1) O que é o DNSSEC?
DNSSEC é o nome dado às extensões de segurança ao protocolo DNS e foi criado para proteger e autenticar o tráfego DNS. Estas extensões procuram validar os dados através de assinaturas digitais, fazendo uso de assinaturas criptográficas assimétricas.
2) O que é criptografia?
A criptografia é uma ciência que permite escrever de forma a ocultar conteúdos. O objectivo da criptografia é permitir que um conjunto limitado de entidades, tipicamente duas, possam trocar informação que é ininteligível para terceiros ou que seja possível guardar e transmitir informação privada em redes abertas (como a Internet) sem o perigo de ser lida ou modificada por alguém que não seja o destinatário final da mensagem.
A criptografia baseia-se no uso de cifras. Uma cifra é uma técnica concreta de criptografia, isto é, uma forma específica de ocultar informação.
3) No que consiste especificamente a criptografia assimétrica?
A criptografia assimétrica, ou de chave pública, utiliza um par de chaves distintas mas relacionadas: uma chave pública para cifrar e uma chave privada para decifrar, e não é possível, dada a chave pública, calcular a correspondente chave privada. As cifras permitem ainda efectuar a cifra ao contrário, cifrando com a chave privada e decifrando com a pública, o que não tem grande interesse para esconder a informação, mas é importante para garantir a sua autoria.
Os pares de chaves assimétricas são personalizados, ou seja, são associados a pessoas, serviços ou servidores. A componente privada deve ser mantida em segredo, devendo ser apenas do conhecimento e da utilização da entidade a que se encontra associada. A chave pública pode (e deve) ser ampla e publicamente divulgada para poder ser utilizada por qualquer entidade.
Em termos operacionais as cifras assimétricas têm como principal vantagem o facto de exigirem menos chaves para efectuar interacções seguras porque permite uma relação de muitos para um.
Em termos administrativos os principais problemas subjacentes à utilização de criptografia assimétrica são:
• Confinamento rigoroso das chaves privadas aos legítimos detentores;
• Distribuição fidedigna de chaves públicas a todos os que as pretendem usar;
• Gestão do tempo de vida dos pares de chaves;
4) Quais os novos Resource Records?
A função real do DNS é fazer corresponder nomes de domínios aos seus respectivos Resource Records. Estes são divididos em classes e tipos e actualmente existe uma grande variedade de tipos. Ao conjunto de Resource Records com o mesmo nome de domínio, classe e tipo é denominado Resource Record Set (RRset). Alguns tipos mais comuns de resource records são o SOA que indica onde está delegada a autoridade da zona, NS que indica um servidor de nomes para a zona e A que atribui o nome a um endereço IP.
O DNSSEC introduz Resource Records adicionais que se dividem em quatro tipos diferentes:
• DNSKEY - Chave pública;
• RRSIG - Assinatura Digital do RRset;
• NSEC3 - Síntese autenticada da não existência de um domínio ou conjunto de Resource Records associado a um domínio;
• DS - Síntese da chave pública que faz a ligação entre um domínio e subdomínio de modo a construir uma cadeia de confiança;
5) Para que serve o DNSSEC?
A segurança acrescida da utilização das extensões DNSSEC ao protocolo DNS permitem: Suprimir fragilidades; Prevenir ataques; Reduzir o risco de manipulação; Prestar um serviço seguro; reforçar a segurança.
6) Se eu assinar o meu nome de domínio, que garantias tenho?
Estas extensões se segurança ao protocolo original consistem numa hierarquia de assinaturas criptográficas que providenciam autenticação da origem dos dados do DNS, integridade e autenticação da resposta da não existência de um domínio. Estas medidas protegem contra corrupção de memórias de cache e transmissões modificadas e contribuem para o aumento da confiança na Internet e nos sistemas.
7) O que é spoofing?
Ataque por meio de spoofing consiste na situação em que uma entidade (pessoa ou programa) dissimula-se como sendo outra através da falsificação de dados DNS ganhando assim uma vantagem ilegítima.
8) O que é pharming?
Pharming é um ataque que se caracteriza por envenenamento de cache DNS e que consiste em corromper o DNS numa determinada rede fazendo com que o tráfego de uma página da Internet seja redireccionado para outra página.
9) O que é phishing?
Phishing consiste num método de fraude electrónica, que se caracteriza pelo processo de tentativa de aquisição de informações sensíveis, tais como nomes de utilizador, palavras chave, informação de cartão de crédito entre outras onde o atacante se faz passar por uma entidade de confiança por meio de comunicações electrónicas dissimuladas.
10) O tempo de resposta com uma zona assinada aumenta?
A adopção do DNSSEC implica uma troca de mensagens de maiores dimensões. Em resposta a pedidos de dados em zonas assinadas, os servidores DNS com suporte a segurança vão responder com os resource records DNSKEY, RRSIG, NSEC3 e/ou DS. A adição destes novos RRs implica a alocação de uma maior largura de banda para se efectuarem as trocas de mensagens entre o servidor e o cliente. No entanto, a grande maioria dos pedidos efectuados inicialmente a zonas assinadas serão realizados por clientes sem suporte às extensões de segurança e esses resource records adicionais não trarão qualquer mais-valia para esses clientes nem aumento no tempo de resposta.
Quanto à capacidade de resposta do DNS com implementação DNSSEC apesar se detectar uma aumento no tempo de acesso ao DNS de um domínio assinado o mesmo não é significativo ao ponto do utilizador final sentir algum impacto no tempo de resposta, pois tratam-se de valores na ordem dos milisegundos.
11) Existem já experiências positivas do DNSSEC?
Ainda não são muitos os países a disponibilizar este tipo de serviço, mas todos eles apresentam já experiências positivas e aquando a adopção global de DNSSEC por toda a Internet o benefício será ainda maior. O primeiro Registry a disponibilizar DNSSEC foi a Suécia (.se) e outros lhe tomaram o exemplo, tais como a República Checa (.cz), a Bulgária (.bg), e o Brasil (.br). Existem também alguns TLDs genéricos em fase final de preparações, são estes .gov e .org.