dxdt.ru: занимательный интернет-журнал

Достаточно давно я писал, в том числе, на страницах dxdt.ru и рассказывал, что главный шаг на пути развёртывания DNSSEC, это массовое внедрение поддержки проверки подписей DNS на клиентские машины, а вовсе не подписывание корневой зоны. Понятно, что без подписи корня нет смысла продвигать DNSSEC на клиентов Интернета, потому что теряется возможность центрального контроля адресации в разросшейся Сети. Но важен как раз следующий шаг – новые резолверы на клиентских машинах (а не на серверах DNS), которые, например, не позволят интернет-провайдерам подмешивать всякую ерунду в DNS-ответы своим клиентам.

Собственно, теперь, когда зону успешно подписали, о втором шаге рассказывает уже ICANN: в официальном блоге пишут про предложенный Деном Камински (Dan Kaminsky) инструментарий, внедряющий поддержку DNSSEC на стороне браузера (например, упоминают “частную” версию Google Chrome, полностью поддерживающую DNSSEC) и почтового клиента. Собственно, это правильно.

До нового Интернета остались такие шаги (думаю, в таком порядке, как они перечислены дальше): DNSSEC на клиентах (года два на выполнение), строгое подписывание анонсов BGP и криптографическое удостоверение AS-ок (три-пять лет), переход подавляющей части трафика на IPv6 (пять-семь лет). А может даже и раньше.

Всё ж сложно пройти мимо очередной “новости об Интернете”, распространяемой СМИ. Система “слышали звон, но не знают, где он” настолько хорошо отлажена, что моментально порождает занимательные эффекты. Речь о “шести (семи) экспертах-программистах, которых уполномочили перезагрузить Интернет, если он сломается” – сейчас уже все крупные СМИ широкого назначения отписались об этом. Следом идут “специальные” СМИ, журналисты которых смогли найти ключевое слово – DNSSEC (но до основы, конечно, не докопали). В качестве первоисточника называют “Би-би-си”.

Было несложно догадаться, что источником смешной новости послужила информация о том, каким образом происходит генерация и сопровождение ключей в глобальной DNSSEC. Нужно, правда, внести коррективы. Если поверить не “Би-би-си”, а настоящему первоисточнику – ICANN, – то получится, что:

1) Команда экспертов, выступающих представителями интернет-сообщества, включает в себя 21 человека в “основном составе”, плюс 13 человек – “скамейка запасных”. Назначение команды – обеспечивать процесс генерации и сопровождения ключей, подписывающих корневую зону DNS, выступая, фактически, в роли доверенных контролёров;

2) По группам внутри этой команды: есть две группы по семь человек, каждая закреплена за одним из двух дата-центров, в которых генерируют составляющие ключа KSK и используют его для подписания других ключей; люди из этих групп хранят ключи, необходимые для получения паролей от криптосервера. Интересно, что, как пишут в документации, тут речь о “физических” ключах от сейфа, в котором находятся пароли к криптосерверу (нужно будет спросить, что там за ключи на самом деле).

Третья группа хранит смарткарты, с частями ключа, позволяющего расшифровать резервную копию секретного KSK, в случае, если вдруг основная копия, находящаяся в криптосервере, исчезнет.

В резерве – семь человек с ключами “от криптосервера” (условно) и шесть – с частями ключами от резервной копии.

3) По ключам. Используют KSK и ZSK. С помощью KSK подписывают ZSK, которым подписывается корневая зона. ZSK генерирует VeriSign, потому что эта компания технически отвечает за распространение корневой зоны DNS. По процедуре, новые ZSK выкатываются четырежды в год. Каждый новый ZSK должен быть подписан защищённым криптосервером, в котором содержится секретная часть KSK. То есть, четыре раза в год эксперты с ключами “от криптосервера” (см. выше) приезжают в дата-центр и “отпирают” криптосервер, тем самым разрешая подписать новый ZSK. Те доверенные люди, которые хранят смарт-карты с частями ключа, которым зашифрована резервная копия KSK – выезжают “на восстановление” не по графику, а только если основная копия утрачена. (Видимо, только этот момент, благодаря его драматургии, и привлёк журналистов.)

