DECLARACIÓN DE POLíTICAS Y PROCEDIMIENTOS PARA DNSSEC EN LA ZONA .CL -------------------------------------------------------------------- $Id: DPS-CL.txt,v 1.1 2011/11/28 14:40:57 cvsnic1 Exp $ 1. Introducción. Este documento es la Declaración de Políticas y Procedimientos para DNSSEC en NIC Chile ("NIC Chile DNSSEC Policy and Practice Statement"), "DPS" por su sigla en inglés. En éste se declaran las prácticas y procedimientos que NIC Chile emplea para firmar la zona .CL y los servicios de distribución que incluyen la generación, administración, cambio y publicación de las llaves en el DNS. 1.1. Resumen. Las Extensiones de Seguridad para el Sistema de Nombres de Dominio (DNSSEC) son un conjunto de especificaciones de la IETF para agregar seguridad al DNS. DNSSEC provee un mecanismo para validar que un dato del Sistema de Nombres de Dominio (DNS) no ha sido modificado durante su tránsito por Internet. Esto se logra incorporando criptografía de llave pública en la jerarquía del DNS, formando una cadena de confianza originada en la zona raíz. DNSSEC añade al DNS autenticación de origen de los datos, verificación de integridad y negación de existencia autenticada. 1.2. Nombre del Documento e Identificación. - Título del documento: "Declaración de Políticas y Procedimientos para DNSSEC en la zona .CL" - Versión: 1.1, 26 de julio de 2011 - Último editor: Workgroup DNSSEC, Área Técnica NIC Chile. 1.3. Aplicabilidad. 1.3.1. Registro de Nombres de Dominio .CL. NIC Chile es el encargado del Dominio de Primer Nivel .CL, y es el responsable de generar y administrar esta zona. 1.4. Datos Administrativos. 1.4.1. Organización. Universidad de Chile / NIC Chile 1.4.2. Información de contacto. Área de Operaciones e Ingeniería NIC Chile / Universidad de Chile Miraflores 222 piso 14 Santiago, CHILE CP 832-0198 Voz: +56 2 9407700 Fax: +56 2 9407701 E-mail: dnssec@nic.cl 1.4.3. Cambio en el Procedimiento. Cualquier modificación del presente documento se informará a través de los medios oficiales de NIC Chile, y se mantendrá la última versión oficial en el repositorio indicado en el punto 2.1. 2. PUBLICACIÓN Y REPOSITORIO. 2.1. Repositorio. La última versión del presente documento podrá encontrarse en: https://www.nic.cl/dnssec/ 2.2. Publicación de las Llaves de Firmado KSK. NIC Chile publicará sus llaves KSK públicas en su sitio web bajo la dirección: https://www.nic.cl/dnssec/ protegidas con TLS (https), usando un certificado digital emitido por una Autoridad Certificadora global licenciada por WebTrust, en formato texto plano (TXT) y firmadas con la llave PGP de la identidad crypto@nic.cl. El formato de publicación tendrá el estilo especificado para un DNSKEY, incluyendo el "key id". Se mantendrá un archivo histórico de las llaves expiradas. NIC Chile mantendrá una lista de correo electrónico, de suscripción pública, donde se anunciarán con anticipación los inicios y términos de los rollovers de KSK: anuncios-dnssec@listas.nic.cl Este será el único mecanismo oficial de publicación de las llaves para .CL. Para asegurar la cadena de confianza NIC Chile coordinará con ICANN la inclusión del registro DS de .CL en la raíz del DNS. 2.3. Confidencialidad. La siguiente información permanecerá confidencial: - Componentes privadas de todas las llaves KSK y ZSK. - Componentes públicas de todas las llaves KSK y ZSK antes de su fecha de publicación (llaves futuras). - Identificación de las personas que participan en los procedimientos de generación y firma de las llaves, excepto en el caso de los Ministros de Fe. 3. REQUERIMIENTOS OPERACIONALES. 3.1 Significado de los Nombres de Dominio. Un nombre de dominio es un identificador único, que es asociado comúnmente con servicios como el hospedaje web o el correo electrónico. 3.2 Activación de DNSSEC para Zonas Delegadas Bajo .CL. En una primera etapa, no se podrán activar delegaciones seguras para las zonas bajo .CL (registros DS). Se estima que durante la segunda mitad del año 2011, se comenzará a aceptar registros DS para los titulares de los Nombres de Dominios de .CL. 3.2.1 Incorporación de Registros DS. Por definir. 4. INFRAESTRUCTURA, ADMINISTRACIÓN Y CONTROLES OPERACIONALES. 4.1. Controles Físicos. 4.1.1. Ubicación Física y Controles. Las instalaciones cumplen los estándares mínimos en términos de seguridad física, fuentes de alimentación de energía, ambientales y protección contra fuego e inundaciones. Las componentes privadas de las KSK se mantendrán en una "máquina firmadora off-line", sin conexión a Internet ni a ninguna otra red, en dependencias bajo control directo de NIC Chile. 