La chiave crittografica che protegge il web verrà cambiata per la prima volta

Una delle più importanti coppie di chiavi della rete sta per essere cambiata per la prima volta.

L'Internet Corporation for Assigned Names and Numbers (ICANN), l'ente statunitense no-profit responsabile per diverse operazioni di manutenzione dell'infrastruttura internet, cambierà la coppia di chiavi responsabili del primo collegamento in una lunga catena di sezioni crittografiche che reggono le fondamenta del Domain Name System, o DNS, l'"elenco telefonico" di internet.

Queste chiavi fanno sì che quando gli utenti provano a visitare un sito, vengono instradati all'indirizzo corretto. Senza, molti utenti potrebbero finire su dei siti creati da impostori e hacker, come i siti di phishing progettati per rubare informazioni.

"L'ICANN vuole essere totalmente trasparente nelle operazioni concernenti il cmabio di questa chiave, perché è importante che la community abbia fiducia in essa," ha spiegato a Motherboard Matt Larson, vice presidente della ricerca dell'ICANN.

Matt Larson dell'ICANN. Immagine: Kim Davies/Flickr

Il DNS traduce i nomi dei domini, più semplici da ricordare—come Google.com—nei loro indirizzi IP numerici, così che i computer li possano visitare. Ma il DNS non è mai stato pensato tenendo a mente i principi di sicurezza. "Il domain name system è stato progettato quando internet era un posto più tranquillo e amichevole, non si è pensato troppo alla sicurezza in quel momento," ha spiegato Larson. Il risultato è un problema particolare chiamato avvelenamento della cache DNS o spoofing DNS, per cui un server che sta effettuato delle operazioni simili a quelle di un elenco telefonico viene forzato a restituire un indirizzo IP errato, così da ridirezionare il traffico da qualche altra parte, come un sito maligno controllato da un hacker.

Per risolvere questo problema, molti domini usano le DNS Security Extensions (DNSSEC). Grazie alle DNSSEC, le chiavi crittografiche si assicurano che i dati DNS provengano dal posto giusto. Se qualcosa di sospetto è successo nel tragitto dei dati e le firme crittografiche non coincidono, il tuo browser visualizzerà un errore anziché portarti al sito sbagliato.

Le DNSSEC non crittano i dati sul sito—quello è un lavoro svolto da protocolli come l'SSL o il TSL—ma ti fa sapere se il sito che stai cercando di visitare è sicuro o meno.

Nel 2010 l'ICANN, assieme ad altre organizzazioni, ha introdotto il DNSSEC per proteggere il livello superiore del DNS di internet, la root zone del DNS.

Una gerarchia di chiavi gestisce il processo di autenticazione delle DNSSEC, assieme a diversi strumenti responsabili per le varie sezioni del sistema. La root zone di primo livello, gestita dall'ICANN, è seguita dagli operatori di altri domini di primo livello, come il .com, e dopodiché dagli operatori dei singoli siti, per capirci tipo MioSito.com.

Ogni organizzazione in questa struttura ha le proprie chiavi per generare firme crittografiche, e deve firmare la chiave dell'entità sotto di essa. Quindi, per MioSito.com, l'organizzazione di .com firmerà la chiave di MioSito.com e l'organizzazione di root firmerà quella di .com. Quando visiti un sito, questa informazione è controllata in maniera praticamente istantanea, prima che il tuo computer carichi il sito corretto. Non tutti usano DNSSEC, ma l'adozione del sistema è cresciuta negli ultimi anni: Comcast l'ha integrato per i suoi clienti nel 2012, e nel 2013 il servizio DNS di Google ha cominciato a supportare appieno DNSSEC.

Il paio di chiavi in cima a questa catena, conosciute come Root Zone Signing Key, sono ciò che l'ICANN dovrà cambiare per la prima volta.

"Se avessi questa chiave e potessi, per esempio, generare la tua versione della root zone, potresti essere nella posizione di ridirigere una quantità assurda di traffico," ha spiegato Larson.

"Vogliamo cambiare la chiave perché è buona norma di manutenzione crittografica," ha aggiunto. Nella stessa misura in cui può essere una buona idea cambiare la password nel caso in cui fosse finita in un dump di dati, cambiare le chiavi di sicurezza di tanto in tanto è una misura di sicurezza standard.

