Root KSK已更新 啟動DNSSEC保障網站安全的重要

Root KSK已更新 啟動DNSSEC保障網站安全的重要

上月互聯網名稱與數字地址分配機構(ICANN,Internet Corporation for Assigned Names and Numbers)已經順利更換根區域密鑰簽名密鑰(Root Zone Key Signing Key),為保障域名安全的域名系統安全擴展功能(DNSSEC,Domain Name System Security Extensions)提供更佳保護。香港以及全球各地已啟動 DNSSEC 的機構、企業和服務供應商都需要配合更新密鑰。香港互聯網註冊管理有限公司(HKIRC)指密鑰更換當日一切順利,並促請企業應盡快啟動 DNSSEC,為網站提供更佳的安全保障。

現時世界互連互通、國際貿易頻繁,作為環球金融中心的香港更容易受到網絡安全的威脅。有見及此,HKIRC 於去年 5 月為香港的國家代碼頂級域名「.hk」域名簽署 DNSSEC。DNSSEC 能夠為域名系統提供驗證,利用加密簽署技術確認所接收的 DNS 數據的真確性。

域名網絡保安專家李頌康解釋 DNSSEC 的運作及重要性,能確保域名的真實性,減低用戶被轉接至偽冒網站的機會。

域名網絡保安專家李頌康解釋 DNSSEC 的運作及重要性,能確保域名的真實性,減低用戶被轉接至偽冒網站的機會。

香港互聯網註冊管理有限公司資訊科技主管李頌康先生解釋時稱,DNS 是一項重要的互聯網基建服務並被廣泛使用。它提供網域名稱和 IP 地址相互對換,使人更方便地使用互聯網服務,無須記憶網站的 IP 地址。DNS 早在 80 年代發明,但保安設計未盡完善,導致現在 DNS 容易成為駭客攻擊的目標。

現時駭客針對 DNS 的攻擊包括有「中間人攻擊」、「DNS 快取毒害攻擊」、「DNS 詐騙」及「偽冒的 DNS 伺服器」等,這些攻擊能夠成功,主要原因是 DNS 查詢與回應之間缺乏驗證,駭客可以製作虛假 DNS 封包,回應特定的 IP 地址,便能使用者轉接至偽冒網站。

李舉例說:「今年 4 月加密貨幣錢包 MyEtherWallet 便遭到黑客攻擊 DNS 伺服器,更被非法轉接至偽冒網站,導致價值逾百萬港元的 Ethereum 被盜去。若啟動 DNSSEC 便可保障 DNS 記錄真確,或可避免損失。」

DNSSEC 為 DNS 加入驗證,有效防禦 DNS 被植入虛假資料。DNSSEC 使用密碼學中的關鍵技術-公私密鑰(Public and Private Key)和數位簽署(Digital Signature)。DNSSEC 的機制中有兩種非對稱密鑰,密鑰簽名密鑰(KSK,Key Signing Key)和區域簽名密鑰(ZSK,Zone Signing Key),利用私密鑰對所有 DNS 的回答進行數碼簽署,收到回應的解析器系統(Resolver)則利用公密鑰來核對數碼簽署,驗證記錄的來源及內容曾否遭到竄改,確保內容真確及完整。為了防止公密鑰被偽冒,公密鑰的雜湊函數(Digital Hash)會被上一層 DNS Parent Zone 確認並放在 DNS 記錄內。如此層層驗證,構成整個 DNSSEC 信任鏈(Chain of Trust),令駭客難以偽冒。

為了確保安全,KSK 需要定期更改,就像定期更換電腦密碼。ICANN 於 2017 年開始策劃轉換 KSK,並在今年 9 月通過決議,選定同年 10 月 11 日更新 Root Zone KSK。由於 DNSSEC 信任鏈驗證是最先由最上層的 Root DNS 開始,一層一層往下驗證,所以當 Root Zone KSK 轉換時,DNS 系統管理員及技術團隊需為已啟動 DNSSEC 的機構檢查及更新其解析器系統,否則用戶瀏覽網頁將受到影響。幸而,HKIRC 早已通知各有關機構和服務供應商,並聯同政府資訊科技總監辦公室(OGCIO)及香港電腦保安事故協調中心(HKCERT),事前制定相關指引和應對措施。當日轉換過程順利,並在48小時內完成相關程序,過程中香港的互聯網服務一直保持暢順,未有受到任何影響。

啟動 DNSSEC 保護企業及用戶

自今年 1 月起,啟動 DNSSEC 的香港域名數目每月平均增長 11.27%。HKIRC 一直積極推廣 DNSSEC 的應用,直至今年 11 月中香港的 DNSSEC 驗證率已逾 55%,比率遠超其他亞洲國家。根據 HKIRC 的資料,亞洲區內各地的啟用情況各異,如新加坡有 22.4%、日本有 9.3%、台灣有 4.2%,中國和南韓分別僅得 1.5% 及 3.1%。

香港互聯網註冊管理有限公司署理行政總裁秦佩文女士表示:「科技罪案率於過去十年飊升近十倍,情況令人擔憂。作為香港的互聯網註冊管理機構,HKIRC 一直密切監察網絡安全,我們在此呼籲本地網站和服務供應商盡快啟動 DNSSEC。DNSSEC 可伸延 DNS 查詢信任鏈,確保域名指向真實的網站,有效減低用戶受網絡釣魚、網絡域名被非法轉接的威脅。」

香港互聯網註冊管理有限公司
2319 2303
www.hkirc.hk