.FILE

Stockholm Waterfront 23-24 november 2020

Jag har rörts av historiens vingslag

Under veckan som gick så har det första stora steget mot en DNSSEC-signerad rotzon för Internet ägt rum, i ett splitternytt datacenter med beväpnade vakter och SCIF-säkra utrymmen där man verkligen kan prata hemligheter i den lilla staden Culpeper utanför Washington i USA.

Bland fler än 60 andra kandidater har jag blivit utvald av ICANN att tjäna som TCR, dvs. Trusted Community Representative, i mitt fall med rollen att vara Crypto Officer, dvs. en av de sju personer varav minst tre måste infinna sig fyra gånger per år på den sajt som är belägen på östkusten.

Motsvarande facilitet finns även på västkusten, för vilken sju andra TCR:er har utsetts. Den kommer att aktiveras i mitten av juli, samtidigt som avtäckning av nyckeln för rotzonen äger rum. Dessutom finns det sju Crypto Officers utsedda som reserv, för det fall att någon av de ordinarie inte skulle hinna ta sig i tid till sin sajt p.g.a. oförutsedda händelser. Därtill finns det sju s.k. RKSH:er, eller Recovery Key Share Holders som bara behöver rycka in om inte någon av de båda sajterna skulle vara nåbara, dvs. i mycket extrema situationer.

Som enda svensk TCR hade jag förmånen att få resa till Culpeper för att delta i detta historiska ögonblick

Onsdagen den 16 juni ägde så den första nyckelceremonin rum. Närvarande förutom sju CO och sju RKSH tillresta från alla kontinenter, var även en ceremonimästare (Richard Lamb), en ceremoniledare (Mehmet Akcin), två systemadministratörer, två kassaskåpsansvariga samt en revisor, tre interna vittnen (ICANN-anställda) och fem externa vittnen, allt som allt runt 30 personer. Utöver det så fanns det en mängd deltagare som satt i ett konferensrum utanför ceremonirummet, som kunde följa hela förloppet via video.

Som enda svensk TCR hade jag förmånen att få resa till Culpeper för att delta i detta historiska ögonblick. För en som har varit med under utvecklingen av DNSSEC ända sedan 1999 (!) så känns det otroligt tillfredsställande. Vi kan också glädja oss åt annan svensk representation genom de båda konsulter som står bakom arkitekturen för hela lösningen, Jakob Schlyter och Fredrik Ljunggren från det Göteborgsbaserade konsultföretaget Kirei, vilka har gjort ett utomordentligt bra arbete.

All utrustning aktiverades, smarta kort genererades och fysiska nycklar placerades i förslutna påsar som inte går att öppna

Alla dessa olika personer och roller syftar till att signeringen av rotzonen för DNS och alla därtill hörande aktiviteter är transparenta processer. En nyckelceremoni kan bara betraktas som tillförlitlig om alla inblandade TCR:er är nöjda med de olika steg som gås igenom, och att det sker korrekt och på ett sätt som är spårbart.

Stämningen var spänd men förväntansfull, vissa deltagare hade klätt upp sig för ceremonin med kostym och slips medan andra höll sig till den klädkod som vanligtvis råder inom Internet, T-shirt och jeans (shorts funkar inte för det blir för kallt för en datorhall, och sandaler var inte tillåtna). Det är inte utan en viss känsla av högtidlighet som jag träder in i ceremonirummet efter att ha skrivit in mig i loggen (assisterad av en vakt och ett internt vittne). Det är lite lätt surrealistiskt att stå och småprata med alla dessa namnkunniga människor som har ställt upp som frivilliga för att få detta att hända.

Ceremonin genomfördes med framgång och utan problem, all utrustning aktiverades, smarta kort genererades och fysiska nycklar placerades i förslutna påsar som inte går att öppna utan att det syns och distribuerades till sina respektive mottagare. Vissa påsar innehåller de nyckelfragment som RKSH behöver ha för att kunna rycka in, andra påsar innehåller de kort som CO behöver för att aktivera krypteringsutrustningen. Denna senare kategori av kort låstes in i personliga säkerhetsboxar inneslutna i ett kassaskåp, instängda i ett låst rum, instängda i en datorhall, beläget i ett som sagt mycket hårt bevakat område. Rysk gumma dyker upp i mitt huvud.

Hela operationen tog lite drygt 6 timmar, exklusive en ”biologisk” paus mitt i.

Nyckelceremonin kommer accepteras för produktion först när det andra nyckelparet har transporterats på ett säkert sätt till ICANN:s datacenter på västkusten

Under denna ceremoni hanterades också den första nyckelsigneringsbegäran (Key Signing Request, KSR) från VeriSign av ICANN genom användning av KSK för rotzonen, och resultatet, Signed Key Response (KSR) accepterades av VeriSign. Denna SKR innehåller signaturer för det tredje kvartalet 2010 som kommer att användas mellan 2010-07-01 och 2010-09-30.

KSK och SKR genererade under den första nyckelceremonin kommer inte att accepteras för produktion innan den andra nyckelparet för KSK har transporterats på ett säkert sätt till ICANN:s datacenter på västkusten, närmare bestämt i El Segundo i Kalifornien, USA, och lyckligt befinner sig inom lås och bom på samma säkra sätt som i Culpeper.

Nyckelceremoni nummer två kommer att äga rum den 12 juli 2010. Under denna ceremoni kommer man att replikera nyckelmaterialet till HSM:erna, förse Crypto Officers för västkusten med det de behöver och processa KSR:er för Q4 (att tas i bruk mellan 2010-10-01 och 2010-12-31).

Revisorns rapport från den första ceremonin kommer att publiceras så fort som det är möjligt, och garanterat före den 15 juli 2010, som är vårt sista magiska datum innan rotsigneringen är fullbordad.

Håll er uppdaterade om DNSSEC i rotzonen!

Bilder: KJD´s Creative Commons

Skriv upp dig på intresselistan!

Genom intresselistan får du info först av alla när höstens fullspäckade program finns tillgängligt, helt utan förbindelse.

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn

Skriv upp dig på intresselistan!

Genom intresselistan får du info först av alla när höstens fullspäckade program finns tillgängligt, helt utan förbindelse.

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn