Смена криптографических ключей может привести к недоступности ряда сайтов

ICANN собралась обновлять криптографические ключи: это сломает Интернет?

Рассказываем, чем грозит обновление криптографических ключей для защиты DNS и можно ли защититься от возможных последствий.

Что случилось?

Корпорация по управлению доменными именами и IP-адресами ICANN объявила, что ориентировочно 11 октября 2018 года впервые обновит криптографические ключи (KSK) для защиты системы доменных имен интернета DNS. Точную дату перехода корпорация утвердит на ​заседании правления 12 сентября 2018 года.

Что за ключи?

В 2010 году ICANN создала ключ кратковременного пользования ZSK и ключ долговременного пользования KSK для работы с набором расширений DNSSEC. Тогда его согласились установить многие крупные интернет-провайдеры. Он проверяет подлинность ответов DNS-серверов и не дает мошенникам подключать компьютер пользователя к произвольным серверам. ZSK обновляется четыре раза в год, а KSK не изменялся с 2010 года.

Почему обновление проводят только сейчас?

ICANN ни разу не сталкивалась с компрометацией ключей, но ради повышения безопасности все равно назначила переход от старой версии KSK к новой на 11 октября 2017 года. Однако тогда интернет-провайдеры и сетевые операторы оказались не готовы к этому, поэтому изменение ключей отложили на год.

К каким проблемам может привести обновление?

ICANN считает, что в течение 48 часов после обновления часть интернет-пользователей при открытии сайтов будет получать ошибки типа server failure или SERVFAIL . Возможно, на некоторых ресурсах просто будут отключены картинки. Почтовые клиенты на компьютерах перестанут получать новые письма, а те, что дойдут, могут содержать ошибки.

Что именно может пойти не так?

Устаревшие DNS-программы не смогут распознать новые ключи и правильно отреагировать на них. В худшем случае сломаются базовые функции, например, синхронизация времени. Это приведет к «эффекту домино», и у провайдеров нарушится работа программ. Кроме того, даже если ключи обновило большинство операторов, пропускная способность соединений может временно снизиться из-за тех, кто этого не сделал.

Проблема только во временной недоступности сайтов?

Паникой могут воспользоваться злоумышленники. Они начнут рассылать спам и давать рекламу с советом скачать программу для стабильной работы Интернета. Их нужно игнорировать — тогда вы будете в безопасности.

Это коснется меня?

Такая вероятность есть. Примерно четверть пользователей интернета — около 750 млн человек — работает с провайдерами, которые используют DNSSEC. Возможно, часть из них до сих пор не настроила нужную конфигурацию на своем сетевом оборудовании. Но крупные провайдеры, скорее всего, давно обновили настройки и перейдут на новый KSK незаметно для своих клиентов и владельцев сайтов. Например, «ВымпелКом», «Ростелеком», «МегаФон» и МТС заявили, что готовы к обновлению KSK.

Как мне защититься от этого?

Никак. Настройки должен обновить ваш провайдер, и от вас этот процесс не зависит. Единственный вариант — сменить оператора, если начнутся проблемы с доступом в Сеть.

Смена криптографических ключей может привести к недоступности ряда сайтов

В конце августа Корпорация по управлению доменными именами и IP-адресами (ICANN) напомнила, что «готовится к первой в истории смене криптографических ключей, которые служат защитой для системы доменных имен интернета» (DNS). Переход на новые ключи (Key Signing Key, KSK) должен состояться 11 октября. При этом организация ​предупредила, что «небольшой процент интернет-пользователей испытает сложности при разрешении доменных имен» (то есть при преобразовании имени ресурса в числовой IP-адрес, например, rbc.ru — в 80.68.253.13), которое компьютеры используют для соединения друг с другом. Из-за таких сложностей часть пользователей, например, не сможет открыть указанный ими в адресной строке браузера сайт.

Несмотря на опубликованное сообщение ICANN, 11 октября — это предварительная дата перехода на новые ключи, рассказала РБК глава по глобальному взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии ICANN Александра Куликова. Точная дата перехода будет утверждена на ​заседании правления корпорации, которое должно состояться на следующей неделе, 12 сентября.

Что такое ключи и зачем их менять?

Криптографические ключи появились в 2010 году по инициативе ICANN. Они применялись в расширении DNS Security (DNSSEC). Изначально в DNS-серверах не была предусмотрена проверка подлинности ответов, чем пользовались злоумышленники: они могли перехватить запрос компьютера пользователя, который пытался установить IP-адрес своего «места назначения», и заменить его на неправильный. Таким образом, пользователь, сам того не замечая, мог подключиться к серверу мошенников. Чтобы избежать этого, в 2010 году было выпущено расширение DNSSEC, которое согласились установить многие крупные интернет-провайдеры. ​

По словам директора Координационного центра доменов .RU/.РФ Андрея Воробьева, DNSSEC обеспечивает безопасность и целостность системы интернет-адресации. «Когда пользователь пытается зайти на какой-то ресурс, его интернет-провайдер выясняет для него адрес, по которому надо сделать запрос, чтобы открылся сайт или приложение, отправилась электронная почта и т.д. DNSSEC выступает таким глобальным распределенным автоматизированным нотариусом, который подтверждает оператору, что адрес, который он узнал для своего клиента, верен», — объяснил Воробьев.

