Первое в мире изменение криптографических ключей

Криптографические ключи

Интернет после нововведений 11 октября?

Скорость работы сети и доступность сайтов может быть нарушена после нововведений 11 октября 2018 года. Виной тому — смена криптографических ключей системы безопасности службы DNS. Процесс начат еще 2 года назад, но до сих пор готовы далеко не все.

 

Еще в 2010 году организацией ICANN – корпорация, которая занимается регулированием вопросов в области интернета, были установлены первые криптографические ключи, предназначенные для исключения несанкционированного доступа к потоку данных пользователя. В том же году корпорация обязалась проводить обновление безопасности каждые 5 лет, независимо от факта компрометированности. В III квартале 2018 года было сделано заявление с ориентировочной датой  проведения процедуры обновления ключей. Обещается, что она пройдет максимально незаметно для большинства пользователей сети, однако некоторый процент все же испытает проблемы с доступом к интернет–ресурсам, используя домен – цифро–буквенный адрес сайта, в связи с неготовностью некоторых операторов к данным переменам.

 

“Несмотря на неготовность некоторых провайдеров и по сей день, на официальном заседании правления ICANN 12 сентября была утверждена итоговая дата проведения данной процедуры”, — сообщает представитель корпорации ICANN

 

Что из себя представляют криптографические ключи и для чего они нужны?

 

Существенным шагом для обеспечения безопасности интернета стало введение DNSSEC (Domain Name System Security Extensions), контролирующее подлинность ответов. Данный продукт гарантирует безопасность системы маршрутизации в сети, ее целостность. Он позволяет исключить перехват запросов компьютера пользователя и их перенаправление на сервер злоумышленника. Ранее этим активно пользовались ь для кражи персональных данных и получения несанкционированного доступа к банковским картам.

 

“При вводе домена в адресную строку браузера, пользователь рассчитывает увидеть конкретный ресурс. Оператор пользователя выполняет маршрутизацию запроса на сервер и возвращает от него определенный ответ. Расширение DNSSEC выступает в роли некого гаранта, который следит за тем, чтобы маршрутизация прошла верно, без вмешательства в нее третьими лицами.”, — рассказывает интернет–эксперт по продвижению сайтов NAPAS.KZ

 

Многие крупные провайдеры поддержали инициативу и приняли данное нововведение, перейдя на защищенную систему, а фирмы среднего и малого сегмента подключаются и по сегодняшний день.

 

В 2016 году была попытка провести плановое обновление безопасности, несмотря на то, что они не были взломаны. Планировалось создание новой пары ключей — закрытого и открытого. Последний распространят среди всего перечня компаний, которые занимаются администрирование, обслуживанием и маршрутизацией запросов во всемирной паутине. В 2017 году был обнародован открытый ключ, а предварительная процедура перехода к новой паре была назначена на октябрь того же года.

 

“Наши специалисты изначально представляли объективную картину и были готовы к тому, что часть операторов не будет готова к смене криптографических ключей (Key Signing Key, KSK). Однако, за два месяца от назначенной даты перехода, статус готовности был слишком удручающим”, — утверждает сервис по продвижению сайтов NAPAS.KZ.

 

Руководство организации ICANN утверждает, что за 7 лет не было ни одной удачной попытки, так что данные пользователей находятся в безопасности. Исходя из сложившихся обстоятельств, было решено отложить переход к новым ключам на неопределенный срок для полной подготовки провайдеров.

 

Кто на себе ощутит последствия перехода?

Организация ICONN изначально понимала, что столкнется с трудностью перехода на новую систему. Задача отличается сложной организацией процедуры, несмотря на тщательное планирование. По предварительным оценкам примерно 25% (это, на секунду, более 750 миллионов активных устройств) пользователей сети пользуются услугами провайдеров, установивших расширение DNSSEC. Из них 99% не испытают никакого дискомфорта при переходе. Однако необходимо быть готовым к возможным трудностям, которые, впрочем, будут решаться в оперативном порядке.

 

Эксперты индустрии утверждают, что фирмы малого сегмента могут пропустить переход к новым ключам, вследствие чего выйдет из строя базовая базовая функция – синхронизация времени. Вслед за этим начнут работать с перебоями, либо вовсе отключатся другие системы, ориентирующиеся на время. Это приведет к массовым поломкам и замешательству. Придется перенаправлять трафик на другие каналы, от чего общая скорость сети упадет.

 

Кроме этого, часть оборудования просто не имеет возможности прочесть новый ключ по причине устаревания программного обеспечения. По этой же причине примерно 0,05% серверов могут работать со сбоями. Данную ситуацию можно исправить, если ввести систему с автоматической регулярной генерацией ключей.

 

Какие трудности ждут казахстанский хостинг провайдеров?

Специалисты утверждают, что крупные казахстанские операторы находятся в режиме боевой готовности и готовы оперативно установить обновление ПО. Это никак не скажется на работе основных сервисов. Любые вопросы проведения процедуры обновления ключей нужно задавать непосредственно в ICANN. Ситуация в среднем и малом сегменте приближается следующая: 67% операторов, использующие расширение DNSSEC, выразили готовность. Это означает, что интернетом можно будет пользоваться после нововведений в октябре, а любые поломки будут оперативно устранены.

Принцип работы Интернет

При подключении персонального компьютера к всемирной паутине, он начинает обмениваться данными с другими устройствами в сети. Для доставки данных на определенный сервер или компьютер другого пользователя сети, отправляющему устройству необходимо знать контакты принимающей стороны. Для решения этой проблемы был разработан Internet Protocol Address (IP–адрес), который и назначает точный адрес каждому устройству в сети.

 

Система обладает достаточной гибкостью, чтобы обозначить все компьютеры, однако, для человеческого восприятия она достаточно сложна. Чтобы облегчить доступ к интернет–ресурсам, была создана система доменных имен – DNS. Ее задача заключается в соотношении буквенно–цифрового, легкого для восприятия домена и IP–адреса сервера сайта. Например, сайт google.com находится на множестве серверов, один из которых имеет адрес — 209.185.108.134. Следовательно, подобно телефонному справочнику, в таблице записей DNS есть строка соответствия этого адреса и доменного имени.

 

Служба DNS имеет иерархическую структуру серверов, которые образуют подобие древа данных, используемое для быстрого поиска необходимой таблицы соответствий. Данное решение в значительной мере ускоряет доступ интернет–ресурсам.

 

Сервера DNS делятся на два типа: авторитетные и рекурсивные. Первые используют информацию строго в своей зоне, координируя пользователей внутри сети. Вторые же могут итеративно проходят зону за зоной в поиске необходимого соответствия по всей системе DNS.