"C'è una possibilità logica che qualcuno abbia già craccato la chiave, e che noi non lo sappiamo," ci ha detto al telefono Andrew Sullivan, chair della Internet Architecture Board, un gruppo che supervisiona le organizzazioni coinvolte nell'evoluzione di internet. Ha sottolineato, comunque, che non ci sono ragioni per credere che la chiave sia stata compromessa.

Infatti, l'ICANN dispone di alcune misure di sicurezza straordinarie, e considera qualunque ente una potenziale minaccia, anche gli stati nazionali. Per le sue cerimonie trimestrali, tutti i cosiddetti "crypto-poliziotti" del mondo si riuniscono in una delle sue strutture di gestione, dopo aver passato tutta una serie di controlli di sicurezza fisici e digitali.

Un'altra ragione dietro al cambio di chiave riguarda l'incremento delle sue dimensioni, da 1024 bit a 2048. Con il passare del tempo, e con l'aumentare della potenza computazionale, le possibilità che qualcuno possa craccare le chiave, per quanto ancora basse, aumentano.

"È importante aumentare le dimensioni della chiave per il root, e non voglio che niente ritardi questa operazione," ha spiegato a Motherboard Dan Kaminsky, un noto ricercatore in ambito security che ha svolto gran parte dei primi lavori di sicurezza per il DNS.

L'ICANN vuole effettuare questo cambio durante un periodo di calma, invece che dover agire di fretta nel caso in cui la chiave venisse compromessa.

"Vogliamo lavorare adesso che le cose sono normali; quando non c'è alcun tipo di emergenza in corso, " ha spiegato Larson. In questo modo, se un ente dovesse riuscire a ottenere la chiave, almeno l'ICANN avrà un'idea migliore di come funziona questo processo.

Questo ottobre, in una struttura di gestione super-sicura sulla costa est degli Stati Uniti, l'ICANN genererà la nuova coppia di chiavi crittografiche. Una di queste chiavi sarà privata, e verrà conservata dall'ICANN: l'altra è pubblica. Gli ISP, i produttori hardware e gli sviluppatori Linux hanno bisogno della parte pubblica perché il loro software possa connettersi correttamente ai siti internet.

Nel primo trimestre del 2017, due dipendenti metteranno una copia dei file della chiave crittata su una smartcard e la porteranno in una struttura sulla costa ovest, usando normali trasporti commerciali. Infine, la parte pubblica della chiave verrà distribuiti ad altre organizzazioni.

In tutto, l'intero switchover richiederà circa 2 anni dall'inizio alla fine. Larson ha detto che la nuova chiave apparirà per la prima volta nel DNS l'11 luglio 2017. Nell'ottobre 2017, la nuova chiave sarà usata per generare firme.

Fare girare la voce in tempo è ciò che preoccupa di più. Anche se molte organizzazioni più grandi hanno già cominciato a monitorare lo status dell'incombente cambia di chiave, Sullivan ha detto che c'è la possibilità che alcuni pezzi di hardware disseminati nel periodo tra il pre e il post cambio vengano privati delle modifiche necessarie e avranno bisogno di un update manuale.

Parlare con i media è uno dei modi per diffondere il messaggio, ma essere così trasparenti e pubblici nei confronti di questo cambio di guardia serve anche per un altro motivo: aumentare la fiducia nel sistema.

"Internet è una rete di reti, ed è totalmente volontaria, le persone devono credere di star ottenendo qualcosa da essa, altrimenti non la useranno," ha spiegato Sullivan.

DNSSEC e altre forme di autenticazione potrebbero sembrare delle soluzioni completamente tecnologiche. Ma alla fine, sono anche sistemi che si basano sulla fragilità della fiducia umana.

Infine, nessuno può sapere con certezza se la chiave ICANN sia stata compromessa o meno.

"La fiducia è qualcosa di effimero," ha detto Larson, dell'ICANN.

Correzione: La Root Zone Signing Key era inizialmente descritta come una chiave di crittazione. È una chiave crittografica, ma non di crittazione. Il titolo di questo articolo è stato corretto e ci scusiamo per l'errore.