更多

    Root KSK已更新 啟動DNSSEC保障網站安全的重要

    2020 香港資訊及通訊科技獎:學生創新獎 鼓勵年輕一代投入科創研究

    今年科技界舉行了一個具認受性、屬學界及資訊科技界中之最高榮譽的「學生創新獎」。

    自我個性.新型色 ASUS VivoBook S14/S15(S433EA/S533EQ)

    作為年青的新生代,擁有勇於表達、解放自我個性的心態,才可以突破框架,VivoBook S14/S15 採用了全新第 11 代 Intel Core 處理器,配合 Intel Iris Xe 內置顯示卡,將效能進一步提升。同時,多款顏色為電腦帶來富動感而擁有強烈對比的外觀,前所未有的創意亦在這款筆電中展顯出來。

    Arovia手提熒幕SPUD遇疫情險停產借貿發局脈絡回復研發拓全球市場

    在手提電腦普及之時,卻要用戶忍受在細小畫面上工作,「創業快綫」優勝創業公司之一 Arovia 創辦人兼行政總裁 Alexander Wesley 為了尋找可方便攜帶、提升工作效率,於 2016 年決心研發可摺疊的手提熒幕 SPUD,成功在眾籌網站獲支持。惟計畫大展拳腳之時遇上新冠肺炎疫情,工廠停工一度阻慢發展步伐,他期望透過不同支援化解不少挑戰。

    上月互聯網名稱與數字地址分配機構(ICANN,Internet Corporation for Assigned Names and Numbers)已經順利更換根區域密鑰簽名密鑰(Root Zone Key Signing Key),為保障域名安全的域名系統安全擴展功能(DNSSEC,Domain Name System Security Extensions)提供更佳保護。香港以及全球各地已啟動 DNSSEC 的機構、企業和服務供應商都需要配合更新密鑰。香港互聯網註冊管理有限公司(HKIRC)指密鑰更換當日一切順利,並促請企業應盡快啟動 DNSSEC,為網站提供更佳的安全保障。

    現時世界互連互通、國際貿易頻繁,作為環球金融中心的香港更容易受到網絡安全的威脅。有見及此,HKIRC 於去年 5 月為香港的國家代碼頂級域名「.hk」域名簽署 DNSSEC。DNSSEC 能夠為域名系統提供驗證,利用加密簽署技術確認所接收的 DNS 數據的真確性。

    域名網絡保安專家李頌康解釋 DNSSEC 的運作及重要性,能確保域名的真實性,減低用戶被轉接至偽冒網站的機會。
    域名網絡保安專家李頌康解釋 DNSSEC 的運作及重要性,能確保域名的真實性,減低用戶被轉接至偽冒網站的機會。

    香港互聯網註冊管理有限公司資訊科技主管李頌康先生解釋時稱,DNS 是一項重要的互聯網基建服務並被廣泛使用。它提供網域名稱和 IP 地址相互對換,使人更方便地使用互聯網服務,無須記憶網站的 IP 地址。DNS 早在 80 年代發明,但保安設計未盡完善,導致現在 DNS 容易成為駭客攻擊的目標。

    現時駭客針對 DNS 的攻擊包括有「中間人攻擊」、「DNS 快取毒害攻擊」、「DNS 詐騙」及「偽冒的 DNS 伺服器」等,這些攻擊能夠成功,主要原因是 DNS 查詢與回應之間缺乏驗證,駭客可以製作虛假 DNS 封包,回應特定的 IP 地址,便能使用者轉接至偽冒網站。

    李舉例說:「今年 4 月加密貨幣錢包 MyEtherWallet 便遭到黑客攻擊 DNS 伺服器,更被非法轉接至偽冒網站,導致價值逾百萬港元的 Ethereum 被盜去。若啟動 DNSSEC 便可保障 DNS 記錄真確,或可避免損失。」

    DNSSEC 為 DNS 加入驗證,有效防禦 DNS 被植入虛假資料。DNSSEC 使用密碼學中的關鍵技術-公私密鑰(Public and Private Key)和數位簽署(Digital Signature)。DNSSEC 的機制中有兩種非對稱密鑰,密鑰簽名密鑰(KSK,Key Signing Key)和區域簽名密鑰(ZSK,Zone Signing Key),利用私密鑰對所有 DNS 的回答進行數碼簽署,收到回應的解析器系統(Resolver)則利用公密鑰來核對數碼簽署,驗證記錄的來源及內容曾否遭到竄改,確保內容真確及完整。為了防止公密鑰被偽冒,公密鑰的雜湊函數(Digital Hash)會被上一層 DNS Parent Zone 確認並放在 DNS 記錄內。如此層層驗證,構成整個 DNSSEC 信任鏈(Chain of Trust),令駭客難以偽冒。

    為了確保安全,KSK 需要定期更改,就像定期更換電腦密碼。ICANN 於 2017 年開始策劃轉換 KSK,並在今年 9 月通過決議,選定同年 10 月 11 日更新 Root Zone KSK。由於 DNSSEC 信任鏈驗證是最先由最上層的 Root DNS 開始,一層一層往下驗證,所以當 Root Zone KSK 轉換時,DNS 系統管理員及技術團隊需為已啟動 DNSSEC 的機構檢查及更新其解析器系統,否則用戶瀏覽網頁將受到影響。幸而,HKIRC 早已通知各有關機構和服務供應商,並聯同政府資訊科技總監辦公室(OGCIO)及香港電腦保安事故協調中心(HKCERT),事前制定相關指引和應對措施。當日轉換過程順利,並在48小時內完成相關程序,過程中香港的互聯網服務一直保持暢順,未有受到任何影響。

    啟動 DNSSEC 保護企業及用戶

    自今年 1 月起,啟動 DNSSEC 的香港域名數目每月平均增長 11.27%。HKIRC 一直積極推廣 DNSSEC 的應用,直至今年 11 月中香港的 DNSSEC 驗證率已逾 55%,比率遠超其他亞洲國家。根據 HKIRC 的資料,亞洲區內各地的啟用情況各異,如新加坡有 22.4%、日本有 9.3%、台灣有 4.2%,中國和南韓分別僅得 1.5% 及 3.1%。

    香港互聯網註冊管理有限公司署理行政總裁秦佩文女士表示:「科技罪案率於過去十年飊升近十倍,情況令人擔憂。作為香港的互聯網註冊管理機構,HKIRC 一直密切監察網絡安全,我們在此呼籲本地網站和服務供應商盡快啟動 DNSSEC。DNSSEC 可伸延 DNS 查詢信任鏈,確保域名指向真實的網站,有效減低用戶受網絡釣魚、網絡域名被非法轉接的威脅。」

    香港互聯網註冊管理有限公司
    2319 2303
    www.hkirc.hk

     

    您會感興趣的內容

    相關文章