Размер шрифта:
Межбуквенный интервал:
Изображения:
Отключить версию для слабовидящих close
Версия для людей с ограничением по зрению
Новости

ICANN 70: в центре внимания DNSSEC, фишинг и интернационализированные доменные имена

25 марта завершила свою работу 70-я конференция корпорации ICANN. Она стала уже четвертой подряд, прошедшей из-за вызванных пандемией COVID 19 ограничений исключительно в онлайн-формате. Тем не менее, работа конференции была весьма продуктивной. В ее рамках прошли заседания более 70 секций, а в обсуждении ключевых вопросов доменной индустрии приняли участие более 1500 человек со всего мира.

Традиционно большое внимание было уделено техническим вопросам. Представитель Общества Интернета (ISOC) Дон Йорк выступил с докладом, посвященным практике мирового применения DNSSEC, набора спецификаций DANE (DNS-based Authentication of Named Entities), позволяющих использовать DNSSEC для контроля достоверности SSL-сертификатов, а также применению RPKI (Resource Public Key Infrastructure) - иерархической системы открытых ключей, разработанной для обеспечения безопасности глобальной маршрутизации в сети Интернет.

Любопытный, хотя и тревожный экскурс в будущее предложили своим слушателям исследователи из Нидерландов Мориц Мюллер и Йенс де Йонг. Они предложили задуматься над влиянием пост-квантовой криптографии на DNSSEC. Суть их выступления сводится к тому, что популярные криптографические алгоритмы, например, RSA, используемые в настоящее время в DNSSEC, могут быть достаточно быстро взломаны на квантовом компьютере, использующем алгоритм Шора. По этой причине сообществу следует уже сейчас задуматься о потенциальной возможности использования пост-квантовой криптографии (PQC) для DNSSEC.

Не менее оживленную дискуссию вызывал и доклад Уэса Хардакера из Института информационных исследований (Information Sciences Institute). Он представил два варианта замены алгоритмов шифрования для ключей подписания корневой зоны KSK и ZSK. Необходимость такой замены, по его мнению, продиктована ростом вычислительных мощностей современных компьютеров. Она влечет за собой существенное снижение безопасности алгоритма шифрования RSA/SHA1, который, тем не менее, по-прежнему имеет весьма широкое применение. Существует настоятельная необходимость его замены на более современные алгоритмы, такие как RSA/SHA256 или ECDSA Curve P-256 with SHA-256. Однако каждый из описанных докладчиком вариантов сценария замены алгоритма имеет свои минусы. В первом случае, который соответствует всем требованиям и описанной в RFC6781 процедуре, необходим целый ряд технически сложных шагов и двойное подписание зоны старым и новым ключами. Эти сложности вполне могут стать причиной ошибки операторов процедуры замены. Второй вариант не требует столь сложных действий и практически исключает возможность ошибок. Однако он подразумевает отключение DNSSEC на непродолжительный период времени жизни DS-записи. Такой подход трудно считать правильным, поскольку он оставляет возможность компрометации ресурсов. Сам Уэс Хардакер, впрочем, считает такое развитие событий маловероятным, однако на вопрос, рекомендовал бы он второй подход для корневой зоны, докладчик ответил однозначным «нет».

Другие темы, традиционно остающиеся в фокусе внимания доменного сообщества – безопасность доменных зон и борьба с противоправным использованием доменных имен. Здесь заслуживает внимания презентация проекта COMAR, совместно разработанного специалистами регистратур национальных доменов Франции и Нидерландов и нескольких европейских университетов. COMAR опирается на алгоритмы искусственного интеллекта и машинного обучения, оценивая использование доменных имен по 38 различным параметрам. В отличие от большинства существующих систем репутационной оценки доменов, этот инструмент позволяет провести границу между скомпрометированными доменами и доменными именами, изначально зарегистрированными в противоправных целях.

Болгарский эксперт Илья Базлянков представил систематизированную подборку наиболее успешных практик обеспечения безопасности регистратур национальных доменных зон. Его выступление было посвящено основным аспектами, связанным с информационной безопасностью, которые необходимо учесть при организации и управлении регистратурой домена верхнего уровня.

