Если вы когда-нибудь слышали словосочетание «ключи от Интернета», вполне возможно, что речь шла о чем-то очень конкретном — о цифровом ключе, который используется для проверки защищенности системы доменных имен (DNS). Идея о главном ключе, контролирующем такую важную функцию, звучит так, как будто она взята из шпионских романов. Она фигурирует во множестве историй и теле- и радиопередач, в которых делается упор на идею о том, что ключи к интернету находятся в руках семи человек. В этих фантазиях, а также в том, как эта идея иногда освещается журналистами, значимость этого ключа могут преувеличиваться. Давайте присмотримся к этим простым терминам и узнаем, как здесь все организовано.
О каких ключах идет речь?
DNS защищена на самом высоком уровне при помощи «пломбы подлинности», известной как «ключ для подписания ключей корневой зоны», который также, чтобы упростить, называют «ключом для подписания ключей», «ключом от корня», «корневым KSK» и «якорем доверия» для DNS. Компьютеры в любой точке планеты могут проверить, правильно ли работает система, проверив наличие этой «пломбы подлинности» и отсутствие признаков нарушения ее целостности. Для того, чтобы система работала, раз в три месяца эту пломбу надо ставить на другие ключи, которые используются в повседневной работе.
Где хранится ключ для подписания ключей?
Ключ для подписания ключей хранится в двух защищенных центрах. Один находится в Лос-Анджелесе, в штате Калифорния, другой — в городе Кулпепер, в штате Вирджиния. Эти центры являются полной копией друг друга.
Оба оснащены специально оборудованными помещениями для проведения церемоний, в которых размещен ключ для подписания ключей. Сам ключ представляет собой компьютерный файл, хранящийся в специальном устройстве под названием программно-аппаратный криптографический модуль (HSM), построенный специально для защищенного хранения этого ключа, по аналогии с продвинутыми жесткими дисками с дополнительными опциями защиты.
Что такое церемонии подписания ключей?
Раз в три месяца ключ для подписания ключей «привязывается» к другим ключам. При этом необходимо доказать, что целостность ключа для подписания ключей не была нарушена и что он не используется ни для каких других целей. Для этого проводится открытая «церемония подписания ключей», в ходе которой эксперты со всего мира наблюдают за привязкой ключа для подписания ключей. Они также наблюдают за каждым этапом процесса, чтобы проконтролировать правильность его исполнения. Весь процесс записывается на видео, транслируется в прямом эфире и отслеживается независимыми аудиторами.
Кем являются эксперты на церемонии?
Эксперты — это специалисты в области безопасности со всего мира и персонал корпорации ICANN, отвечающий за повседневную работу ключа для подписания ключей. Большинство экспертов, которые не являются персоналом ICANN, известны как доверенные представители сообщества, так как их задача — представлять на церемонии все техническое сообщество. Кроме этих экспертов и других участников, также часто присутствуют представители СМИ и другие желающие повышать осведомленность о церемониях подписания ключей.
В чем состоит роль экспертов в церемонии?
У каждого человека своя роль. Для обеспечения дополнительного уровня безопасности доступ к ключу для подписания ключей организован таким образом, что церемонию можно провести только в присутствии множества разных людей. У одних из них есть микропроцессорные карточки, которые используются для включения HSM, у других — комбинация к сейфу, в котором размещен HSM, а у третьих — ключи, позволяющие войти в помещение. Доступ в помещение предоставляют люди, которые находятся вообще в другом месте. Всего для открытия и активации всех элементов, необходимых для использования ключа для подписания ключей, в каждой церемонии должно участвовать не менее десятка человек.
Как проходят церемонии?
Каждая церемония занимает от трех до восьми часов. Церемонии проходят по очень жесткому и четкому сценарию, при чем каждый его этап тщательно выполняется и проверяется. На это уходит много времени.
Почему необходимо следить за надлежащим обращением с ключом?
