El proyecto DNSSEC Trial gira alrededor de dos objetivos fundamentales:

1. Educar y difundir la tecnología DNSSEC entre los usuarios de Internet.
2. Crear una plataforma tecnológica que permita la implementación futura de DNSSEC en el árbol .mx.

El objetivo de educación se ha ido cumpliendo mediante la realización de talleres/tutoriales sobre DNSSEC.

Se realizaron dos talleres en la Ciudad de México durante el primer semestre del 2006, contando con la participación de empresas de telefonía, universidades y empresas privadas no ligadas al sector de telecomunicaciones.

El primer taller (mas detalles en la siguiente liga) fue realizado los días 8 y 9 de Marzo de 2006, y contó con la participación de las siguientes empresas:

• UNAM
• Administradora LUX
• EDS
• BESTEL
• Universidad La Salle
• ANUIES
• Telcel

El segundo taller contó con la participación de RedUno/Telmex.

Durante el segundo semestre del 2006 se llevará a cabo un taller en la ciudad de Monterrey esperando contar con la participación de las empresas de telefonía y universidades de la zona.

El objetivo de crear una plataforma tecnológica que permita la implementación futura de DNSSEC en el árbol .mx se ha llevado a cabo mediante el desarrollo de tres componentes principales:

Sistema de administración de llaves:

El sistema de administración de llaves es una herramienta que permite la administración de llaves KSK y ZSK. Las llaves son creadas en un servidor con generador de números aleatorios por hardware. Las llaves privadas KSK son almacenadas en tarjetas inteligentes (smart cards) y el firmado del keyset se realiza mediante la utilización de tarjetas inteligentes (smart cards).

Cabe mencionar que el servidor donde se ejecuta el sistema de administración de llaves no cuenta con conexión a red alguna y esta almacenado en un lugar seguro. Las llaves y firmas son transferidas del servidor de administración de llaves a la infraestructura de firmado en línea mediante una memoria USB de almacenamiento.

En el segundo semestre del 2006 se espera terminar con el desarrollo de la herramienta de administración de llaves. Actualmente, la herramienta de administración de llaves tiene funcionalidad básica.

Sistema de aprovisionamiento:
El sistema de aprovisionamiento permite al usuario el registro de dominios test.mx así como la administración de llaves públicas KSK para la generación de RR DS. El sistema de aprovisionamiento se encuentra en versión final. Durante el segundo semestre del 2006 se agregaran correcciones y nueva funcionalidad.

Sistema de firmado en línea:

El sistema de firmado en línea conforma el backend del proyecto y está compuesto por dos servidores interconectados vía serial. Un servidor se encuentra completamente aislado de la red y su función es generar los registros NSEC, RRSIG y DS. El segundo servidor se comunica directamente con la base de datos del sistema de aprovisionamiento y cuando se detecta un cambio en la zona en la RDBMS, se comunica vía USB (mediante un protocolo desarrollado en casa) con el primer servidor, enviando los RR (A y NS) que se agregaron/quitaron/modificaron a la zona y obteniendo como respuesta los RR (RRSIG, NSEC, DS) necesarios para actualizar la zona firmada.

El sistema de firmado en línea envía los cambios mediante IXFR a los servidores autoritativos para la zona test.mx.

Cabe mencionar que el sistema de firmado en línea fue desarrollo desde cero.

Status del sistema de firmado en línea:

Infraestructura de DNSSEC Trial México:





Última actualización: Mayo 2006