ar

التأثير الأدنى المتوقع على المستخدمين من إستبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر

18 يوليو 2018

Baher EsmatBaher Esmat, VP, Stakeholder Engagement - Middle East and Managing Director Middle East and Africa

تعلم منظمة ICANN أن تحديث مرساة الثقة للإمتدادات الأمنية لنظام اسم النطاق (DNSSEC) بالنسبة لنظام اسم النطاق (DNS) العالمي بتاريخ 11 تشرين الأول (أكتوبر) 2018 سيؤثر فقط على عدد قليل من مستخدمي DNS. وقد تم اتخاذ قرار إستبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر بعد مجهودات مهمة للتواصل وبعد اعتبار دقيق لجميع البيانات المتوفرة.

منذ توقيع منطقة جذر نظام DNS لأول مرة سنة 2010، خططت إدارة الممارسات والبيانات السياسية1 للإمتدادات الأمنية لنظام اسم النطاق (DNSSEC) لتغيير مستقبلي لمفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر. ولحسن الحظ، ستتمكن أغلب وحدات حل التصديق التي ستلاحظ مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر جديد من تهيئته كمرساة ثقة جديدة تلقائيًا باستخدام "التحديثات التلقائية لمراسي ثقة (DNSSEC) لأمن نظام DNS،" والمعرفة في طلب تقديم التعقيبات RFC50112. يمكن لمشغلي وحدات الحل أيضًا تحديث إعداد مرساة الثقة لديهم يدويًا إذا ما أدركوا أنه تم تغيير مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر بناء على مجهوادت التواصل المختلفة من قبل مؤسسة ICANN.

لا توجد طريقة موحدة أو محددة حصرًا للتمكن من الإدراك بشكل تفاعلي بأن وحدة حل تصديق تتوفر على المجموعة السليمة من مراسي الثقة مهيئة جيدًا. أفضل طريقة متوفرة حاليًا هي "إصدار معلومات مرساة الثقة كإشارة في الإمتدادات الأمنية لنظام اسم النطاق" (الموثقة في طلب تقديم التعقيبات RFC 81453) والذي تم نشره في نيسان (أبريل) 2017. في هذا البروتوكول، تقوم أنظمة التحقق بإصدار استعلام DNS يتضمن معرفات مفتاح DNSKEY لمراسي الثقة المهيئة في اسم الاستعلام. يمكن ملاحظة هذه الاستعلامات بشكل سلس في التدفق على مستوى خوادم الجذر. خلال أيلول (سبتمبر) 2017، كان هناك عدد من وحدات الحل التي تستخدم هذا البروتوكول وأظهرت إعلانات مراسي الثقة نسبة أعلى من مراسي الثقة غير المهيئة مقارنة بما كان متوقعًا أساسًا. إلا أن الإشارة الملاحظة حينها لم يتم فهمها جيدًا، ونتيجة لذلك، قررت منظمة ICANN تأجيل عملية إستبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر من أجل فهم جيد للإشارة مع مساعدة المجتمع التقني.

وقد أظهر مزيد من اليحث من قبل فريق مكتب المدير الفني المسؤول (OCTO) وغيره مخاوف بشأن جودة بيانات طلب تقديم التعقيبات RFC 8145. مثلًا، فإن استعلام DNS يوثق معلومات مرساة الثقة مرسلًا إلى وكيل إعادة إرسال يتم التعالم معه مثل أي استعلام آخر وسيتم إرساله إلى خادم جذر بغض النظر عما إذا كان وكيل إعادة الإرسال مصدقًا أم لا. في أحد الحالات، أشار تنفيذ وحدة حل DNS معروفة إلى مرساة الثقة رغم أن وحدة الحل لم تكن مهيئة للتصديق وبالتالي فلن تحصل على مرساة الثقة الجديدة. وقد تم عكس قرار التنفيذ هذا في إصدار لاحق للبرنامج. في حالة أخرى، أشارت مكتبة وحدة حل DNS مشهورة إلى مرساة الثقة لكن لم تكن لديها طريقة لتقوم بالتحديث التلقائي لإعداداتها الخاصة بمرساة الثقة. نتيجة لذلك، قام نشر فريد لتنفيذ شبكة افتراضية خاصة VPN لمستخدم فريد معروف من خلال استخدام مكتبة وحدة حل DNS تلك بإصدار إشارة مرساة الثقة القديمة من عناوين مصادر مختلفة عبر الزمن. وقد اكتشف ويس هارداكر من معهد علوم المعلومات التابع لجامعة جنوب كاليفورنيا هذه الممارسة وتم إبلاغ المتعهد الذي يستخدم المكتبة وتم تحديث البرنامج. وقد قلل هذا التغيير بشكل كبير من عدد الموارد التي تصدر مرساة الثقة القديمة.4

