上月互聯網名稱與數字地址分配機構(ICANN,Internet Corporation for Assigned Names and Numbers)已經順利更換根區域密鑰簽名密鑰(Root Zone Key Signing Key),為保障域名安全的域名系統安全擴展功能(DNSSEC,Domain Name System Security Extensions)提供更佳保護。香港以及全球各地已啟動 DNSSEC 的機構、企業和服務供應商都需要配合更新密鑰。香港互聯網註冊管理有限公司(HKIRC)指密鑰更換當日一切順利,並促請企業應盡快啟動 DNSSEC,為網站提供更佳的安全保障。
現時世界互連互通、國際貿易頻繁,作為環球金融中心的香港更容易受到網絡安全的威脅。有見及此,HKIRC 於去年 5 月為香港的國家代碼頂級域名「.hk」域名簽署 DNSSEC。DNSSEC 能夠為域名系統提供驗證,利用加密簽署技術確認所接收的 DNS 數據的真確性。
香港互聯網註冊管理有限公司資訊科技主管李頌康先生解釋時稱,DNS 是一項重要的互聯網基建服務並被廣泛使用。它提供網域名稱和 IP 地址相互對換,使人更方便地使用互聯網服務,無須記憶網站的 IP 地址。DNS 早在 80 年代發明,但保安設計未盡完善,導致現在 DNS 容易成為駭客攻擊的目標。
現時駭客針對 DNS 的攻擊包括有「中間人攻擊」、「DNS 快取毒害攻擊」、「DNS 詐騙」及「偽冒的 DNS 伺服器」等,這些攻擊能夠成功,主要原因是 DNS 查詢與回應之間缺乏驗證,駭客可以製作虛假 DNS 封包,回應特定的 IP 地址,便能使用者轉接至偽冒網站。
李舉例說:「今年 4 月加密貨幣錢包 MyEtherWallet 便遭到黑客攻擊 DNS 伺服器,更被非法轉接至偽冒網站,導致價值逾百萬港元的 Ethereum 被盜去。若啟動 DNSSEC 便可保障 DNS 記錄真確,或可避免損失。」
DNSSEC 為 DNS 加入驗證,有效防禦 DNS 被植入虛假資料。DNSSEC 使用密碼學中的關鍵技術-公私密鑰(Public and Private Key)和數位簽署(Digital Signature)。DNSSEC 的機制中有兩種非對稱密鑰,密鑰簽名密鑰(KSK,Key Signing Key)和區域簽名密鑰(ZSK,Zone Signing Key),利用私密鑰對所有 DNS 的回答進行數碼簽署,收到回應的解析器系統(Resolver)則利用公密鑰來核對數碼簽署,驗證記錄的來源及內容曾否遭到竄改,確保內容真確及完整。為了防止公密鑰被偽冒,公密鑰的雜湊函數(Digital Hash)會被上一層 DNS Parent Zone 確認並放在 DNS 記錄內。如此層層驗證,構成整個 DNSSEC 信任鏈(Chain of Trust),令駭客難以偽冒。
為了確保安全,KSK 需要定期更改,就像定期更換電腦密碼。ICANN 於 2017 年開始策劃轉換 KSK,並在今年 9 月通過決議,選定同年 10 月 11 日更新 Root Zone KSK。由於 DNSSEC 信任鏈驗證是最先由最上層的 Root DNS 開始,一層一層往下驗證,所以當 Root Zone KSK 轉換時,DNS 系統管理員及技術團隊需為已啟動 DNSSEC 的機構檢查及更新其解析器系統,否則用戶瀏覽網頁將受到影響。幸而,HKIRC 早已通知各有關機構和服務供應商,並聯同政府資訊科技總監辦公室(OGCIO)及香港電腦保安事故協調中心(HKCERT),事前制定相關指引和應對措施。當日轉換過程順利,並在48小時內完成相關程序,過程中香港的互聯網服務一直保持暢順,未有受到任何影響。
啟動 DNSSEC 保護企業及用戶
自今年 1 月起,啟動 DNSSEC 的香港域名數目每月平均增長 11.27%。HKIRC 一直積極推廣 DNSSEC 的應用,直至今年 11 月中香港的 DNSSEC 驗證率已逾 55%,比率遠超其他亞洲國家。根據 HKIRC 的資料,亞洲區內各地的啟用情況各異,如新加坡有 22.4%、日本有 9.3%、台灣有 4.2%,中國和南韓分別僅得 1.5% 及 3.1%。
香港互聯網註冊管理有限公司署理行政總裁秦佩文女士表示:「科技罪案率於過去十年飊升近十倍,情況令人擔憂。作為香港的互聯網註冊管理機構,HKIRC 一直密切監察網絡安全,我們在此呼籲本地網站和服務供應商盡快啟動 DNSSEC。DNSSEC 可伸延 DNS 查詢信任鏈,確保域名指向真實的網站,有效減低用戶受網絡釣魚、網絡域名被非法轉接的威脅。」
香港互聯網註冊管理有限公司
2319 2303
www.hkirc.hk