Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

Protegendo seus dados

Este documento fornece recomendações sobre como usar os vários métodos disponíveis para os usuários do banco de dados AFRINIC para habilitar a proteção de dados contra exclusão ou modificação não autorizada (e, em alguns casos, também contra criação não autorizada). Obtendo o objeto mantenedor de outros objetos, enviando um email para auto-dbm@AFRINIC.net.

Ao usar um mantenedor para proteger seus dados, você terá que escolher um ou mais dos métodos de autenticação disponíveis. Eles são definidos nos atributos "auth:" do objeto mntner. Você pode ter qualquer combinação dos diferentes métodos e quantas instâncias de cada um desejar em um objeto mntner. No entanto, esteja ciente de que a autenticação é um 'OR' lógico de todas as instâncias fornecidas dos valores de atributos "auth:". A autorização é aprovada quando qualquer um dos "auth:" atribui valores
corresponda a qualquer uma das credenciais fornecidas em uma atualização.

 

Atualmente, três métodos de autenticação estão disponíveis:

 

BCRYPT-PW:

Este método utiliza um argumento que consiste em uma senha com hash bcrypt.

Ao solicitar um objeto mntner, o usuário deve incluir um atributo "auth:" com um valor correspondente a uma senha criptografada no estilo Unix e a palavra-chave BCRYPT-PW:

 

autenticação: BCRYPT-PW

Ao enviar uma atualização por e-mail para criar, modificar ou excluir um objeto protegido por um mantenedor usando este método, a mensagem enviada ao servidor de banco de dados deve incluir uma linha contendo: "senha:"

Este pseudo atributo deve estar no corpo da mensagem de e-mail. Se for uma mensagem MIME multiparte, também deve estar na mesma parte MIME do objeto. Além dessas restrições, pode aparecer em qualquer lugar na mensagem em relação aos objetos. Ele só precisa aparecer uma vez na mensagem, mesmo se a atualização contiver vários objetos protegidos pelo mesmo mantenedor.

Se esta senha, quando hash, corresponder àquela armazenada no objeto mntner, a atualização será permitida. Caso contrário, será recusado.

Recomendamos que você use o Whois Cripta ferramenta para gerar uma senha BCRYPT-PW. bcrypt não é vulnerável a rainbow tables ou ataques de força bruta e não foi interrompido até o momento. No entanto, é fundamental que você escolha uma boa senha que não seja fácil de adivinhar. Observe que existem dois tipos de ataques:

* Quebra de senha. Um invasor pode adivinhar a senha verificando-a em dicionários ou tentando todas as combinações possíveis.

* Mail snooping. Como a mensagem de atualização contém a senha em texto não criptografado, há uma chance de que a senha seja vista se a mensagem for interceptada em trânsito entre o sistema do usuário e a máquina servidora de banco de dados. Para evitar isso, você pode querer usar PGP ou X509 (veja abaixo).

 

Importante:

Observe que CRYPT-PW e MD5-PW agora estão obsoletos. Como tal, eles não podem ser usados ​​em novos objetos de banco de dados ou quaisquer atualizações futuras. Por enquanto, os objetos de mantenedor protegidos por CRYPT-PW ou MD5-PW ainda podem ser usados ​​para autenticação. Versões futuras do WHOIS O DB pode remover o suporte completamente. Se você tiver uma senha protegida por CRYPT ou MD5 em seu objeto de mantenedor, atualize-a para um BCRYPT-PW assim que possível.

 

PGPKEY:

Este é um dos métodos de proteção mais fortes disponíveis. O usuário especifica um ID de chave PGP apontando para um objeto de certificado de chave no banco de dados que armazena uma chave pública PGP.

Ao enviar atualizações ao banco de dados, o usuário deve assinar a mensagem usando sua chave privada PGP. O software de banco de dados verificará a assinatura usando a chave pública armazenada no objeto key-cert referenciado no atributo "auth:" do objeto mntner relevante. Se a assinatura criptográfica estiver correta, a atualização prosseguirá, caso contrário, será recusada.

Nota: Esse tipo de uso do PGP é considerado comercial pela PGP Inc. Uma licença de software comercial deve ser obtida se o software PGP for usado. Como alternativa, os usuários podem utilizar o software GnuPG para gerar e gerenciar chaves compatíveis com o software PGP.

 

Nota: AFRINIC não faz nenhuma reclamação sobre a identidade do proprietário da chave PGP usada. Apenas verifica se a assinatura no e-mail foi feita com a chave privada correspondente à chave pública armazenada no banco de dados.

Leia mais sobre Autenticação PGP no banco de dados AFRINIC

 

X.509:

Este método também é um dos métodos de proteção mais fortes disponíveis. O usuário especifica um certificado X.509 apontando para um objeto de certificado de chave no banco de dados que armazena uma chave pública de certificado X.509.

Ao enviar atualizações para o banco de dados, o usuário deve assinar a mensagem usando sua chave privada de certificado X.509. O software do banco de dados verificará a assinatura usando a chave pública armazenada no objeto key-cert referido no atributo "auth:" do objeto mntner relevante. Se a assinatura criptográfica estiver correta, a atualização prosseguirá, caso contrário, ela será recusada.

Nota1: O AFRINIC não faz reivindicações sobre o caminho de confiança do certificado ou o status de revogação do certificado. Apenas verifica se a assinatura na mensagem de email foi feita usando a chave privada correspondente à chave pública armazenada no banco de dados.

Nota2: Neste ponto, o AFRINIC não fornece ferramenta para geração de certificados. Se você ainda não possui um, precisará gerar um certificado autoassinado.

Leia mais sobre como configurar uma autenticação X.509

 

Uso simultâneo de vários esquemas de autenticação

É suficiente corresponder apenas a um dos atributos "auth:" no objeto mntner para atualizar um objeto.

Recomendamos o uso de apenas um tipo de método de autenticação em um objeto mntner. Deve ser o tipo mais forte e prático para o usuário.

O melhor método de proteção possível é ter autenticação PGPKEY ou X.509. Se, por qualquer motivo, um usuário não se sentir confortável apenas com PGPKEY ou X.509 e preferir deixar um "backdoor", use CRYPT-PW ou MD5-PW como complemento, escolhendo uma boa senha. Para operações diárias,
sempre aplique uma assinatura às atualizações.

 

Mais informação

Para uma descrição completa de como interagir com o banco de dados AFRINIC, incluindo proteção de dados, consulte os seguintes documentos:

* Manual de Referência do Banco de Dados AFRINIC
* Toda a documentação do banco de dados do AFRINIC

An modelo vazio pode ser obtido usando um whois cliente apontou para whois.AFRINIC.net