ru

Проведение церемонии подписания ключа в контексте COVID-19

21 апреля 2020

Kim DaviesKim Davies, VP, IANA Services and President, PTI

Четыре раза в год ICANN собирает экспертов со всего мира для проведения «церемонии подписания ключа» – критически важного рабочего мероприятия, нашего основополагающего механизма защиты системы доменных имен (DNS). В свете пандемии заболевания COVID-19 и связанных с ней приказов о самоизоляции и ограничениях на передвижение, коллектив IANA вплотную занялся поиском способов продолжать проводить эти мероприятия. На этой неделе кульминацией наших планов станет уникальная церемония подписания ключа, адаптированная под текущую ситуацию.

Церемонии подписания ключа – особые рабочие события, в ходе которых мы используем криптографические ключи, которые обеспечивают защищенность корневой зоны DNS. На церемонии мы снимаем защиту с ключа для подписания ключей (KSK) корневой зоны – своего рода универсального-ключа, который защищает DNS – и генерируем криптографические подписи в количестве, которого должно хватить на три месяца ежедневного подписания корневой зоны. Система разработана таким образом, чтобы в доступе к KSK участвовала группа самых разных экспертов по безопасности из состава членов сообщества, которых мы называем доверенными представителями сообщества. Эти члены сообщества специально распределены по всему миру, чтобы минимизировать риски; они собираются в одном месте только на наши церемонии.

Подготовка церемонии подписания ключа начинается за шесть месяцев. В феврале мы поняли, что ситуация вокруг заболевания COVID-19 может повлиять на церемонию, запланированную на апрель. Специалисты корпорации ICANN проанализировали риски для таких мероприятий как конференция ICANN67 и поняли, что из-за необходимости собрать людей со всего мира существует высокая степень вероятности того, что ситуация скажется на возможности провести церемонию подписания ключа. Несмотря на то, что специалисты распределены по всему миру специально для снижения рисков при нормальной работе, в ситуации с COVID-19 возникли большие сложности с точки зрения возможности проведения нормальной церемонии.

Были рассмотрены разные аспекты проведения церемонии. Можно ли ее провести в другом месте? Можем ли мы организовать проезд таким образом, чтобы минимизировать риск для путешественников? Можем ли мы перенести дату проведения церемонии до возвращения ситуации в нормальное русло? Мы рассмотрели множество разных конфигураций и протестировали наши идеи на нескольких форумах сообщества с участниками церемоний, персоналом корпорации ICANN и нашими подрядчиками.

В итоге, с одобрения Правления ICANN, мы пришли к решению провести церемонию в измененном виде, минимизировав потребность в личном присутствии. Этот модифицированный подход не требует физического присутствия доверенных представителей сообщества. Они смогут исполнить свою роль в удаленном режиме, как и другие участники, которые обычно исполняют их при личном присутствии. Всего в нашем защищенном помещении будет физически присутствовать и исполнять церемонию семь человек, и все они будут действовать осмотрительно, чтобы минимизировать риски, связанные с COVID-19. Все остальные роли будут исполнены в удаленном режиме.

Защищенные элементы, использующиеся в ходе церемонии, которые обычно хранятся у доверенных представителей сообщества, уже переданы на безопасное хранение различным членам персонала корпорации ICANN, находящимся в районе Лос-Анджелеса. Церемония состоится с сохранением полной прозрачности, в режиме интернет-трансляции, при активном участии доверенных представителей сообщества – как обычно – но в удаленном режиме.

Будет внесено еще одно важное изменение – будет сгенерировано подписанных материалов на девять месяцев, а не на три, как обычно. Это позволит нам не проводить еще одну церемонию подписания ключа в 2020 году. Дополнительный подписанный материал позволит нам вздохнуть свободно до возвращения к нормальным условиям работы в 2021 году.

Мы уверены, что организовали подход, который позволяет обеспечить все необходимые меры защиты, чтобы точно знать, что KSK в безопасности, при этом введя необходимые изменения, позволяющие обезопасить основополагающие элементы функционирования интернета, от которых все зависят. Мы сожалеем, что приходится делать эти изменения, но здоровье членов нашего сообщества и персонала превыше всего. Мы обязаны провести церемонию в этом формате, для благополучия всех участников.

Церемония подписания ключа в новой конфигурации состоится 23 апреля, в четверг, в 17:00 по универсальному координированному времени. Она будет транслироваться в прямом эфире в интернете, к просмотру приглашаются все. Интернет-трансляция, сценарий и другие материалы будут доступны по адресу https://www.iana.org/dnssec/ceremonies/41.

Если вы хотите поближе ознакомиться с этой темой, мы недавно сделали подробную презентацию для сообщества RIPE и рассказали о некоторых сложностях. Запись презентации и слайды доступны по адресу https://www.ripe.net/participate/ripe/wg/dns/remote-sessions.

Kim Davies
Kim Davies
VP, IANA Services and President, PTI

Kim Davies

Read biographyRead biography