Понятно, что если действовать по процедуре, без держателей ключей “от криптосервера” подписать зону восстановленным из резервной копии KSK не получится. Более того, по существующей процедуре не получится вообще что-либо сделать с корневой зоной без участия VeriSign и Минторга США – какими ключами не размахивай. Очевидно, что утрата секретного ключа KSK не приведёт одномоментно к отключению DNS и краху DNSSEC. До момента истечения срока действия текущего ZSK даже изменения в зону можно будет вносить. Подписать новый ZSK утраченным KSK – да, не выйдет.

Ну а самое интересное, что в крайнем случае никто не помешает просто сгенерировать новый KSK силами ICANN, Минторга и VeriSign, как это уже было сделано при развёртывании DNSSEC.

Удивительно, но забывают, что самым прямым прообразом современного Интернета, как сети связи, является телеграф (электрический), который придумали в начале 19 века. Посудите сами: для телеграфной связи использовалась сеть, в которой применялась развитая система адресации узлов; узлы телеграфной сети могут и принимать, и передавать сообщения; впервые именно телеграфная сеть стала глобальной (межконтинентальной). Но это далеко не всё.

В телеграфной связи с 19 века тексты кодируются/декодируются в автоматическом режиме. Уже в первых применявшихся телеграфных аппаратах использовался “протокол обмена данными” (если это решение так можно назвать), включавший отправку запроса на установление сенса связи (электрический звонок) и ответ на запрос, а также порядок завершения сеанса. Сравните с TCP. (Были и аналоги UDP, конечно.) Впервые именно в телеграфной связи применили технологию передачи нескольких сообщений по одному каналу и использовали перфокарты в качестве носителя передаваемого сообщения. Ну а уж про то, что именно на телеграфных линиях связи выросла вся современная теория кодирования – и напоминать-то, наверное, не нужно (а, в том числе, и двоичное кодирование символов использовали ведь).

Так что ультрасовременное “кибрепространство” выросло из “древнего” телеграфа. Который, впрочем, с появлением Интернета приказал долго жить. Жалко.

Ещё раз посмотрим на развитие Интернета. Принято считать, что различные правила, ограничивающие те или иные действия отдельных пользователей, направлены на благо основной массы этих пользователей. Формулировка такая: правила ограждают добросовестных пользователей от разгула нехороших соседей по Сети. Да, очевидно, что большинство ограничивающих правил создаёт некоторые неудобства всем, в том числе, добропорядочным пользователеям, но нужно потерпеть, для общего блага. Это всё известные “общие слова и банальности”. На практике куда важнее другой момент: минимальная ошибка в подборе ограничений приводит к тому, что у добросовестных пользователей возникают большие неудобства, а продвинутым злоумышленникам – ограничения отлично играют на руку.

Посмотрим на свежие, постоянно изменяющиеся правила регистрации доменов .РФ – это неплохой пример. В правилах заложены серьёзные ограничения, которые сейчас не позволяют обычному интернет-пользователю, желающему поддержать вяло набирающую обороты кириллическую доменную зону, просто пойти и зарегистрировать домен .РФ для своего проекта в русскоязыном Интернете.

Действительно, для получения домена требуется либо владеть торговой маркой (нужно юр.лицо или статус ИП), либо фирменным наименованием (опять нужно являться юр.лицом), либо уметь предъявить ещё какие-то бумаги. Ограничения, как многократно объясняли пользователям, введены для того, чтобы в первые же часы открытия новой зоны все вкусные домены не улетели в руки к неким злобным киберсквоттерам, а, напротив, достались достойным жителям Интернет-действительности.

В принципе, идея вроде бы верная, позволяет избежать конфликтов. Но в случае с доменом .РФ допустили совсем маленькую “заковыку”. Вернее, несколько однотипных небольших “заковык”. Так, сперва вкусные имена оказались у проворных предпринимателей, заметивших, что правила, требующие предъявить торговую марку (ТМ), не вводят ограничений на дату регистрации этой марки. Естественно, тут же были оперативно зарегистрированы нужные ТМ и взяты домены. Рядовые пользователи, “защищённые” правилами, сидели в стороне и наблюдали за дележкой новой зоны, изредка возмущённо вскрикивая. Некоторые, возможно, облизывались на домены, но ресурсов для регистрации торговой марки у них, так или иначе, не было.

