DNSSEC: ICANN cambierà le chiavi di Internet

Le chiavi crittografiche che gestiscono l'instradamento del traffico Internet stanno per cambiare: una questione di sicurezza, secondo l'ente statunitense.
DNSSEC: ICANN cambierà le chiavi di Internet
Le chiavi crittografiche che gestiscono l'instradamento del traffico Internet stanno per cambiare: una questione di sicurezza, secondo l'ente statunitense.

In pochi, pochissimi se ne renderanno conto, poiché si tratterà di una modifica invisibile, sotterranea, impalpabile, ma qualcosa sta per cambiare nell’enorme e articolato sistema che gestisce il traffico Internet a livello globale. ICANN cambierà le chiavi crittografiche che gestiscono in maniera sicura l’instradamento delle richieste provenienti dai client e destinate ai server.

Si apre il browser, si digita webnews.it e si finisce su queste pagine. Semplice, no? Rapido, immediato, indolore. È l’immediatezza del Web, l’istantanea fruibilità di qualsiasi contenuto online. Ogni pagina di ogni sito è identificata da un indirizzo univoco. In realtà, volendosi addentrare nel dettaglio di ciò che accade dopo aver scritto la propria destinazione, si deve per forza di cosa passare da uno step di fondamentale importanza per tutto ciò che risulta accessibile in Rete: la conversione di un indirizzo Internet nell’IP corrispondente.

Da URL a IP

Innanzitutto, perché è necessario questo passaggio? Semplice: è molto più facile ricordare e digitare “nomesito.ext” (dove “ext” sta per l’estensione del dominio di primo livello) piuttosto che un codice composto da quattro numeri (12.34.56.789). Agli albori di Internet questa procedura era gestita in maniera diretta, da quello che potrebbe essere in qualche modo paragonato ad un elenco telefonico aperto e liberamente consultabile, in cui ad ogni indirizzo corrispondeva un preciso percorso di instradamento della richiesta. Ben presto ci si rese però conto che questo comportava rischi in termini di sicurezza, poiché malintenzionati avrebbero potuto inserirsi in questo tragitto e reindirizzare il traffico sulle proprie pagine o verso contenuti di tipo malevolo, attraverso pratiche note come DNS cache poisoning o DNS spoofing. Ecco da dove è nata l’esigenza di impiegare una chiave crittografica per gestire il processo.

ICANN e DNSSEC

Ad occuparsene è stato l’ICANN (Internet Corporation for Assigned Names and Numbers), un ente non profit statunitense impegnato, tra le altre cose, nell’assegnare gli indirizzi IP ai domini di primo livello come .com, .org o .it, all’interno di quella che viene definita DNS root zone. L’organizzazione ha così introdotto DNSSEC (Domain Name System Security Extensions), specifiche ed estensioni nate con l’obiettivo di assicurare che la comunicazione avvenga in maniera corretta e sicura, con il flusso dati proveniente dall’IP corretto. Attenzione: non si sta parlando di una componente delegata alla crittografia di file o pagine, poiché di quello si occupano protocolli come SSL e TLS. Nel caso in cui qualcosa dovesse andare storto, l’utente vedrebbe comparire all’interno del proprio browser un messaggio d’errore anziché un contenuto potenzialmente pericoloso.

Le nuove chiavi della Rete

Ebbene, l’ICANN ha annunciato che per la prima volta dal 2010 le due chiavi impiegate per la crittografia verranno cambiate. Non sarà una cosa immediata. Si inizierà il mese prossimo, quando all’interno di un edificio adeguatamente controllato dal punto di vista della sicurezza, localizzato sulla costa orientale degli Stati Uniti, l’ente genererà una nuova coppia di chiavi. Una resterà privata e verrà custodita dall’organizzazione, l’altra invece diverrà pubblica e sarà distribuita a realtà come ISP, produttori hardware e sviluppatori, così che possano impiegarla per garantire che sistemi, computer e dispositivi si connettano ai siti Internet in modo corretto.

Poi, entro il primo trimestre del prossimo anno, due impiegati trasporteranno una copia delle chiavi in un altro edificio sulla costa occidentale, salvandole all’interno di una smartcard e muovendosi a bordo di un mezzo di trasporto tradizionale. Il primo impiego a livello di DNS è previsto per l’11 luglio 2017, ma serviranno fino a due anni per far sì che lo switch sia completo. Un procedimento lungo e complesso, quindi, che Matt Larson (vicepresidente e ricercatore ICANN) spiega nel modo più semplice e sintetico possibile.

Il Domain Name System è stato progettato quando Internet era un luogo amichevole e non si pensava molto alla sua sicurezza. Entrando in possesso di questa chiave, ad esempio, si sarebbe in grado di generare la propria versione alternativa della root zone e reindirizzare un incredibile volume di traffico. Vogliamo cambiarle perché è una buona pratica crittografica.

In altre parole, ICANN sta per cambiare il codice segreto che regola l’instradamento del traffico Internet, così come ognuno di noi dovrebbe periodicamente modificare le proprie password per evitare una violazione degli account personali. Sarà incrementata anche la complessità, passando da 1024 a 2048 bit, una misura quasi obbligata se si tiene conto che la potenza di calcolo dei computer è in costante ascesa e che malintenzionati potrebbero sfruttarla a loro favore. Ad oggi, per essere chiari, non ci sono prove che qualcuno sia entrato in possesso della chiave attualmente utilizzata al livello globale.

Ti consigliamo anche

Link copiato negli appunti