4.1.2. Acceso Físico. La "máquina firmadora off-line" se encuentra en una caja fuerte bajo control directo de NIC Chile, y los Ministros de Fe conocerán la clave para abrirla. Cuando no esté en uso, la "máquina firmadora off-line" se mantendrá en una bolsa sellada para asegurar que no ha sido intervenida. 4.1.3. Almacenamiento de Datos. La componente privada de la KSK se almacenará cifrada con las llaves PGP de los Generadores de Llave en forma doble (un Generador por sí solo no puede descifrarla), y estará almacenada en un disco cifrado por el Ministro de Fe. La documentación de operación se mantendrá en los sistemas de gestión de documentos de NIC Chile. 4.1.4. Eliminación de Basura. Todos los datos de tránsito entre la "máquina firmadora off-line" y los sistemas de producción serán destruidos. 4.1.5. Respaldo Off-site. Se mantendrán dos "máquinas firmadoras off-line" idénticas en el mismo sitio. Además se mantendrá un respaldo en un dispositivo de almacenamiento USB fuera del sitio. Este dispositivo de almacenamiento USB de respaldo estará cifrado por el Ministro de Fe, dentro de una bolsa sellada y en una Caja Fuerte con clave conocida por los Generadores de Llave, en dependencias bajo control directo de NIC Chile. Se requerirán dos personas para acceder a la sala donde se encuentre esta Caja Fuerte. Las personas que requieran acceso se encontrarán en la lista de personal autorizado de NIC Chile, y se requerirá la presentación de su documento de identidad. 4.2. Controles de Procedimiento. 4.2.1. Roles de Confianza. 4.2.1.1. Ministro de Fe. El Ministro de Fe vela por el cumplimiento del procedimiento en las ceremonias en las que participa, verifica que las llaves publicadas correspondan a las generadas en las ceremonias y mantiene las contraseñas de cifrado para acceso a las "máquinas firmadoras off-line" y el dispositivo de almacenamiento USB de respaldo. 4.2.1.2. Generador de Llaves. Personal del área de operaciones de NIC Chile, que está a cargo del procedimiento de creación de llaves, almacenamiento de ellas, y firmas offline. 4.2.1.3. Instalador de Llaves. Personal del área de operaciones de NIC Chile, que instala las llaves y zonas en los sistemas de producción de la zona de .CL. 4.2.1.4. Publicador de Llaves. Personal del área de operaciones de NIC Chile, que informa oportunamente en sistemas públicos y oficiales los datos pertinentes sobre las componentes públicas del sistema DNSSEC asociadas a .CL. 4.2.1.5. Administrador DNS. Personal del área de operaciones de NIC Chile, que se encargar de activar las llaves en la zona de .CL y efectuar los "rollovers" cuando corresponda. 4.2.2. Número de Personas Requeridas para cada Tarea. En cada ceremonia de creación de llaves se requiere la asistencia de al menos 1 (un) Ministro de Fe y 2 (dos) Generadores de Llaves. Para completar el proceso se requiere la presencia de 2 (dos) Instaladores de Llaves, 1 (un) Publicador de Llaves y 1 (un) Administrador DNS. Para cada uno de estos roles existirá un conjunto de personas entrenadas para su labor. De este conjunto se escogerán al azar las que participarán antes de cada ceremonia. 4.2.3. Identificación y Autenticación para cada Rol. Depende directamente de los procedimientos administrativos y de seguridad de NIC Chile. 4.2.4. Tareas que Requieren Separación de Labores. El rol de Ministro de Fe es incompatible con los roles de Generador de Llaves, Instalador de Llaves, Publicador de Llaves y Administrador DNS. Los roles de Generador de Llaves, Instalador de Llaves, Publicador de Llaves y Administrador DNS pueden ser asumidos por la misma persona. 4.3. Procedimientos de Bitácora para Auditoría. 4.3.1. Tipos de Eventos Registrados. Se mantendrán bitácoras de todas las operaciones relativas a los procedimientos DNSSEC (generaciones, cambios de estado, firmas realizadas con las llaves, entre otros). En cada ceremonia existirá un guión y un acta específicos que registren todos los eventos y procedimientos de la ceremonia. 4.4. Recuperación ante Compromiso y Desastre. Ante compromiso de las llaves KSK, ZSK o un desastre, se realizará una ceremonia de emergencia para generar llaves nuevas. Todos los incidentes serán manejados en conformidad con los procedimientos definidos por NIC Chile. NIC Chile mantiene procedimientos preestablecidos para la generación, firmado, "rollover", verificación y mantenimiento de la "máquina firmadora off-line", entre otros. 5. CONTROLES TÉCNICOS DE SEGURIDAD. 5.1. Generación del par de Llaves y su Instalación. 5.1.1. Generación del par de Llaves. Debe realizarse en una maquina sin conexión a red, con interfaz sólo a través de dispositivos de almacenamiento USB que no hayan sido comprometidos. 5.1.2. Traslado de la Llave Pública. El traslado entre la "máquina firmadora off-line" y los sistemas de producción será realizado mediante un dispositivo de almacenamiento USB de tránsito que no haya sido comprometido. Este dispositivo será transportado en una bolsa sellada. 