KSK (Key Signing Key)
Key Signing Key (KSK) w DNSSEC podpisuje klucz ZSK i tworzy łańcuch zaufania chroniący rekordy DNS z konfiguracją SPF, DKIM i DMARC.
Czym jest Key Signing Key (KSK)?
Key Signing Key (KSK) to wyspecjalizowany klucz kryptograficzny używany w ramach DNSSEC (Domain Name System Security Extensions) do podpisywania i walidacji kluczy chroniących rekordy DNS. Jego głównym zadaniem jest podpisywanie klucza Zone Signing Key (ZSK), który z kolei podpisuje właściwe dane DNS. Dzięki rozdzieleniu tych funkcji KSK tworzy bezpieczny łańcuch zaufania, który zapewnia, że informacje DNS nie mogą zostać zmanipulowane ani sfałszowane podczas przesyłania.
KSK jest fundamentem hierarchii zaufania DNSSEC. Pomaga ustanowić weryfikowalne powiązanie między strefą DNS domeny a jej strefą nadrzędną za pomocą mechanizmu zwanego rekordem DS (Delegation Signer). To powiązanie pozwala resolwerom potwierdzić, że odpowiedzi DNS pochodzą z prawidłowych źródeł i nie zostały zmienione po drodze.
Jak działa Key Signing Key
DNSSEC wprowadza do DNS kryptografię klucza publicznego, tworząc dwa typy kluczy, które współpracują ze sobą:
- Zone Signing Key (ZSK): Podpisuje poszczególne rekordy DNS (takie jak A, MX, TXT) w pliku strefy.
- Key Signing Key (KSK): Podpisuje część publiczną klucza ZSK, aby uwierzytelnić zestaw kluczy strefy.
Gdy resolwer wykonuje zapytanie DNS, weryfikuje odpowiedź za pomocą podpisów cyfrowych. Łańcuch zaufania przebiega w następującej sekwencji:
- ZSK podpisuje dane DNS.
- KSK podpisuje klucz publiczny ZSK (w rekordzie DNSKEY).
- Strefa nadrzędna publikuje rekord DS odwołujący się do odcisku palca klucza KSK.
Resolwery walidują odpowiedzi DNS, sprawdzając podpis KSK względem rekordu DS w strefie nadrzędnej. Jeśli łańcuch jest nienaruszony, odpowiedź uznaje się za autentyczną i niezmienioną.
Przykład rekordów kluczy DNSSEC:
example.com. IN DNSKEY 257 3 8 AwEAAa1h3... (KSK)
example.com. IN DNSKEY 256 3 8 AwEAAcF9x... (ZSK)Zarządzanie i rotacja KSK
Ponieważ KSK stanowi kotwicę zaufania strefy, musi być starannie chroniony i rotowany z zachowaniem kontrolowanych procedur. Naruszony lub wygasły KSK mógłby uniemożliwić rozwiązywanie zapytań DNS albo pozwolić atakującym podszywać się pod domeny.
Dobre praktyki zarządzania kluczami obejmują:
- Stosowanie silnych algorytmów kryptograficznych, takich jak RSA lub ECDSA
- Bezpieczne przechowywanie kluczy KSK, często w trybie offline lub w sprzętowych modułach bezpieczeństwa (HSM)
- Regularną rotację KSK w celu utrzymania integralności zabezpieczeń
- Aktualizowanie rekordu DS w strefie nadrzędnej przy każdym wprowadzeniu nowego KSK
- Testowanie walidacji DNSSEC po każdej rotacji
Internet Assigned Numbers Authority (IANA) zarządza głównym kluczem KSK dla globalnej hierarchii DNS. Okresowe wymiany kluczy są ogłaszane i koordynowane na całym świecie, aby zachować ciągłość zaufania we wszystkich resolwerach DNS.
KSK a uwierzytelnianie poczty e-mail
Chociaż KSK działa w ramach DNSSEC, jego korzyści dla bezpieczeństwa rozciągają się na DKIM, SPF i DMARC, ponieważ zapewnia, że rekordy DNS, na których polegają te protokoły, nie mogą zostać sfałszowane ani zmienione. Gdy DNSSEC jest poprawnie wdrożone, atakujący nie mogą podrobić danych uwierzytelniania ani zmanipulować rekordów DNS TXT zawierających klucze SPF lub DKIM.
Ta integralność jest kluczowa dla domen, które publikują polityki uwierzytelniania w DNS, ponieważ zapobiega przechwyceniu lub manipulacji konfiguracjami uwierzytelniania, co jest jednym z podstawowych celów bezpiecznej infrastruktury poczty e-mail.
Key Signing Key a DMARCeye
DMARCeye wykorzystuje sygnały walidacji DNSSEC, w tym integralność KSK, aby zwiększyć widoczność zaufania na poziomie domeny. Weryfikując, że rekordy uwierzytelniania są publikowane w kryptograficznie zabezpieczonych strefach DNS, platforma zapewnia, że konfiguracje SPF, DKIM i DMARC są nie tylko poprawne, ale też chronione przed manipulacją.
DMARCeye ostrzega administratorów o problemach z DNSSEC - takich jak brakujące rekordy DS, wygasłe klucze czy niepodpisane strefy - które mogłyby osłabić ogólny poziom uwierzytelniania poczty e-mail w domenie. Monitorowanie kondycji kluczy KSK pomaga utrzymać wiarygodny fundament DNS wspierający niezawodne bezpieczeństwo poczty i ochronę marki.
Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.
Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.