Skip to main content
Resources

Утвержденные резолюции Правления | Внеочередное заседание Правления ICANN

Страница также доступна на следующих языках:

Настоящий документ был переведен на несколько языков только для информационных целей. Оригинал и аутентичный текст документа (на английском языке) находится по адресу: https://www.icann.org/resources/board-material/resolutions-2020-04-16-en

  1. Основная повестка дня:
    1. Планы экстренного реагирования для церемонии подписания ключей
    2. Смена владельца регистратуры доменов общественного характера (PIR)
  1. Основная повестка дня:

    1. Планы экстренного реагирования для церемонии подписания ключей

      Принимая во внимание, что ICANN через аффилированную с ней организацию по открытым техническим идентификаторам должна регулярно создавать криптографические подписи, позволяющие должным образом выполнять проверку подлинности корневой зоны с использованием DNSSEC. В настоящее время эта работа выполняется каждые три месяца посредством т. н. церемоний подписания ключей, в которых участвуют доверенные представители сообщества и которые проводятся в соответствии с методикой поддержки DNSSEC на корневых серверах.

      Принимая во внимание, что в декабре 2019 года появился новый штамм коронавируса, вызывающий заболевание, называемое COVID-19, а 30 января 2020 года Всемирная организация здравоохранения (ВОЗ) объявила чрезвычайную ситуацию в области общественного здравоохранения, имеющую международное значение. 11 марта 2020 года ВОЗ официально объявила пандемию COVID-19.

      Принимая во внимание, что пандемия COVID-19 и связанные с ней ограничения международных пассажирских перевозок, а также требования правительств стран ограничить скопление людей отрицательно сказываются на способности ICANN выполнять церемонии подписания ключей в соответствии с политикой.

      Принимая во внимание, что в связи с пандемией COVID-19 ICANN разработала планы реагирования в чрезвычайных обстоятельствах, предусматривающие дифференциальный подход к проведению церемонии подписания ключей, в рамках которого сначала обеспечивается возможность максимального участия, а затем, если такое участие невозможно, постепенно рассматриваются альтернативные варианты с разной степенью ограничений.

      Принимая во внимание, что существует достаточная неопределенность в отношении того, возможно ли будет сколь-нибудь упорядоченное проведение последующих церемоний позже в этом году, а также тот факт, что существуют и рассматриваются варианты, позволяющие снизить риск этого за счет проведения церемонии, в рамках которой криптографические подписи можно будет создать на более продолжительный период времени.

      Принята резолюция (2020.04.16.01): Правление пришло к выводу, что планы реагирования в чрезвычайных обстоятельствах отвечают интересам ICANN и глобальным общественным интересам, и поручает президенту и генеральному директору или назначенным им лицам предпринять на основе консультаций с президентом PTI все меры, необходимые для того, чтобы церемонии подписания ключей проводились в соответствии с планами реагирования в чрезвычайных обстоятельствах.

      Обоснование резолюции 2020.04.16.01

      1. Введение

        Управление ключом для подписания ключей корневой зоны (KSK корневой зоны) осуществляется посредством системы, в рамках которой определенное количество доверенных ролей намеренно распределяется как логически, так и географически, в качестве меры безопасности, призванной снизить риск сговора между сторонами для выполнения незапланированных действий. В обычных условиях работы многие из этих доверенных исполнителей должны собираться, как правило, раз в три месяца, в одном из двух объектов в управлении ICANN (защищенных дата-центров, или KMF) для выполнения собственно «церемоний», в рамках которых каждый из них играет свою роль, заключающуюся в выполнении тех или иных важных процедур создания ключа для подписания ключей.

        В 2020 году из-за пандемии коронавируса мобильность персонала ICANN была сильно ограничена, а другие компании, представители которых выполняют эти доверенные роли, связаны аналогичными ограничениями. Более того, правительства стран ввели ограничения на транспортные перевозки, которые аналогичным образом ограничивают возможности передвижения. Есть существенный риск того, что в результате этих событий количество участников церемоний может сократиться ниже предельно допустимого значения, что скажется на качестве управления ключом для подписания ключей. Без эффективных планов действий в чрезвычайных обстоятельствах неспособность выполнять операции с ключом для подписания ключей KSK в конечном итоге означала бы масштабный катастрофический отказ системы DNS.

