Сегодня Интернет-корпорация по присвоению имен и номеров (ICANN) сообщила, что планирует обновить или «выпустить» ключ для подписания ключей (KSK) корневой зоны. Это станет еще одним шагом в нашей непрерывной деятельности по улучшению безопасности системы доменных имен (DNS).
План обновления KSK разработали партнеры по управлению корневой зоной: ICANN — оператор функций Администрации адресного пространства интернет (IANA), компания Verisign — специалист по обслуживанию корневой зоны, Национальное управление по телекоммуникациям и информации (NTIA) Министерства торговли США — администратор корневой зоны. В плане учтены рекомендации от марта 2016 года [PDF, 1.01 МБ], предоставленные Группой разработчиков процедуры обновления KSK корневой зоны после вынесения на общественное обсуждение предложенного процесса обновления и рассмотрения результатов.
Что такое KSK?
KSK — это пара криптографических ключей «открытый-личный», которая выполняет важную функцию в протоколе расширений безопасности системы доменных имен (DNSSEC). Открытая часть пары ключей является надежной отправной точкой для проверки правильности DNSSEC, так же как корневая зона является отправной точкой для преобразования DNS. Личная часть KSK необходима во время церемоний KSK корневой зоны, чтобы подписывать ключи, используемые Verisign для DNSSEC-подписания корневой зоны.
Зачем обновлять KSK?
Из соображений поддержания безопасности рекомендуется периодически менять пароли, чтобы снизить риск их раскрытия во время атак с применением грубой силы. Сообщество проинформировало нас, что криптографические ключи, используемые при подписании корневой зоны, следует, как и пароли, периодически менять для поддержания целостности зависящей от этих ключей инфраструктуры и соблюдения наилучших методов обеспечения безопасности.
Процесс обновления KSK
Обновление KSK подразумевает создание новой пары криптографических ключей, которая будет использоваться в процессе DNSSEC-проверки ответов на запросы имен в корневой зоне (как правило, доменов верхнего уровня) на предмет отсутствия изменений во время передачи. Переход к новой паре ключей и отказ от старой пары — также часть процесса обновления. Интернет-провайдерам, операторам сетей предприятий и другим сторонам, способствовавшим процедуре проверки DNSSEC, необходимо обновить свои системы, перейдя к новой открытой части KSK, называемой «ключом для подписания ключей» корневой зоны. Если этого не случится, то стороны, задействованные в проверке DNSSEC, не смогут проверить ответы DNS на предмет отсутствия стороннего вмешательства, а преобразователи, осуществляющие проверку DNSSEC, будут на все запросы отвечать сообщением об ошибке.
Поскольку пара корневых KSK меняется впервые с момента создания в 2010 году, необходимы совместные усилия многих членов интернет-сообщества, чтобы обеспечить осведомленность всех заинтересованных сторон об обновлении и получение ими новой открытой части KSK. ICANN будет обсуждать обновление KSK на различных технических форумах и использовать хэштег #KeyRoll для группирования информации, сообщения новостей и ответов на запросы социальных медиа. Мы также создали в интернете специальный ресурс для публикации новой информации о мероприятиях, связанных с обновлением ключа.
Если обновление KSK пройдет без осложнений, то видимых изменений для конечных пользователей не будет. Но практически любые перемены в интернете подразумевают небольшую вероятность того, что какое-нибудь программное обеспечение или система не справится с изменениями без проблем. Если осложнения приобретут более широкомасштабный характер, партнеры по управлению корневой зоной могут принять решение об откате обновления ключа, чтобы вернуть систему в стабильное состояние. На этот случай мы разработали подробный план отката обновления ключа.
Сроки
Обновление KSK будет осуществляться в 8 этапов, которые планируется провести примерно за 2 года. Начало 1-го этапа запланировано на 4-й квартал 2016 года.
Дальнейшие действия
Разработчикам программ, поддерживающих проверку DNSSEC, требуется обеспечить поддержку своим продуктом
RFC 5011. Если эта поддержка обеспечена, KSK будет обновлен автоматически в надлежащее время. Если программное обеспечение не соответствует RFC 5011 или не настроено для его применения, то файл нового ключа для подписания ключей может быть обновлен вручную. Этот файл можно будет получить здесь и нужно скачать до запуска преобразователя и после изменения KSK в наборе записей ресурсов (RRset) DNSKEY корневой зоны DNS.
ICANN разработала операционные тесты, которыми разработчики программного обеспечения и операторы проверяющих преобразователей могут воспользоваться, чтобы оценить готовность своих систем к обновлению KSK. Получить дополнительные сведения об этих тестах можно здесь [PDF, 519 КБ].
В свете приближения обновления KSK все заинтересованные стороны могут получить дополнительную информацию и узнать новости здесь https://www.icann.org/kskroll. Сообщите об этом ресурсе другим и порекомендуйте ознакомиться подробнее с предстоящими изменениями DNS.
