Всего спустя месяц Интернет станет безопаснее.
Произойдет это потому, что совет директоров организации Internet Corporation for Assigned Names and Numbers (ICANN) проголосовал за первое в истории изменение криптографических ключей, защищающих адресную книгу Интернета – Domain Name System (DNS).
На конференции в Бельгии совет директоров ICANN решил ввести в действие свой план изменения ключей для корневых узлов DNS 11 октября 2018 года. Это первое изменение ключей с момента их ввода в действие в 2010 году.
В ходе совещания в ICANN рассказали о причинах, заставивших задуматься об укреплении безопасности DNS. В условиях продолжающейся эволюции технологий Интернета, развертывания устройств Интернета вещей и увеличения пропускной способности сетей по всему миру в сочетании с недостаточной безопасностью этих устройств и сетей атакующие расширяют свои возможности в части нанесения ущерба инфраструктуре Интернета.
Рост интенсивности атак может превысить возможности сообщества операторов корневых серверов по укреплению своих оборонительных рубежей. И если в ближайшем будущем от них ждут увеличения глубины защитных линий, то в долгосрочной перспективе последствия использования традиционного подхода представляются довольно мрачными.
Замена ключей подписания ключей (Key Signing Key, KSK) предполагает генерирование новых пар криптографических открытых и секретных ключей и передачу новых открытых компонентов всем, кто работает с подтверждающими распознавателями. На этих распознавателях запускается программное обеспечение, преобразующее символьные адреса наподобие networkworld.com в сетевые IP-адреса.
К организациям, использующим распознаватели, относятся: интернет-провайдеры; администраторы корпоративных сетей и другие операторы DNS-сервисов; разработчики программного обеспечения распознавателей DNS; системные интеграторы и распространители аппаратного и программного обеспечения, устанавливающие или поставляющие корневым серверам «якорь доверия».
В ICANN отметили, что из-за отсутствия масштабного развертывания расширений Domain Name System Security Extensions (проверки DNSSEC) ответы, поступающие от системы корневых серверов, подвергаются риску атак, направленных на нарушение целостности.
Аналогичным образом в результате отправки незашифрованных сообщений DNS пользователи Root Server System становятся целями атак против конфиденциальности. Хотя эти атаки не обязательно являются новыми, постоянно растущая зависимость от DNS, а следовательно, от системы корневых серверов, требует принятия новой стратегии для уменьшения негативных последствий этих атак.
В ICANN заявили, что принимаемые меры минимально отразятся на пользователях Интернета, но небольшая их часть может испытать трудности с разрешением доменных имен, а значит, и с обращением к целевому ресурсу.
На корпоративных клиентах это отразится в еще меньшей степени. Более 99% пользователей, распознаватели которых проходят проверку, окажутся не затронутыми заменой KSK. Предприятия уже обновили свое программное обеспечение для автоматической замены ключей (замены "RFC 5011") или установки новых ключей вручную.
«Мы не можем полностью гарантировать, что у каждого сетевого оператора 'распознаватели' будут сконфигурированы правильно, – подчеркнул председатель совета директоров ICANN Черин Чалаби. – Но, если все пойдет так, как планировалось, ожидается, что подавляющее большинство пользователей получат доступ к корневой зоне».
«Исследования показывают, что несколько тысяч сетевых операторов уже включили проверку DNSSEC, – добавил технический директор ICANN Дэвид Конрад. – На этих операторов полагаются более четверти пользователей Интернета. Вместе с тем, почти наверняка можно сказать, что по крайней мере несколько операторов в мире еще не готовы к переходу. Но даже в самом худшем случае, все, что им нужно сделать для исправления ситуации, это отключить проверку DNSSEC, установить новый ключ и повторно включить DNSSEC. После этого их пользователи снова будут подключены к системе DNS в полном объеме».
Перевод корневых ключей подписания ключей с версии KSK 2010 на KSK 2017 предполагалось провести еще год назад, но он был отложен до 11 октября текущего года из-за возможных проблем с подключением пользователей к Интернету.
В ICANN сообщили, что после консультаций с сообществом был принят новый план, который рекомендовал ввод ключей в действие ровно через год после изначально намеченного. Организация продолжала проводить разъяснительную работу и анализировала способы снижения рисков, связанных с заменой ключей.
«Это первая, но не последняя замена ключей, – указал вице-президент ICANN по исследованиям Мэтт Ларсон, отвечающий в организации за этот процесс. – Все происходит впервые, и, естественно, мы стремимся подстраховаться и сделать так, чтобы все прошло максимально гладко. Но при замене ключей в будущем эта процедура станет более привычной для сетевых операторов, интернет-провайдеров и всех прочих».