ICANN внедряет DNSSEC в корневой зоне

30.06.2010

Совсем скоро корпорация ICANN совместно с компанией VeriSign и при поддержке Министерства торговли США осуществит цифровую подпись содержимого корневой зоны с помощью технологии DNSSEC. Технически DNSSEC – это расширение DNS, позволяющее подписывать адресную информацию цифровой подписью. То есть администратор доменной зоны подписывает записи о соответствии доменных имён и IP-адресов в своей зоне. DNSSEC позволяет победить такие фундаментальные уязвимости в DNS, как, например, отравление кэш-памяти, которое позволяет злоумышленникам перенаправлять пользователей интернета на свои серверы, подменяя соответствие имен доменов и IP-адресов.

Для проверки подписи нужен открытый ключ, принадлежащий тому, кто сгенерировал данные об адресации в доменной зоне. У корневого центра есть свой секретный ключ, но проблема заключается в том, что не ясно, кому именно он должен достаться. Сложность ещё и в том, что у DNS интернета одна корневая зона, а домены выстроены в иерархическую структуру, поэтому построение «плоской» структуры доверия затруднительно организационно. Дискуссии о том, когда же будет подписана зона, велись на протяжении нескольких лет. Вопрос заключался в том, кто будет контролировать ключи и как это отразится на системе DNS и интернете в целом. Осенью прошлого года подразделение министерства торговли США, Национальная Администрация по Телекоммуникациям и Информации (NTIA), опубликовало возможные схемы подписания корневой зоны. Среди представленных сценариев были предложение ICANN и предложение VeriSign. Спустя почти год публичных комментариев и дискуссий ICANN, VeriSign и NTIA договорились о схеме, при которой существующий процесс внесения изменений в зону остается прежним, а основные игроки получают дополнительные роли: ICANN контролирует так называемый Trust Anchor - ключ для подписания ключей (Key Signing Key, KSK), NTIA по-прежнему утверждает изменения, а VeriSign владеет ключом подписания зоны (Zone Signing Key, ZSK), который используется для генерирования подписанной корневой зоны, и осуществляет ее публикацию на скрытом мастер-сервере. Далее зона публикуется операторами корневой зоны (одним из них является RIPE NCC, отвечающий за корневой сервер k.root-servers.net).

По предварительному плану в мае и июне пройдет опытное развертывание DNSSEC в корневой зоне, по результатам которого и будет принято окончательное решение о ее подписании. Если все пройдет успешно, то в июне и июле ICANN проведет два этапа подписания в двух дата-центрах – в Вирджинии и в Лос-Анжелесе, после чего, 15 июля 2010 года, опубликует полностью подписанную корневую зону.
Для обеспечения безопасности системы DNS и для повышения прозрачности самого процесса все этапы подписания зоны будут контролироваться независимыми представителями интернет-сообщества. Основными принципами отбора независимых экспертов стали их компетентность, но при этом непричастность ни к одной из организаций, проводящих подписание, - ICANN, VeriSign или Министерству торговли США.

Соотносясь с этими условиями, было выбрано по семь экспертов-наблюдателей (Crypto Officers) для каждого из двух дата-центров, в которых будет осуществляться подписание, а также семь так называемых хранителей частей резервного ключа доступа (Recovery Key Share Holders). В число наблюдателей вошел и представитель России Дмитрий Бурков – бывший член Совета Координационного центра национального домена сети Интернет, а также член Правления RIPE NCC (организация, осуществляющая распределение IP-адресов в европейском регионе).
Если первичные процессы подписания пройдут успешно, то в дальнейшем выбранные представители будут осуществлять свои обязанности на ежегодной основе.

Ещё на эту тему: интервью А.Колесникова для Вести.RU