      2. Полномочия Правления

        Решение Правления по этому вопросу соответствует прецеденту в том, что касается важных решений, затрагивающих применение ключа для подписания ключей DNSSEC, которое может иметь широкие последствия для сообщества. В прошлом Правление ICANN уже принимало резолюцию, которой уполномочивало первое обновление ключа для подписания ключей.

      3. Предложение

        Сегодняшнее решение Правления заключается в том, чтобы поручить президенту и генеральному директору предпринять на основе консультаций с президентом PTI все меры, необходимые для того, чтобы церемонии подписания ключей проводились в соответствии с планами реагирования в чрезвычайных обстоятельствах. Предусмотренный планами реагирования в чрезвычайных обстоятельствах подход к управлению такими церемониями имеет две составляющие:

        1. Дифференциальный подход к проведению церемонии подписания ключей, в рамках которого сначала обеспечивается возможность максимального участия, а затем, если такое участие невозможно, постепенно рассматриваются альтернативные варианты с разной степенью ограничений.

        2. Стремление реализовать вариант, обусловленный чрезвычайными обстоятельствами и предусматривающий подписание ключа на следующей церемонии сразу на следующие кварталы, что позволит обеспечить стабильность операций на период ожидаемой высокой неопределенности.

        На встрече органа управления политикой, которая состоялась 6 апреля 2020 года, соответствующие процедуры и политики были обновлены с тем, чтобы отразить эти новые процедуры. В частности, в методику поддержки DNSSEC на корневых серверах1 (DPS), которая официально определяет то, каким образом выполняется управление ключом KSK, были внесены изменения, позволяющие реализовать предложенные варианты после должного утверждения их руководством.

        3.1 Запланированные сценарии проведения церемонии KSK 41

        Дифференциальный подход предусматривает четыре варианта действий, ранжированных от наиболее предпочтительного к наименее предпочтительному. Каждый из них соответствует тем или иным условиям и использует те или иные процедуры утверждения перехода к следующему варианту:

        3.1.1 Вариант A: Провести церемонию в апреле 2020 года в соответствии с планом

        В настоящее время церемония KSK 41 запланирована к проведению 23 апреля в г. Калпепер, штат Виргиния. Церемония может действительно состояться в назначенный день и пройти по стандартной процедуре, если удастся обеспечить присутствие минимально необходимого количества участников, в т. ч. трех доверенных представителей сообщества.

        Ключевые риски: Проведение церемонии по ранее определенному плану зависит от возможности перемещения между странами для доверенных представителей сообщества, что в настоящее время сильно затруднено, а предсказать, как будет развиваться ситуация с этими ограничениями в будущем, невозможно. Возможности переездов внутри страны для персонала также ограничены.

        Переключение на вариант B: Если по мнению президента PTI ситуация не стабилизируется в достаточной степени для того, чтобы можно было с уверенностью прогнозировать проведение церемонии по ранее определенному плану, предпочтительным вариантом станет вариант B.

        3.1.2 Вариант B: Проведение церемонии с участием только персонала, находящегося в США

        Три из семи доверенных представителей сообщества для церемонии в г. Калпепер находятся в США — два на восточном побережье и один на западном. В запланированный день проведения участвовать в церемонии смогут только двое из троих, так что в случае использования этого варианта будет определена новая дата проведения церемонии, чтобы в ней смогли принять участие все три представителя.

        Ключевые риски: Этот вариант зависит от возможности переездов внутри страны для доверенных представителей сообщества и персонала. Кроме того, этот вариант невозможен в том случае, если кто-либо из персонала заболеет или не сможет посетить церемонию по иным причинам, поскольку заменить их в таком случае будет некем.

        Переключение на вариант C: Если по мнению президента ICANN по тем или иным причинам нельзя будет гарантировать проведение церемонии к 8 мая, предпочтительным вариантом станет вариант C.

        3.1.3 Вариант C: Проведение церемонии с участием только персонала, находящегося в Лос-Анджелесе, и с минимальным личным присутствием

        Защищенные дата-центры специально оборудованы таким образом, чтобы обеспечить возможность проведения церемонии в чрезвычайных ситуациях с участием только персонала, что позволяет гарантировать, что церемония создания ключей будет проведена в любом случае. Церемонию может провести в кратчайшие сроки после уведомления персонал в минимально необходимом составе в защищенном дата-центре в Эль-Сегундо. При этом, однако, не будет обеспечено личное присутствие необходимого количества доверенных представителей сообщества.

