DNSSEC: политика, рычаги контроля и проверка адресации
Продолжаем “неделю” информационной безопасности Интернета в блоге dxdt.ru. С введением технологии DNSSEC связано много “непоняток”, что, в общем-то, ожидаемо. Одна из этих “непоняток” – реальные возможности по управлению адресным пространством, возникающие у держателя главного ключа. (Напомню, кратко, что DNSSEC – это набор протоколов, вводящий в DNS криптографические механизмы подтверждения подлинности адресной информации.)
Так вот, как показывает практика, при оценке “глобальных возможностей”, даже ИТ-специалисты упускают из виду ключевой момент: сейчас с шумом намечен первый практический шаг на пути внедрения DNSSEC – подписывание корневой зоны (это главный источник данных в глобальной DNS); а вот второй шаг остаётся в тени, ему мощной PR-поддержки пока не оказывают: этот шаг – внедрение на клиентские машины новых резолверов, поддерживающих проверку данных DNSSEC.
О чём идёт речь: сейчас на типичной клиентской машине (персональном компьютере, подключенном к Интернету, работающем под управлением ОС Windows), для получения информации из DNS используется так называемый stub resolver – это такая весьма простая программа (или, скажем, системная служба – не важно), которая лишь отправляет запросы о получении IP-адреса для того или иного домена на внешний DNS-сервер. Основная особенность тут в том, что stub resolver не выполняет “рекурсивного поиска” в глобальной DNS, а поручает всю работу по такому поиску известному DNS-серверу (обычно, это сервер, принадлежащий интернет-провайдеру).
Столь простой резолвер не знает о DNSSEC, поэтому не может проверить валидность данных, полученных в ответ на запрос от DNS-сервера. Иными словами, возникает следующая ситуация: полнофункциональные DNS-серверы поддерживают DNSSEC и обмениваются между собой удостоверенной информацией, а до массового конечного потребителя, до пользователя, “цифровые подписи” не доходят, так как резолвер на его машине – оказался туповат.
Думаю, теперь понятно, что внедрение поддерживающих DNSSEC резолверов на клиентские машины хорошо оправдывается решением только что описанной проблемы “последней мили DNS”, тем более, что DNSSEC задумана как технология обеспечения защиты информации в схеме “точка-точка”, а не “точка-шлюз”. Собственно, движение уже намечено: резолвер DNS в Windows 7 использует такую схему работы с DNSSEC, в которой валидность адресной информации по запросу резолвера проверяет тот или иной доверенный DNS-сервер. Сложно сказать, как скоро в рядовые пользовательские системы придёт рекурсивный резолвер и как именно он будет устроен, но можно отметить, что аналогичная древовидная система уже работает у типичных “клиентов Интернета” – это SSL-сертификаты, известные многим по реализации в браузерах.
Итог: DNSSEC проникает в корневую зону DNS и во все домены первого уровня (а дальше – ниже), а также и на клиентские машины. С точки зрения управления Интернетом – второй момент имеет не меньшую важность.
Корневую доменную зону раздаёт по глобальной DNS скрытый сервер, контролируемый штатовской компанией VeriSign. Подписывать зону в DNSSEC также будет VeriSign своим секретным ключом (хотя, да, ключ ей “делегирует” ICANN). Операционные системы, работающие на большинстве пользовательских компьютеров, выпускает другая штатовская корпорация – Microsoft. Понятно, что новые резолверы устанавливаются с помощью глобального обновления ОС: это стандартная процедура. Надеюсь, пытливый читатель способен самостоятельно сопоставить эти два “технологически-административных” момента и сделать вывод о свойствах пространства, в котором существует “независимость” современного Интернета, и, соответственно, трезво оценить рычаги управления, вводимые с помощью DNSSEC (на фоне объявления о “независимости ICANN”).
Лирическое отступление: реалии централизованного управления DNS, которая, по мнению многих и многих “интернет-энтузиастов”, выступающих в форумах, является “распределённой системой без центра контроля”, наверное, заслуживают отдельной заметки.
Так что, действительно, внести изменения в корневую зону, скорректировав управление тем или иным доменом верхнего уровня, можно уже сейчас, без DNSSEC – нужно только иметь доступ к генератору зоны. Внесённые изменения коснутся всех тех, кто посылает запросы к данным физическим корневым серверам. Но только DNSSEC позволяет построить криптографически защищённое “второе плечо”, контролирующее всё дерево со стороны пользовательских ОС (а Интернет – он для массовых пользователей). При работе этого плеча “перейти на другие серверы” уже так просто не получится, ведь “главного ключа” в доступности не будет.
Адрес записки: https://dxdt.ru/2009/11/15/2787/
Похожие записки:
- Капитолийские ноутбуки
- CVE-2024-31497 в PuTTY
- Письмо про приостановку разработки ИИ
- Encrypted Client Hello и браузеры Google
- Авария такси-робота в Калифорнии и новые риски
- "Случайные пакеты" как транспорт
- Ретроспектива заметок: деанонимизация по географии
- Постквантовый мир прикладной криптографии
- Разноцветные шары и "анонимизация"
- TLS и подмена сертификата на jabber.ru
- Тест SSLLabs и X25519Kyber768
Комментарии читателей блога: 5
1 <t> // 16th November 2009, 05:20 // Читатель gene написал:
Давно уже интернет не дает покоя властями различного уровня. Уж очень легко там можно высказаться и найти разнородную информацию. Без контроля они работать не могут.
Кроме того, все больший интерес вызывает работа сервисов типа Google. Было бы очень приятно контролировать выдачу поисковых систем.
2 <t> // 20th November 2009, 15:40 // Читатель Vladimir Dyuzhev написал:
А есть ли какие-то поползновения в сторону введения национальных корневых серверов? Зона РФ есть, почему нет корневого сервера РФ?
3 <t> // 21st November 2009, 00:27 // Александр Венедюхин:
Зоны пока нет. Понятно, что серверы, обслуживающие всякую зону верхнего уровня, могут быть своими (как в случае с RU). Но корневые серверы изменить, это значит отрезать сегмент от остальной Сети (адреса там глобальные, а теперь ещё и ключ подписи будет единый).
4 <t> // 23rd November 2009, 01:11 // Читатель Vladimir Dyuzhev написал:
> Но корневые серверы изменить, это значит отрезать сегмент от остальной Сети
Не совсем понятно. Насколько я помню настройки bind, например, там есть список корневых серверов идет. Кто первый ответил про домен — того и используем. Значит, административно нужно потребовать использования местного корневого сервера на всей территории России как первого. В том числе от MS. Хотят продавать свои операционки — пусть подчиняются.
Про нужность GLONASS понимаем и делаем, а DNS — осталась за бортом. Понятно, что за GLONASS стоят интересы военных, но и заинтересованных в устойчивой и контроллируемой работе DNS тоже найти (и объединить) можно.
5 <t> // 23rd November 2009, 17:00 // Александр Венедюхин:
Ну правильно. Если мы используем другие корневые серверы, то те, кто остался на старых, не видят нашей DNS. При этом сделать какие-то “пересечения” не получится, нарушится “связность” системы.