История повторилась буквально через несколько месяцев. Только теперь вместо торговых марок регистрировались “под домен” СМИ, так как на новом этапе приоритет получали “названия средств массовой информации”, опять без “срока давности” и каких бы то ни было дополнительных ограничений. Схема с регистрацией СМИ для получения домена – “по зубам” только опытным охотникам. Рядовые пользователи опять прогуливались “под защитой” правил: для них домены в новой зоне всё ещё недоступны.

На первый взгляд кажется, что в случае со СМИ защита всё ж сработала лучше. Оказавшись под завалами из заявок на регистрацию СМИ со странными названиями, сплошь оканчивающимися на “.РФ”, ситуацией заинтересовался Роскомнадзор (между прочим, очень, что называется, в тему – домены-то ресурс ограниченный, напоминающий радиочастоты). Реакцией на уведомления из Роскомнадзора стала внезапная корректировка правил, случившаяся буквально за сутки до запланированного начала очередного этапа приоритетной регистрации. Установили минимальный “возраст” свидетельства о регистрации, “отрезав” новые СМИ, получившие регистрацию до 12 мая 2010 года. Отрезали все СМИ разом, без разбора.

Более того, в рамках возникшего внутреннего конфликта, реестр домена .РФ вообще неожиданно закрыли (как пишут, на десять дней), прекратив приём всех без исключения регистраций. То есть, даже, например, добросовестные владельцы торговых марок не могут свои новые домены зарегистрировать и начать использовать.

Несложно догадаться, что и добросовестные СМИ, зарегистрированные после 11 мая, не смогут по таким правилам получить приоритет. Почему? Потому что правила внезапно “защитили” их интересы от массовых киберсквоттерских регистраций. Что же делают сквоттеры? Наиболее опытные из них заранее просчитали ситуацию и подготовили не СМИ, а фирменные наименования и названия общественных организаций. Для этих категорий пока что ограничений по дате регистрации нет. Авторы изменений в правилах ещё не сделали снужных обобщений и внесли изменения лишь в части приоритетов СМИ, не затронув другие приоритеты.

(Кстати, редакции некоторых СМИ, проходящих сейчас по тем или иным законным причинам перерегистрацию, уже опасаются, что не смогут получить домен .РФ, потому что в новом свидетельстве будет дата позже 11 мая 2010 года.)

Действительно, показательная история. Получилось (да, уже получилось – исторический факт), что правила домена РФ, сработали вовсе не как барьер для киберсквоттеров, а лишь как фильтр, пропустивший к вкусным доменам самых опытных сквоттеров, которые хорошо “сидят в теме”. При этом фильтр удачно избавил опытных игроков от возможной конкуренции с более многочисленными, но менее опытными коллегами по цеху захвата доменов. А рядовые пользователи – они строго “пролетают мимо”. С непродуманными ограничениями так всегда и выходит.

Такие дела. Посмотрим, как теперь ситуация повернётся дальше.

В ночь с 15 на 16 июля корневую зону DNS подписали настоящим ключом и опубликовали открытые ключи для проверки подписей DNSSEC. Таким образом, Минторг США, компания VeriSign и ICANN завершили развёртывание DNSSEC в корневой зоне. Собственно, теперь DNSSEC можно использовать в глобальной DNS. Ключи каждый может взять на сайте IANA.

Теперь поддержку DNSSEC начнут массово вводить в доменах первого уровня.

Напомню, что следующие шаги на пути к новому Интернету – внедрение IPv6 и модернизация принципов маршрутизации (через внедрение криптографических механизмов).

Ещё немного о доменах. Вчера случилось развитие темы с регистрацией названий СМИ в качестве доменов .рф: правила очередной раз поменяли “на переправе”, теперь приоритет получат лишь СМИ, зарегистрированные до 13 мая 12 мая 2010 года. Вот так. Сама регистрация этих доменов стартует 15 июля, завтра. Правила круто поменяли сегодня. “Неплохая” тенденция для нового кириллического домена, правда?