        Ключевые риски: Этот вариант требует участия (т. е. возможности перемещения без ограничений) минимального количества персонала и подрядчиков. Он не отвечает стандартным ожиданиям в том, что касается участия в церемонии создания ключей, однако это допустимый вариант в рамках процедуры реагирования в чрезвычайных обстоятельствах.

        Переключение на вариант D: Если церемонию будет невозможно провести к 19 июня, крайним вариантом станет вариант D. Окончательное решение о переходу к варианту D принимается Правлением ICANN.

        3.1.4 Вариант D: Приостановление подписания корневой зоны DNS

        Это крайний вариант, предусмотренный на тот случай, если не удастся придумать ничего, что позволило бы активировать ключ KSK и выполнять операции подписания. Необходимо будет в сжатые сроки провести масштабную информационную кампанию, чтобы операторы резолверов отключили валидацию DNSSEC. В таком случае существует большой риск масштабных перебоев в работе сети, поскольку обеспечить реализацию в глобальных масштабах невозможно, а также большой риск того, что эта ситуация самым неблагоприятным образом подорвет репутацию DNSSEC как технологии в целом.

        Это крайний вариант, который считается маловероятным. Если не прибегать к этому варианту, то в условиях невозможности успешного проведения церемонии подписания ключа валидация DNSSEC перестанет работать начиная с июля 2020 года.

        3.2 Подписание материала ключей на два календарных квартала

        В ходе стандартной церемонии подписания ключей формируются подписи на один календарный квартал (3 месяца). Если в рамках такой церемонии подписания ключей сформировать подписи, охватывающие дополнительный календарный квартал, это позволит обеспечить большую отказоустойчивость корневой зоны для работы в период неопределенности. Если угроза того, что такая ситуация затянется, осуществится в реальности, такое дополнительное время позволит продумать, какие долгосрочные изменения можно будет внести в нынешнюю церемонию подписания ключей, если это будет необходимо. Исходя из мнений доверенных представителей сообщества, мы рассчитываем сформировать подписи на три квартала, то есть охватывающие девять месяцев. Такое решение позволит снять необходимость в проведении церемония подписания ключей до конца 2020 года, так что следующую церемонию не нужно будет проводить до ориентировочно февраля 2021 года. Материал ключей на дополнительные кварталы будет надежно храниться в ICANN и выдаваться специалисту по обслуживанию корневой зоны в соответствии с обычным графиком работы.

      4. Консультации с заинтересованными сторонами

        В рамках подготовки этого подхода персонал взаимодействовал со следующими сторонами:

        • с намеченными участниками церемонии, которая была запланирована на апрель 2020 года;
        • с независимой аудиторской компанией;
        • со специалистом по обслуживанию корневой зоны;
        • с поставщиками, осуществляющими поддержку церемонии подписания ключей;
        • с доверенными представителями сообщества и участниками прошлых церемоний;
        • с комитетом ICANN по анализу изменений корневой зоны, в состав которого входят представители различных организаций поддержки и консультативных комитетов ICANN;
        • с подписчиками списка рассылки DNS-OARC;
        • с подписчиками списка рассылки проекта обновления ключа KSK\.

        Общая информация об этом подходе была также представлена в нашем списке рассылки для публичных объявлений, насчитывающем приблизительно 700 подписчиков, интересующихся тематикой управления ключом для подписания ключей корневой зоны. Обсуждение было посвящено практической эффективности элементов этого предложения, их влиянию на операции и среду управления, а также шагам, необходимым для сохранения высокого уровня доверия, которым пользуется ICANN в том, что касается управления ею ключом для подписания ключей.

      5. Финансовые последствия

        Ожидается, что это предложение не будет иметь существенных финансовых последствий, помимо стандартных операционных издержек, связанных с управлением KSK.

      6. Требования в отношении консультаций с общественностью

        Этот вопрос относится к функциям IANA, связанным с именами, выполнение которых осуществляет организация по открытым техническим идентификаторам на основе договора с ICANN. Процедуры, применяемые для работы с ключом KSK, должны утверждаться органом управления политикой, внутренним комитетом корпорации ICANN. Общественное обсуждение официально не является обязательным, однако персонал IANA продолжит консультации с доверенными представителями сообщества и прочими заинтересованными сторонами для реализации и принятия этих планов. Будет разработана специальная информационная стратегия, которая позволит обеспечивать информированность о любых операционных изменениях и их последствиях.

