泄露,那么任何人都不能签署任何记录,无论他们对签名服务器外部设备的控制如何。
如果您对保护私钥完全信任,为什么他们不只是确保签名服务器本身在被篡改时会自毁呢?您可以通过将 3 个这样的防篡改盒放置在世界不同的位置并同步它们的输出来防止任何人摆弄输入/输出。它们可以安置在联合国基地或由具有半敌对关系的国家(如中国和美国)共同处理安全并通过网络摄像头监控的地方。
仅当其中一台服务器因任何原因脱机或需要硬件升级时才需要刷新密钥。
从理论上讲,你可能是对的。
在实践中,您需要定期测试所有的政策、流程和工具,否则您不知道所涉及的成员是否能够执行该程序。
从个人经验来看,密钥管理的权限和能力存在严重问题。有权力的人没有能力,有能力的人需求量很大,而且没有足够长的时间来依赖。即使是有能力和权威的人,也往往没有勤奋跟上要求。
试着给你的老板一个 USB 钥匙,并告诉他“你必须把它放在家里的保险箱、保险箱或其他任何地方。你必须确保它不会随着时间的推移而损坏,但它是离线的。至关重要的是你把它传给任何取代你的人。” 两年内不要向他要那把钥匙或谈论那把钥匙。然后两年后,在紧急情况下,请他带着钥匙飞到某个数据中心。或者更糟糕的是,问问取代他的人。
现在,您需要全球 7 个类似老板中的 5 个出现并提供他们的钥匙。
通过定期执行程序,您可以确保流程至少在人们的日历上和人们的脑海中。审计簿中有日志,程序中的错误可以更正。
注意,我对 DNSSEC 密钥签名仪式了解不多,只浏览了几次文档,但我确实有管理密钥签名仪式和安全策略的经验。
有时安全只是你想向全世界推销的仪式。仪式越大,看起来就越安全。有时,企业出于商业目的,会通过过于复杂的安装和仪式来“出售安全”。
另一方面,走出政治,进入安全,我们并不真正了解安全分析结果,可能暴露或破解密钥的影响如此之大,以至于他们只能在三个月内冒险,并且还要考虑这些仪式的成本,与公司的收益相比,这只是微不足道的。您可以在此链接中找到 DNSSEC安全策略。也许它会抛出一些线索。
总而言之,您似乎正在针对这个非常具体的问题推出自己的方案,为什么篡改盒会比这个方案更好?为什么它更安全或更合适?
实际上,我与与其中一位密钥持有者一起工作的人交谈过,这与区域签名密钥的密钥长度有关。基本上,有一个 2048 位密钥签名密钥 (KSK) 对 1024 位区域签名密钥 (ZSK) 进行签名,并且在每次这些会议上都会生成一个新的 ZSK。这样做是出于性能原因,您已经不得不将很多东西塞入一个 520 字节的 UDP 数据包中。
DNSSEC 还使DNS 放大成为 DDoS 攻击的最爱,我认为更长的密钥只会使情况变得更糟。