Новостное: “шестёрка” программистов с ключами

Всё ж сложно пройти мимо очередной “новости об Интернете”, распространяемой СМИ. Система “слышали звон, но не знают, где он” настолько хорошо отлажена, что моментально порождает занимательные эффекты. Речь о “шести (семи) экспертах-программистах, которых уполномочили перезагрузить Интернет, если он сломается” – сейчас уже все крупные СМИ широкого назначения отписались об этом. Следом идут “специальные” СМИ, журналисты которых смогли найти ключевое слово – DNSSEC (но до основы, конечно, не докопали). В качестве первоисточника называют “Би-би-си”.

Было несложно догадаться, что источником смешной новости послужила информация о том, каким образом происходит генерация и сопровождение ключей в глобальной DNSSEC. Нужно, правда, внести коррективы. Если поверить не “Би-би-си”, а настоящему первоисточнику – ICANN, – то получится, что:

1) Команда экспертов, выступающих представителями интернет-сообщества, включает в себя 21 человека в “основном составе”, плюс 13 человек – “скамейка запасных”. Назначение команды – обеспечивать процесс генерации и сопровождения ключей, подписывающих корневую зону DNS, выступая, фактически, в роли доверенных контролёров;

2) По группам внутри этой команды: есть две группы по семь человек, каждая закреплена за одним из двух дата-центров, в которых генерируют составляющие ключа ZSK и используют главный ключ (KSK) для подписания других ключей; люди из этих групп хранят ключи, необходимые для получения паролей от криптосервера. Интересно, что, как пишут в документации, тут речь о “физических” ключах от сейфа, в котором находятся пароли к криптосерверу (нужно будет спросить, что там за ключи на самом деле).

Третья группа хранит смарткарты, с частями ключа, позволяющего расшифровать резервную копию секретного KSK, в случае, если вдруг основная копия, находящаяся в криптосервере, исчезнет.

В резерве – семь человек с ключами “от криптосервера” (условно) и шесть – с частями ключами от резервной копии.

3) По ключам. Используют KSK и ZSK. С помощью KSK подписывают ZSK, которым подписывается корневая зона. ZSK генерирует VeriSign, потому что эта компания технически отвечает за распространение корневой зоны DNS. По процедуре, новые ZSK выкатываются четырежды в год. Каждый новый ZSK должен быть подписан защищённым криптосервером, в котором содержится секретная часть KSK. То есть, четыре раза в год эксперты с ключами “от криптосервера” (см. выше) приезжают в дата-центр и “отпирают” криптосервер, тем самым разрешая подписать новый ZSK. Те доверенные люди, которые хранят смарт-карты с частями ключа, которым зашифрована резервная копия KSK – выезжают “на восстановление” не по графику, а только если основная копия утрачена. (Видимо, только этот момент, благодаря его драматургии, и привлёк журналистов.)

Понятно, что если действовать по процедуре, без держателей ключей “от криптосервера” подписать зону восстановленным из резервной копии KSK не получится. Более того, по существующей процедуре не получится вообще что-либо сделать с корневой зоной без участия VeriSign и Минторга США – какими ключами не размахивай. Очевидно, что утрата секретного ключа KSK не приведёт одномоментно к отключению DNS и краху DNSSEC. До момента истечения срока действия текущего ZSK даже изменения в зону можно будет вносить. Подписать новый ZSK утраченным KSK – да, не выйдет.

Ну а самое интересное, что в крайнем случае никто не помешает просто сгенерировать новый KSK силами ICANN, Минторга и VeriSign, как это уже было сделано при развёртывании DNSSEC.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 3

  • 1. 29th July 2010, 17:31 // Читатель Dmitry - CO2 WCF написал:

    Наиболее полная по информационности заметка.

    Упрощенно – но что описано верно.

    Ответы по тексту:
    на 2) – ключи от сейфов (типа банковских ячеек), которые находятся в свою очередь внутри кодовых сейфов, которые находятся в защищенных модулях, которые внутри защищенных помещений внутри защищенных дейтацентров
    http://dns.icann.org/ksk/facilities/
    – ничего фантастического – со всеми нормами безопасности.
    Внутри ячеек два типа смарткарт (одни для активации HSM вторая с KSK), упакованных в специальные запечатанные и подписанные пакеты с уникальными идентификаторами.

    по 3) – все так – обычно при потере 1-3 HSM справляются CO (crypto officers)- RKSHs (Recovery Key Share Holders) задействуются только в случае отказа или потери всех 4-х HSMs. При потере ими своих карт собираются все вместе.

    При этом все забывают – что функции это скорее контрольные за соблюдением процедур и задача всех церемоний обеспечить большую прозрачность и доверие.

    Все забывают, что с самого начала формирование корневой зоны вообще происходило за закрытыми дверями.
    Теперь процедуры становятся прозрачными и круг лиц, участвующих в нем впервые расширен.
    А раздача ключей всех типов и оргконтроль за исполнением процедуры – это опять же вопрос оргбезопасности и обеспечения доверия.
    В принципе, это просто технологический процесс.

    Нарушение же добровольно принятых на себя обязательств ICANN-ом, USG DoC и Verisign-ом может теперь рассматриваться совсем по другому и совсем не в их интересах.

    По сути – это ввод общественного контроля – на полноту описания не претендую – но это существенный шаг.

    А защита от аварий и ЧП применительна только к обеспечению целостности процесса генерации ключей и подписания запросов.

    О самой технологии –
    Полетит DNSSEC в полном объеме или нет – не знаю, да и никто до конца не понимает – но повысить защиту от определенного типа атак с использованием DNS может.

  • 2. 30th July 2010, 08:46 // Читатель RE написал:

    Это уже больше напоминает какой-то масонский орден, чем собрание айтишников. А в крови христианских младенцев новые ключи не обмывают?))

  • 3. 30th July 2010, 11:59 // Читатель Dmitry - CO2 WCF написал:

    https://www.iana.org/dnssec/icann-dps.txt

    Беда – что комментируют раньше, чем что-то прочитают