В ближайшее время одна из самых главных в интернете пар криптографических ключей будет впервые изменена. Американская некоммерческая организация ICANN намерена изменить пару ключей, формирующую первое звено в длинной цепи так называемого “криптографического доверия”, на которой базируется система доменных имен (DNS).
С помощью этой пары ключей пользователь, пытающийся зайти на какой-либо сайт, направляется по верному адресу. Если бы ее не существовало, многие пользователи перенаправлялись бы на подконтрольные хакерам поддельные ресурсы. “ICANN намерена сделать все операции с ключами как можно более открытыми, поскольку это имеет большое значения для доверяющего ей сообщества”, – заявил вице-президент по исследованиям ICANN Мэтт Ларсон (Matt Larson) в интервью журналистам Motherboard.
DNS переводит удобные для запоминания человеком доменные имена в понятные компьютеру IP-адреса. Однако система была разработана без учета безопасности, поскольку создавалась во времена, когда “интернет был более дружественным местом”, пояснил Ларсон. В результате злоумышленники стали использовать атаки DNS-spoofing (подмену DNS). Для решения проблемы многие домены используют набор расширений DNSSEC, позволяющий ключам шифрования определять надежность источника DNS-данных. В 2010 г. DNSSEC был представлен в качестве защиты корневой зоны DNS.
Процесс аутентификации DNSSEC управляется целой иерархией ключей, и за каждый этап отвечает другая организация. Самую важную, корневую, зону контролирует ICANN. Каждая организация обладает собственным ключом для цифровой подписи. Как раз свою пару ключей для корневой зоны и намерена изменить ICANN впервые за все время.
По словам Ларсона, данный шаг продиктован правилами “криптографической гигиены”. “Если бы у вас была эта пара ключей, вы могли бы создать собственную версию корневой зоны. […] Теоретически, кто-то мог уже взломать их, а мы об этом не знаем”, – пояснил он.
ICANN – международная некоммерческая организация, созданная в 1998 году при участии правительства США для регулирования вопросов, связанных с доменными именами, IP-адресами и другими аспектами функционирования интернета. DNS-spoofing (DNS cache poisoning) – повреждение целостности данных в системе доменных имен путем заполнения кэша DNS-сервера данными, не исходящими от доверенного DNS-источника. (ICANN/NovostIT)