Главная » IT-индустрия » ICANN поменяет ключи от Интернета

ICANN поменяет ключи от Интернета

В октябре организация планирует произвести замену KSK DNS, для того чтобы усилить безопасность адресной книги Интернета.

 

Всего спустя месяц Интернет станет безопаснее.

Произойдет это потому, что совет директоров организации Internet Corporation for Assigned Names and Numbers (ICANN) проголосовал за первое в истории изменение криптографических ключей, защищающих адресную книгу Интернета – Domain Name System (DNS).

Это первое изменение ключей с момента их ввода в действие в 2010 году. На конференции в Бельгии совет директоров ICANN решил ввести в действие свой план изменения ключей для корневых узлов DNS 11 октября 2018 года.

В условиях продолжающейся эволюции технологий Интернета, развертывания устройств Интернета вещей и увеличения пропускной способности сетей по всему миру в сочетании с недостаточной безопасностью этих устройств и сетей атакующие расширяют свои возможности в части нанесения ущерба инфраструктуре Интернета. В ходе совещания в ICANN рассказали о причинах, заставивших задуматься об укреплении безопасности DNS.

И если в ближайшем будущем от них ждут увеличения глубины защитных линий, то в долгосрочной перспективе последствия использования традиционного подхода представляются довольно мрачными. Рост интенсивности атак может превысить возможности сообщества операторов корневых серверов по укреплению своих оборонительных рубежей.

На этих распознавателях запускается программное обеспечение, преобразующее символьные адреса наподобие networkworld.com в сетевые IP-адреса. Замена ключей подписания ключей (Key Signing Key, KSK) предполагает генерирование новых пар криптографических открытых и секретных ключей и передачу новых открытых компонентов всем, кто работает с подтверждающими распознавателями.

К организациям, использующим распознаватели, относятся: интернет-провайдеры; администраторы корпоративных сетей и другие операторы Domain Name System (DNS); разработчики программного обеспечения распознавателей DNS; системные интеграторы и распространители аппаратного и программного обеспечения, устанавливающие или поставляющие корневым серверам «якорь доверия».

В ICANN отметили, что из-за отсутствия масштабного развертывания расширений Domain Name System Security Extensions (проверки DNSSEC) ответы, поступающие от системы корневых серверов, подвергаются риску атак, направленных на нарушение целостности.

Хотя эти атаки не обязательно являются новыми, постоянно растущая зависимость от DNS, а следовательно, от системы корневых серверов, требует принятия новой стратегии для уменьшения негативных последствий этих атак. Аналогичным образом в результате отправки незашифрованных сообщений DNS пользователи Root Server System (т.е., распознаватели) становятся целями атак против конфиденциальности.

В ICANN заявили, что принимаемые меры минимально отразятся на пользователях Интернета, но небольшая их часть может испытать трудности с разрешением доменных имен, а значит, и с обращением к целевому ресурсу.

Более 99% пользователей, распознаватели которых проходят проверку, окажутся не затронутыми заменой KSK. На корпоративных клиентах это отразится в еще меньшей степени. Предприятия уже обновили свое программное обеспечение для автоматической замены ключей (замены «RFC 5011») или установки новых ключей вручную.

– Но, если все пойдет так, как планировалось, ожидается, что подавляющее большинство пользователей получат доступ к корневой зоне». «Мы не можем полностью гарантировать, что у каждого сетевого оператора 'распознаватели' будут сконфигурированы правильно, – подчеркнул председатель совета директоров ICANN Черин Чалаби.

– На этих операторов полагаются более четверти пользователей Интернета. «Исследования показывают, что несколько тысяч сетевых операторов уже включили проверку DNSSEC, – добавил технический директор ICANN Дэвид Конрад. Но даже в самом худшем случае, все, что им нужно сделать для исправления ситуации, это отключить проверку DNSSEC, установить новый ключ и повторно включить DNSSEC. Вместе с тем, почти наверняка можно сказать, что по крайней мере несколько операторов в мире еще не готовы к переходу. После этого их пользователи снова будут подключены к системе DNS в полном объеме».

Перевод корневых ключей подписания ключей с версии KSK 2010 на KSK 2017 предполагалось провести еще год назад, но он был отложен до 11 октября текущего года из-за возможных проблем с подключением пользователей к Интернету.

Организация продолжала проводить разъяснительную работу и анализировала способы снижения рисков, связанных с заменой ключей. В ICANN сообщили, что после консультаций с сообществом был принят новый план, который рекомендовал ввод ключей в действие ровно через год после изначально намеченного.

– Все происходит впервые, и, естественно, мы стремимся подстраховаться и сделать так, чтобы все прошло максимально гладко. "Это первая, но не последняя замена ключей, – указал вице-президент ICANN по исследованиям Мэтт Ларсон, отвечающий в организации за этот процесс. Но при замене ключей в будущем эта процедура станет более привычной для сетевых операторов, интернет-провайдеров и всех прочих.

Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё про высокие технологии

ФСБ выступает за полный контроль над киберпространством

15:11 19.10.2018 |   138 прочтений В противном случае невозможно гарантировать должный уровень безопасности, заявили в ведомстве.   В противном случае невозможно гарантировать должный уровень безопасности и противостоять современным террористическим угрозам, заявили в ведомстве. Как считают в Федеральной службе безопасности, киберпространство должно ...

В Роскомнадзоре обсудили внесудебное удаление ссылок на нелегальный контент

Источник: Роскомнадзор 12:26 19.10.2018 |   199 прочтений Для этого будет создан реестр, в который правообладатели станут вносить адреса таких сайтов.   Ru Group, пишет «Коммерсантъ». 19 октября в Роскомнадзоре состоялось обсуждение антипиратского меморандума, в котором приняли участие «Яндекс», «Газпром-медиа», НМГ и ...