In ottobre ICANN modificherà la chiave che protegge i DNS

Dire che è la chiave crittografica che rende sicura la rete Internet è sicuramente esagerato. La chiave che i tecnici dell’ICANN modificheranno, per la prima volta nella storia, durante il mese di ottobre, riveste tuttavia un’importanza fondamentale.

L’ICANN è l’ente senza scopo di lucro che, tra i suoi numerosi incarichi, provvede ad assegnare indirizzi IP e a svolgere un’attività di gestione dei nomi a dominio di primo livello.
Il ruolo è senza dubbio centrale perché ICANN è responsabile anche dei cosiddetti server DNS root ovvero del corretto funzionamento dei sistemi che rispondono alle richieste di risoluzione dei nomi riguardanti il namespace del dominio principale.
Il compito dei DNS root dell’ICANN consiste nel reindirizzare le richieste relative a ciascun dominio di primo livello (top-level domain, TLD) ai nameserver propri di quel TLD.

Oltre ai TLD più noti come .com, .net e .org, i DNS root dell’ICANN – con la recente liberalizzazione dei nomi a dominio di primo livello (vedere I domini di primo livello più richiesti secondo Aruba) – si trovano oggi a gestire i riferimenti a molteplici nameserver.

Il sistema DNS non è nato prendendo in considerazione gli aspetti legati alla sicurezza. Nel 2010, quindi, per porre fine ai ripetuti attacchi che – a più riprese hanno interessato i DNS a livello mondiale (DNS poisoning e DNS spoofing) – l’ICANN ha deciso di promuovere l’utilizzo del protocollo DNSSEC.

DNSSEC (DNS Security Extensions) è stato progettato per migliorare la sicurezza dei server DNS attraverso l’impiego di firme crittografate per l’autenticazione delle risposte alle interrogazioni inviate dai sistemi remoti (ecco come avevamo presentato, nel 2010, la migrazione verso DNSSEC: Sui principali server DNS inizia il passaggio a DNSSEC).

In ottobre l’ICANN modificherà la coppia di chiavi utilizzate per firmare digitalmente le risposte inviate ai sistemi client via DNSSEC.
Si passerà da una chiave a 1024 bit a 2048 bit, un’operazione che Dan Kaminsky – il ricercatore che si è maggiormente dedicato al problema della sicurezza dei server DNS – non è ormai più rinviabile nel 2016.

Così, in ottobre, un gruppo di tecnici dell’ICANN si riunirà presso una struttura segreta situata sulla costa orientale statunitense. Qui verrà generata una nuova coppia di chiavi: quella pubblica sarà diffusa mentre quella privata, ovviamente, verrà conservata in un luogo sicuro.

L’attuale chiave privata veniva conservata anche da sette esperti di sicurezza a ciascuno dei quali era stata affidata una porzione di essa.