Занимательно и то, что СМИ действительно регистрировали пачками (десятки на одного учредителя). При этом за каждую регистрацию уплачивается гос. пошлина. Теперь эти пачки свидетельств окажутся, видимо, ненужными. Если только правила опять не претерпят изменений.

История некоторым образом напоминает случай с доменом RU: там в 2007 году едва не ввели кириллицу. Утверждённые тогда правила регистрации кириллических доменов включали хитрый пункт, фактически дававший приоритет владельцам графически похожих на кириллические латинских имён. Например, xytop.ru и ХУТОР.RU (второй домен – кириллицей). До открытия кириллической регистрации сквоттеры, почитавшие правила, кинулись скорее регистрировать сотни графически похожих доменов, чтобы потом претендовать на звучные словарные кириллические. А кириллицу в .RU так и не ввели. Потому что .рф – лучше. Сейчас вся эта латинская абракадабра в .ru давно свободна.

Addon (15/07/2010): нет, старт регистрации вообще отложили, закрыв реестр. Вот как весело.

Между прочим, у действующей с осени прошлого года странной схеме с идентификацией администраторов доменов .RU по сканам паспортов есть ещё одна неприятная особенность, о которой постоянно забывают.

В схеме (по правилам), администратор домена отправляет скан паспорта регистратору через Интернет (как один из способов, который, наверняка, наиболее распространён). Но администратор не получает гарантий, что его скан был получен и принят (с учётом даты и времени получения). То есть, при возникновении спорной ситуации, недобросовестный регистратор может заявить, что скана вообще не получал. При этом у администратора домена нет возможности как-то доказать, что скан передавался.

Со своей стороны, если потребуется, регистратор всегда может доказать, что обладает сканом – просто предъявив его. Такой вот перекос доверия. Конечно, это стандартная проблема с “односторонней аутентификацией”, встречающаяся много где ещё: в электронных аукционах, в сетях GSM. Бороться можно очевидным способом: требуя документального подтверждения передачи скана паспорта.

Реализовать подтверждение можно и чисто электронными средствами: электронный скан подписывается закрытым ключом регистратора и возвращается подавшему его администратору.

В отношении кириллицы в именах доменов часто используют аналогию с многоязычными именами файлов в операционных системах. Мол, вот ввели же кириллические (и многоязычные) имена файлов. Это плохая аналогия. Почему? Прежде всего потому, что домены – это не файлы. Их имена вводятся и используются иначе.

Во-первых, кириллические адреса вводятся не в DNS, а чисто на клиентской стороне. Так что сами доменные зоны как были “латинскими”, так и остались. Зато появился дополнительный уровень представления, который, к тому же, с точки зрения технического специалиста (админа, например), расщепляет множество доменных имён на два класса – “традиционные” и “в кракозябрах” (то есть, кодированные в Punycode).

Во-вторых, домены адресуют группы разнородных ресурсов, доступных для неопределённого круга “клиентов” (DNS – глобальная система). При этом сами интернет-ресурсы в своей работе постоянно используют доменные имена для “обратных” ссылок (базовые URL для веб-сайтов, адреса e-mail, доступ с терминалов и т.д., и т.п.). Файлы – это объекты более “локальные”, наружу, конечно, передаются, но обязательно через какой-то “шлюз” (например, через веб-сервер). Даже директории (вполне себе файлы, да), адресующие группы объектов в файловой системе, это не эквиваленты доменов в современном Интернете.

Практическое проявление описанных различий сейчас хорошо видно на веб-сайтах, которые бодро перешли на кириллицу в адресах. Например, документ с описанием домена РФ на сайте Координационного центра (администратора этого домена) имеет вот такой URL: http://кц.рф/ru/domains/domenrf/. Посмотрите сами, где здесь домены и где “файлы”, которые уже давно допускают использование многоязычия.

Это я не к тому, что адреса на кириллице плохо. Просто ситуация – сильно отличается от случая с именами файлов.

Интересно, что “Яндекс” мог бы первым из крупных проектов выкатить полностью кириллическую адресацию. Вот у них в “Словарях” уже можно кириллицу использовать в URLе (http://slovari.yandex.ru/слово/), и есть домен яндекс.рф, в том числе с поддоменом словари.яндекс.рф. Но пока почему-то там редиректы понаставлены. А пора бы уже запустить полноценную версию.