Брайан Кинг (компания MarkMonitor) и Брайан Лонерган (регистратура Donuts) подробно рассмотрели аспекты использования омоглифов. Данным термином принято обозначать доменные имена, сходные до степени смешения символов и использующие символы различных скриптов. Это распространенный способ регистрации вредоносных доменов для организации фишинговых атак, и способы противодействия ему остаются чрезвычайно актуальной темой. Докладчики рассказали как о вполне традиционных практиках противодействия омоглифическим атакам – таких как запрет на уровне регистратур на смешение скриптов в рамках одной метки доменного имени – так и о менее известных методах. К их числу относится, например, генерация списка схожих интернационализированных доменов и внесение их в стоп-лист на уровне регистратора при регистрации ASCII-домена.

Затронутая в этом выступлении тема интернационализированных доменов также стала одной из ключевых для 70 конференции ICANN. Ей, в частности, была целиком посвящена одна из заключительных сессий конференции - Remediating Universal Acceptance. Докладчиком и модератором сессии выступила Мария Колесникова – главный аналитик Координационного центра доменов .RU/.РФ и председатель Рабочей группы по коммуникациям по вопросам универсального принятия (Universal Acceptance Steering Group – UASG). Мария Колесникова с сожалением констатировала, что текущий уровень готовности к универсальному принятию следует расценивать как достаточно низкий: лишь 9,7% почтовых серверов и 11% сайтов из изученных топ-1000 готовы к работе с адресами электронной почты на языках, не использующих кодировку ASCII. Также Мария Колесникова рассказала о наиболее важных для поддержки универсального принятия программных продуктах и стеке технологий, с которыми работает UASG, представила результаты последних проектов и рассказала о планах на 2021 год.

В ходе обсуждения участники сессии отметили, что конструктивный диалог с крупными компаниями-разработчиками возможен, когда они понимают, что отсутствие поддержки универсального принятия приводит к потере клиентов. Также внимание было обращено и на важную роль государственной поддержки: государственные органы своим примером стимулируют бизнес-сообщество к внедрению поддержки интернет-идентификаторов на локальных языках.

Несколько сессий в течение ICANN 70 провела Организация поддержки национальных доменов (ccNSO). Самой интересной для широкого круга участников стала сессия, посвященная будущему национальных доменов. Олаф Колкман (ISOC) поделился своими взглядами на перспективы развития сети. Он отметили, что небольшие изменения, которые сегодня вносятся в саму инфраструктуру интернета из-за появления новых нормативных актов, могут негативно повлиять на ее работоспособность в будущем. Олаф Колкман отметил, что правительства пытаются решить социальные проблемы (борьба с фейковыми новостями, обеспечение конфиденциальности и сохранности персональных данных и т.д.), но при этом не рассматривают влияния новых нормативных актов на сам интернет. Олаф выделил пять важнейших свойств интернета - доступность, открытая архитектура, децентрализация, общие глобальные идентификаторы и технологическая нейтральность. Если отобрать одно из этих свойств, система рухнет. Он предположил, что всякий раз, когда появляется предложение по регулированию, следует проводить анализ воздействия этого регулирования на интернет, чтобы регулирование не оказало негативного воздействия на критически важную инфраструктуру. Чтобы помочь с этим анализом, ISOC опубликовал инструментарий оценки воздействия на интернет.

Еще одно примечательное событие произошло на заседании Совета ccNSO – пост председателя ccNSO покинула Катрина Сатаки (.LV). В конце этого года Катрина Сатаки займет место в Правлении ICANN.

Напомним, что в декабре 2020 года членом Совета ccNSO была избрана заместитель директора Координационного центра доменов .RU/.РФ Ирина Данелия. В соответствии с регламентом ccNSO, к своим обязанностям Ирина Данелия приступила в марте сразу после окончания конференции ICANN 70.

Следующая конференция ICANN 71 пройдет с 14 по 17 июня 2021 года в формате онлайн. Поскольку ранее ICANN 71 планировалось провести в Гааге, Нидерланды, онлайн-форум будет проводиться в европейском часовом поясе.

Предыдущая новость Следующая новость