5.2. Protección y Control de la Llave Privada. 5.2.1. Control Multi-personal de la Llave Privada KSK Para acceder a las Llaves Privadas KSK se requerirá de al menos 1 Ministro de Fe y 2 Generadores de Llaves. 5.2.2. Almacenamiento de las Llaves Privadas KSK. Las Llaves Privadas KSK se almacenarán en las "máquinas firmadoras off-line" cifrados por el Ministro de Fe y los Generadores de Llaves. Estas máquinas se mantendrán dentro de bolsas selladas y almacenadas dentro de una Caja Fuerte. 5.2.3. Respaldo de las llaves Privadas KSK. Las Llaves Privadas KSK se almacenarán en uno o más dispositivos de almacenamiento USB cifrados por el Ministro de Fe y los Generadores de Llaves. Este dispositivo USB se mantendrá dentro de una bolsa sellada y almacenada dentro de una Caja Fuerte. 5.2.4. Método de Activación de las Llaves Privadas KSK. Las componentes privadas de las llaves KSK sólo se activarán en una Ceremonia con guiones preestablecidos. No se podrá operar con ellas a menos que asista 1 (un) Ministro de Fe y 2 (dos) Generadores de Llaves, en dependencias controladas por NIC Chile. 5.2.5. Método de Desactivación de las Llaves Privadas. Las Llaves Privadas no serán destruidas. Después de vida útil, serán eliminadas del sistema de firmado. 5.3. Otros aspectos de la Administración de Llaves. 5.3.1. Archivo Público de Llaves. Todas las componentes públicas de las llaves KSK se mantendrán disponibles públicamente en el repositorio mencionado en el punto 2.2, tanto las actualmente activas como todas las que alguna vez lo estuvieron. 5.3.2. Períodos de Uso de las Llaves. La Llave KSK se mantendrá publicada y activa para firmar el conjunto de registros DNSKEY de acuerdo a lo especificado en el punto 6 del presente documento. 5.3.3. Generación de los Datos de Activación. Cada Generador de Llaves es responsable de crear sus propios datos de activación (contraseñas, identidades PGP, etc.), de acuerdo a los requerimientos de seguridad aplicables según los estándares de NIC Chile. 5.4. Controles de Seguridad de Equipos. Todos los equipos se mantendrán en dependencias bajo el control de NIC Chile, los cuales contarán con accesos restringidos tal como es especificado en el punto 4.1.2 del presente documento. Los equipos y sus periféricos tendrán controles para detectar y evitar alteraciones de terceros, los cuales serán validados por el Ministro de Fe antes de cada ceremonia. 5.5. Controles de Seguridad de Redes. La "máquina firmadora off-line" no tendrá acceso a redes de datos. Todo el traspaso de información se hará mediante dispositivos de almacenamiento USB. El traspaso de información desde los dispositivos de almacenamiento USB a los sistemas de producción de NIC Chile se hará conectando directamente el dispositivo al equipo, sin hacer uso de la red u otro mecanismo intermedio. 5.6. Controles Técnicos en el Ciclo de Vida. NIC Chile mantendrá un monitoreo externo constante, y ejecutará un conjunto de pruebas automatizado en cada generación de zona para asegurar la validez de los datos publicados. 6. FIRMADO DE LA ZONA .CL. El firmado de la zona de .CL utilizará los parámetros especificados a continuación. Cualquier cambio a éstos se verá reflejado en el presente documento, el cual será informado oportunamente tal como está especificado en el punto 2.1. 6.1. Largos de Llaves y Algoritmos. - KSK: 2048 bits, RSASHA256 (algoritmo número 8). - ZSK: 1024 bits, RSASHA256 (algoritmo número 8). 6.2. Denegación de Existencia Autenticada. Se utilizará NSEC3 (RFC 5155) con opt-out. 6.3. Formato de Firma. Las firmas utilizarán RSASHA256 (algoritmo número 8). 6.4. Rotación ("Rollover") de la ZSK ("Zone Signing Key"). Cada ZSK se mantendrá activa durante 3 meses. 6.5. Rotación ("Rollover") de la KSK ("Key Signing Key"). En el caso de un "rollover" normal, se publicará la llave 3 meses antes de su activación, y se mantendrá por 3 meses después de haber sido desactivada. La duración de esta llave será determinada bajo los criterios que NIC Chile considere necesarios. Se utilizará un procedimiento que permita la automatización del "rollover", de acuerdo al RFC 5011. 6.6. Ciclo de Vida de las Firmas y Frecuencia de Refirmado. Las firmas de la ZSK durarán 45 días y se refirmarán en cada zona nueva. 6.7. Time-to-live de los RR. El TTL del DNSKEY será de 3.600 segundos. 7. ASUNTOS LEGALES. NIC Chile se reserva el derecho de desactivar DNSSEC cuando la estabilidad de .CL corra algún riesgo. El presente documento mantendrá su versión oficial en idioma español sin perjuicio de traducciones a otros idiomas, las cuales sólo sirven como referencia al citado documento.