Ключ для подписания ключей представляет ценность только если есть гарантия того, что его никто не копировал и не дублировал. Для этого, в ходе этих ежеквартальных церемоний, необходимо доказать, что он используется только для заданной цели. Если существует вероятность того, что ключ для подписания ключей был использован несанкционированным образом, то не будет гарантии того, что его не продублировали, и в этом случае пломба достоверности становится бесполезна.
Какие основные элементы используются для обеспечения сохранности ключа?
Здесь надо учитывать три основополагающих момента:
- Самый важный принцип процесса — «цепочка ответственности». Как в случае с уликами, которые полиция собирает на месте преступления, это понятие подразумевает хранение всех элементов, необходимых для использования ключа для подписания ключей так, чтобы можно было доказать, что его целостность не была нарушена, иначе его потом нельзя будет использовать. Все элементы укладываются в пакеты с индикацией несанционированного вскрытия, открытие и перемещение каждого пакета выполняются под видеозапись, что позволяет знать, где находился каждый элемент с момента его создания до момента, когда в нем отпадает необходимость. Если пакет был утерян или открыт несанкционированным образом, это будет очевидно. В таком случае его содержание будет считаться скомпрометированным, и ему нельзя будет больше доверять.
- Доступ к центру контролируется большим количеством уровней физической безопасности. Пакеты хранятся в сейфах, которые в свою очередь хранятся в клетках, а клетки — в защищенном помещении для проведения церемоний, находящемся в особо охраняемом центре. Для доступа к каждому уровню безопасности необходимо присутствие одного и более человек. Все эти люди собираются в одном месте для получения доступа к этим пакетам только на церемонии подписания ключей. Кроме того, центр оснащен набором датчиков, способных фиксировать несанкционированный доступ, за которыми осуществляется круглосуточное наблюдение вооруженной охраной на месте и техническими экспертами в удаленном режиме.
- Программно-аппаратный криптографический модуль. В этом устройстве хранятся сами цифровые файлы, содержащие ключ для подписания ключей. Его можно сравнить с высокоспециализированным жестким диском. Устройство оснащено специальной защитой, которая позволяет ему самоуничтожиться при несанкционированном использовании. Если кто-то попытается его вскрыть, уронит или потрясет его, это приведет к уничтожению содержащихся в нем данных. При попытке его использования в отсутствие кого-либо из экспертов, присутствие которых обязательно, оно также работать не будет.
Что такое «семь ключей от интернета»?
В церемониях подписания ключей напрямую участвует приблизительно 50 разных экспертов. 21 из них отбирается из состава глобального интернет-сообщества. Они делятся на 3 группы из 7 человек. У каждой группы своя роль. Из-за того, что для участия в церемониях подписания ключей обязательно присутствие представителей этих групп для защиты ключа для подписания ключей, эта схема часто упрощается и говорится, что существует 7 ключей к интернету или что интернет контролирует 7 человек. Это описание не соответствует той сложности, которая характеризует множество уровней дублирующих друг друга элементов защиты. Для доступа к ключу для подписания ключей корневой зоны или для его использования полная схема работы требует участия в разы более семи человек или применения в разы более семи ключей.
Разве схема не должна быть сложнее?
Здесь описана сложная тема. Ключ для подписания ключей корневой зоны находится на верхушке иерархической инфраструктуры открытых ключей, содержащей множество разных ключей, которыми управляют другие люди и которые все взаимосвязаны. Важно понимать, что технология DNSSEC (расширения безопасности системы доменных имен), функционирующая за счет этих ключей — лишь один из инструментов в арсенале технологий, позволяющих повышать уровень защищенности интернета.
Официальный документ, описывающий принципы этой работы, известен под названием «Заявление о практике использования DNSSEC». Он публикуется вместе с архивными записями церемоний подписания ключей и другими элементами, о которых говорилось выше, по адресу https://iana.org/dnssec.