Еще в 2010 году ICANN взяла на себя обязательство, что будет менять криптографические ключи «при необходимости или по истечении пяти лет работы», рассказала Куликова. «Несмотря на то что ключ ни разу не был скомпрометирован за это время, замена ключей, как и паролей, — это хорошая практика криптографической «гигиены», поэтому был разработан подробный план подготовки и осуществления смены ключа в штатных условиях. Обновление KSK означает создание новой пары криптографических ключей — открытого и закрытого — и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности. Это, например, интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и т.п.», — пояснила Александра Куликова.

Почему ключи меняются впервые?

Несмотря на то что пятилетний срок для смены ключа истек еще в середине 2015 года, нынешняя смена KSK будет первой в истории ICANN. Впервые о необходимости провести эту процедуру организация объявила в 2016 году. На следующий год была выпущена открытая часть ключа, а сам переход от старой версии к новой был назначен на 11 октября 2017 года. Но мероприятие пришлось отложить из-за низкого уровня готовности интернет-провайдеров, пояснила Куликова. «Мы знали c самого начала, что стопроцентной готовности к смене KSK не будет, но данные, полученные к лету 2017 года, показали, что к ней было не готово большее количество интернет-провайдеров и сетевых операторов, чем ожидалось», — указала она. По словам представителя ICANN, корпорация еще ни разу не сталкивалась с риском компрометации ключа, поэтому было принято решение отложить процедуру его замены еще на год для проведения необходимой работы с операторами.

Сколько пользователей столкнется с проблемами?

По словам Александры Куликовой, в 2017 году примерно у четверти пользователей интернета — около 750 млн человек — доступ в интернет так или иначе зависел от операторов, использующих расширение DNSSEC. Именно эти пользователи потенциально могут столкнуться с проблемами. Однако, по мнению Куликовой, все крупные игроки, скорее всего, давно произвели необходимые обновления и смогут перейти на новый KSK. Смена криптографического ключа — процедура не одномоментная, фактически она идет на протяжении последних двух лет, отметил Андрей Воробьев. По его словам, процедура практически автоматическая и «большинство операторов связи в мире уже имеет все необходимые настройки в своем сетевом оборудовании, которые позволят перейти на новый ключ безболезненно и абсолютно незаметно как для пользователей, так и для владельцев интернет-ресурсов». «Мы полагаем, что благодаря лучшему изучению технической стороны запланированной на 11 октября 2018 года смены ключа KSK и новым усилиям по оповещению тех членов интернет-сообщества, от кого зависит правильная настройка систем подтверждения DNS-запросов, лишь небольшое количество интернет-пользователей может столкнуться со сложностями при доступе к интернет-ресурсам в результате замены ключа», — сказала Куликова.

Как пояснил РБК Владимир Иванов (бывший замруководителя департамента эксплуатации «Яндекса» и бывший руководитель ИТ-департамента интернет-магазина Lamoda), небольшие интернет-провайдеры могли включить себе проверку DNSSEC много лет назад, но не обратили внимание на то, что сейчас необходимо было поменять ключи. «Если сильно не повезет, могут сломаться базовые функции, такие как синхронизация времени. В этом случае «сломается» очень многое, но это все невидимо для людей. У людей просто «не будет работать интернет», — объясняет Иванов. Из материалов ICANN следует, что даже если ключи были обновлены большинством интернет-провайдеров, из-за тех, кто этого не сделал, может временно понижаться пропускная способность соединений, а вместе с ней и скорость работы в Сети.

По словам Дмитрия Буркова, одного из криптографических офицеров ICANN, отобранных из мирового интернет-сообщества и исполняющих функции внешних советников и аудиторов, смена ключей KSK планируется последние четыре года. «Вряд ли мы увидим, что смена ключей пройдет без ошибок, так как определенная доля DNS-программ не способна распознать новые ключи, потому что ПО устарело. По той же причине 0,04% серверов, передающих запросы от пользователя, могут неправильно отреагировать на ключ», — считает Бурков. Он также указал, что более удобным было бы иное устройство защитной системы — с ключами, которые генерировались бы регулярно, а существующее решение было выбрано под давлением определенной части правления корпорации. «Ошибки при смене ключей отразились бы скорее не на пользователях, а на репутации ICANN», — заключил Бурков.

Готовы ли российские интернет-провайдеры?

«Существуют процедуры, по которым ключевая информация по администрируемым нами доменам своевременно заменяется, — мы следуем этим процедурам, и все должно произойти незаметно для всех пользователей. Фактически речь идет лишь об установке нами обновления соответствующего программного обеспечения», — отметил исполнительный вице-президент по взаимодействию с органами исполнительной власти «ВымпелКома» Михаил Якушев (в 2014–2017 годах был вице-президентом ICANN по России, СНГ и Восточной Европе).

Готовы к смене ключей и в МТС. Вопросы о сложностях при проведении операции и после нее, по словам представителя этой компании, необходимо адресовать в ICANN. Не ожидает проблем в своей сети и представитель «Ростелекома». В пресс-службе «МегаФона» ответили, что «изменения не затронут функционирование сервисов компании». Другие крупные интернет-провайдеры либо не ответили на вопросы РБК, либо связаться с ними не удалось.

Ссылка на основную публикацию