Главная » IT-индустрия » ICANN поменяет ключи от Интернета

ICANN поменяет ключи от Интернета

В октябре организация планирует произвести замену KSK DNS, для того чтобы усилить безопасность адресной книги Интернета.

 

Всего спустя месяц Интернет станет безопаснее.

Произойдет это потому, что совет директоров организации Internet Corporation for Assigned Names and Numbers (ICANN) проголосовал за первое в истории изменение криптографических ключей, защищающих адресную книгу Интернета – Domain Name System (DNS).

Это первое изменение ключей с момента их ввода в действие в 2010 году. На конференции в Бельгии совет директоров ICANN решил ввести в действие свой план изменения ключей для корневых узлов DNS 11 октября 2018 года.

В условиях продолжающейся эволюции технологий Интернета, развертывания устройств Интернета вещей и увеличения пропускной способности сетей по всему миру в сочетании с недостаточной безопасностью этих устройств и сетей атакующие расширяют свои возможности в части нанесения ущерба инфраструктуре Интернета. В ходе совещания в ICANN рассказали о причинах, заставивших задуматься об укреплении безопасности DNS.

И если в ближайшем будущем от них ждут увеличения глубины защитных линий, то в долгосрочной перспективе последствия использования традиционного подхода представляются довольно мрачными. Рост интенсивности атак может превысить возможности сообщества операторов корневых серверов по укреплению своих оборонительных рубежей.

На этих распознавателях запускается программное обеспечение, преобразующее символьные адреса наподобие networkworld.com в сетевые IP-адреса. Замена ключей подписания ключей (Key Signing Key, KSK) предполагает генерирование новых пар криптографических открытых и секретных ключей и передачу новых открытых компонентов всем, кто работает с подтверждающими распознавателями.

К организациям, использующим распознаватели, относятся: интернет-провайдеры; администраторы корпоративных сетей и другие операторы Domain Name System (DNS); разработчики программного обеспечения распознавателей DNS; системные интеграторы и распространители аппаратного и программного обеспечения, устанавливающие или поставляющие корневым серверам «якорь доверия».

В ICANN отметили, что из-за отсутствия масштабного развертывания расширений Domain Name System Security Extensions (проверки DNSSEC) ответы, поступающие от системы корневых серверов, подвергаются риску атак, направленных на нарушение целостности.

Хотя эти атаки не обязательно являются новыми, постоянно растущая зависимость от DNS, а следовательно, от системы корневых серверов, требует принятия новой стратегии для уменьшения негативных последствий этих атак. Аналогичным образом в результате отправки незашифрованных сообщений DNS пользователи Root Server System (т.е., распознаватели) становятся целями атак против конфиденциальности.

В ICANN заявили, что принимаемые меры минимально отразятся на пользователях Интернета, но небольшая их часть может испытать трудности с разрешением доменных имен, а значит, и с обращением к целевому ресурсу.

Более 99% пользователей, распознаватели которых проходят проверку, окажутся не затронутыми заменой KSK. На корпоративных клиентах это отразится в еще меньшей степени. Предприятия уже обновили свое программное обеспечение для автоматической замены ключей (замены «RFC 5011») или установки новых ключей вручную.

– Но, если все пойдет так, как планировалось, ожидается, что подавляющее большинство пользователей получат доступ к корневой зоне». «Мы не можем полностью гарантировать, что у каждого сетевого оператора 'распознаватели' будут сконфигурированы правильно, – подчеркнул председатель совета директоров ICANN Черин Чалаби.

– На этих операторов полагаются более четверти пользователей Интернета. «Исследования показывают, что несколько тысяч сетевых операторов уже включили проверку DNSSEC, – добавил технический директор ICANN Дэвид Конрад. Но даже в самом худшем случае, все, что им нужно сделать для исправления ситуации, это отключить проверку DNSSEC, установить новый ключ и повторно включить DNSSEC. Вместе с тем, почти наверняка можно сказать, что по крайней мере несколько операторов в мире еще не готовы к переходу. После этого их пользователи снова будут подключены к системе DNS в полном объеме».

Перевод корневых ключей подписания ключей с версии KSK 2010 на KSK 2017 предполагалось провести еще год назад, но он был отложен до 11 октября текущего года из-за возможных проблем с подключением пользователей к Интернету.

Организация продолжала проводить разъяснительную работу и анализировала способы снижения рисков, связанных с заменой ключей. В ICANN сообщили, что после консультаций с сообществом был принят новый план, который рекомендовал ввод ключей в действие ровно через год после изначально намеченного.

– Все происходит впервые, и, естественно, мы стремимся подстраховаться и сделать так, чтобы все прошло максимально гладко. "Это первая, но не последняя замена ключей, – указал вице-президент ICANN по исследованиям Мэтт Ларсон, отвечающий в организации за этот процесс. Но при замене ключей в будущем эта процедура станет более привычной для сетевых операторов, интернет-провайдеров и всех прочих.

Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё про высокие технологии

Минздрав оценит риски цифровизации для современных детей

16:22 14.12.2018 |   209 прочтений В министерстве заявили об увеличении межпоколенческого разрыва «цифровых» детей с «аналоговыми» родителями.   Современных детей будут исследовать, чтобы оценить риски цифровизации и минимизировать ее последствия, сообщает «Интерфакс» со ссылкой на заявление главного внештатного специалиста по медицинской ...

Сбербанк сделал Казанский метрополитен полностью безналичным

14:49 14.12.2018 |   60 прочтений Считывателями для бесконтактной оплаты банковской картой оснащены все турникеты в вестибюлях всех станций Казанского метрополитена.   Считывателями для бесконтактной оплаты банковской картой оснащены все 120 турникетов в вестибюлях всех станций Казанского метрополитена. Сбербанк, Mastercard и МУП ...