      7. Общественные интересы

        Данное решение Правления отвечает общественным интересам и соответствует миссии ICANN, поскольку оно будет способствовать дальнейшему обеспечению стабильной и безопасной работы систем уникальных идентификаторов Интернета. Неспособность провести следующую церемонию подписания ключей привела бы к масштабной остановке работы DNSSEC и прекращению разрешения DNS во всем мире начиная с июля 2020 года. Это решение Правления позволит гарантировать возможность разрешения всех доменных имен устройствами с поддержкой DNSSEC.

      8. Ключевые риски

        В своем рассмотрении и принятии этого решения Правление учло следующие соображения, касающиеся возможного риска.

        8.1 Возможности передвижения участников церемонии ограничены

        Основной риск, преодолеть который призвана этот план, заключается в том, что участники церемонии не смогут прибыть в место ее проведения. В качестве решения предлагается использовать дифференцированный подход, подразумевающий различные варианты проведения церемонии, вплоть до проведения ее в присутствии только персонала, находящегося в районе городской агломерации Лос-Анджелеса, что позволит обойтись без авиаперелетов или поездок с пересечением границ штатов.

        8.2 Оператор объекта может приостановить доступ к нему

        Компания-оператор, обеспечивающая работу объектов, на которых расположены защищенные дата-центры, в рамках реагирования на пандемию может приостановить доступ к ним. В качестве решения предлагается связаться с высшим руководством такой компании, при необходимости через доверенных посредников, и убедить его сделать исключение с учетом необходимости проведения этой церемонии для поддержания критически важной инфраструктуры Интернета и обеспечения работы Интернета в целом. ICANN обсудила с правительством США возможность выдачи особого распоряжения, если это будет необходимо для сохранения доступа для проведения церемонии подписания ключей.

        8.3 Правительство приостанавливает доступ к объекту и (или) ограничивает передвижение

        Органы власти разных уровней могут вводить ограничения на перемещение или скопление людей, что может препятствовать проведению церемонии. ICANN может попытаться, используя соответствующие каналы связи, убедить ответственных за принятие решений сделать исключение, как описано в предыдущем разделе, с учетом необходимости проведения этой церемонии для поддержания критически важной инфраструктуры Интернета и обеспечения работы Интернета в целом. В частности, ICANN поддерживает отношения с органами власти, которые можно использовать для получения такого особого разрешения.

        8.4 Персонал может заболеть или не иметь возможности посетить церемонию по иным причинам

        Сотрудники, входящие в число персонала, минимально необходимого для проведения церемонии, могут не иметь возможности принять в ней участие по состоянию здоровья, из-за нахождения на карантине или по иным причинам. В качестве основной меры предосторожности персонал PTI и прочий персонал поддержки корпорации ICANN начиная с марта 2020 года начал применять методику социального дистанцирования для ограничения потенциальной передачи заболевания. Кроме того, для реализации представленных вариантов предвидится окно в приблизительно три месяца, что позволяет гибко менять даты в рамках каждого из возможных вариантов действий с учетом времени, необходимого для выздоровления сотрудников и последующего проведения церемонии.

        8.5 Вариант C подрывает доверие сообщества к координирующей роли в управлении ключами KSK

        Проведение церемонии без стандартных мер защиты, в т. ч. физического присутствия независимых свидетелей от сообщества в защищенном дата-центре, может подорвать доверие к руководству и координирующей роли в управлении ключами KSK. Для решения этой проблемы церемония будет проводиться с соблюдением стандартов аудита под надзором независимой аудиторской компании, а все материалы (в т. ч. материалы всеобъемлющей контрольной съемки и физические атрибуты церемонии) будут стандартно публиковаться в Интернете. С церемонии будет вестись прямая трансляция с расширенными возможностями, что позволит тем, кто не смог присутствовать на церемонии, наблюдать за ней и высказывать свои вопросы или возражения. С доверенными представителями сообщества и прочими заинтересованными сторонами были проведены консультации о том, каким образом можно провести церемонию в варианте C так, чтобы удовлетворить их требования с учетом неизбежных в таком случае ограничений. Мы постараемся заручиться согласием на такой компромисс с учетом возможных альтернативных вариантов со стороны доверенных представителей сообщества и прочих заинтересованных сторон.

    2. Смена владельца регистратуры доменов общественного характера (PIR)

      Этот пункт был снят с повестки дня.


1 https://www.iana.org/dnssec/dps

Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."