إلا أن بيانات طلب تقديم التعقيبات RFC 8145 تقدم معلومات فقط عن وحدات الحل؛ حيث أنها لا تشير إلى عدد المستخدمين النهائيين بناء على وحدات الحل تلك. ومن أجل فهم حجم مجتمع المستخدمين في وحدات حل التصديق، فإن سجل الإنترنت الإقليمي لمنطقة آسيا والمحيط الهادئ (APNIC) استخدم نظام قياس مبني على شبكة ترويج Google للاستعلام بشأن DNS. ومن خلال تحليل التقاطع بين موارد الإشارة إلى مرساة ثقة ICANN مع موارد وحدات الحل لديهم ثم توسيع القياسات عبر الاستقراء، وجدت APNIC أن 0.05 بالمئة فقط من مستخدمي الإنترنت سيتأثرون سلبًا بإستبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر.5

بالتطلع إلى المستقبل، ستتواصل منظمة ICANN مع 1000 من مزوّدي خدمة الإنترنت (ISP) من ذوي أكبر قدر من نشاط تدفق البيانات والذين أعلموا بأن تصديق DNSSEC قد تم تمكينه من أجل ضمان إدراكهم لأن عملية إستبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر ستتم بتاريخ 11 تشرين الأول (أكتوبر) 2018. وسيتم أيضًا تنفيذ استبيان مع مزوّدي خدمة الإنترنت هؤلاء بشأن خطط الإعداد لديهم للإستبدال، مما سيجعل مشغلي وحدات الحل هؤلاء أكثر وعيًا بإستبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر.

ومنذ الإعلان الأول عن وضع خطط لاستبدال مرساة الثقة سنة 2015، حافظت منظمة ICANN على حملة توعية شملت (لحد الآن) ما يقارب 100 مشاركة خطابية في مؤتمرات عالمية، وإقليمية ووطنية، وأكثر من 150 مقالة جديدة في الصحافة التقنية. كما نشرت منظمة ICANN أيضًا تسع مقالات مدونة متعلقة بإستبدال مرساة الثقة وتواصل التوعية لفائدة مزوّدي خدمة الإنترنت والذين يتوفرون على وحدات حل تصديق في شبكاتهم لكن، من خلال بيانات طلب تقديم التعقيبات RFC 8145، لا يظهر على أن لديهم مرساة ثقة مهيئة.

 نتيجة لهذه المجهودات والبيانات التي تمكنا من جمعها، زادت منظمة ICANN الثقة في أن إستبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر الذي من المقرر أن يتم بتاريخ 11 تشرين الأول (أكتوبر) 2018 سيكون له تأثير محتمل على نسبة ضئيلة جدًا من مستخدمي نظام DNS.

 


1 https://www.iana.org/dnssec/icann-dps.txt

2 https://datatracker.ietf.org/doc/rfc5011/

3 https://datatracker.ietf.org/doc/rfc8145/

4 http://root-trust-anchor-reports.research.icann.org/

5 http://www.potaroo.net/ispcol/2018-04/ksk.pdf [PDF, 184 KB]

Baher Esmat
Baher Esmat
VP, Stakeholder Engagement - Middle East and Managing Director Middle East and Africa

Baher Esmat

Read biographyRead biography