Время от времени в тех или иных источниках можно прочитать о том, что существуют некие «семь человек, которые контролируют ключи от Интернета». Наверное, авторы этих статей исходят из самых лучших намерений, однако они совершенно неправы. Давайте внесем максимальную ясность: не существует никаких ключей, благодаря которым работает (или не работает) Интернет.
Так называемые «ключи от Интернета» на самом деле касаются только одной функции, более того, они могут использоваться только в совершенно конкретных и ограниченных обстоятельствах. Чтобы разобраться в том, почему эти ключи не управляют работой Интернета, важно понять, что они из себя представляют.
Прежде всего, важно отметить, что ключи, о которых идет речь, касаются только одного из компонентов Интернета — механизма проверки подлинности данных в системе доменных имен (DNS). Этот механизм называется расширениями безопасности системы доменных имен, или DNSSEC. В его основе лежит иерархия криптографических ключей, которая начинается на уровне корневой зоны DNS. Управление криптографическими ключами корневой зоны DNS осуществляет корпорация ICANN.
Эти криптографические ключи хранятся на двух защищенных объектах, расположенных на удалении свыше 4000 километров друг от друга. Безопасность ключей обеспечивается несколькими уровнями физической защиты, в том числе охраной территории, системой видеонаблюдения, мониторингом помещений и сейфов. Самым последним уровнем физической защиты является специализированное устройство — программно-аппаратный криптографический модуль (HSM), в котором хранятся собственно криптографические ключи. В модуле HSM реализована защита от физического вмешательства. К примеру, если кто-то попытается вскрыть устройство или просто даже уронит его, оборудование HSM вытрет все записанные ключи, чтобы не допустить попадания их в руки злоумышленников. На каждом объекте ICANN хранит по два модуля HSM.
Криптографический ключ корневой зоны не может быть использован за пределами модуля HSM. Система, разработанная для управления модулем HSM, требует присутствия многих людей. Некоторые из них — это члены технического сообщества из разных стран мира, их еще называют доверенными представителями сообщества. Кроме них, присутствует также персонал ICANN. У каждого из присутствующих своя роль в процедуре активации модуля HSM, проводимой в рамках регулярного мероприятия, которое мы называем церемонией создания ключей.
Но что произойдет, если модули HSM по какой-то причине придут в нерабочее состояние (например, в результате серьезной ошибки в управляющей микропрограмме)? Даже такой маловероятный сценарий нужно предусмотреть и подготовить для него план восстановления, поэтому ICANN хранит резервные копии для каждого ключа корневой зоны. Такие копии в зашифрованном с высокой степенью надежности виде хранятся в сейфах на каждом из защищенных объектов. Если что-то произойдет сразу со всеми четырьмя модулями HSM, ICANN сможет приобрести еще один модуль HSM у того же производителя и восстановить ключи корневой зоны из резервных копий. В такой ситуации в соответствии с нашей политикой обеспечения безопасности предусмотрено требование, согласно которому при восстановлении ключей из сохраненных ICANN резервных копий должны присутствовать дополнительные доверенные представители сообщества.
Именно отсюда и пошло распространенное в прессе заблуждение, когда говорят о «ключах от Интернета». Каждый из доверенных представителей сообщества получает свой физический ключ, который используется в церемонии создания ключей — это может быть металлический ключ или карточка с микросхемой. Тип физического ключа зависит от роли, которую выполняет конкретный представитель. Некоторых доверенных представителей сообщества выбирают на роль т. н. «ответственных за шифрование» — они активируют модули HSM во время штатных церемоний создания ключей. Другие получают роль т. н. «хранителей частей резервного ключа доступа» — они активируют резервные копии в ситуациях аварийного восстановления ключей. В любом случае те физические ключи, которыми располагают такие представители, используются исключительно для активации материалов, хранящихся на защищенных объектах, и сами по себе не содержат криптографических ключей для подписания корневой зоны. Эти ключи сами по себе, без доступа к объектам системы безопасности ICANN, не могут использоваться для доступа к защищенному ключу корневой зоны. Для этого необходимо, чтобы все представители находились внутри защищенных объектов, при этом нужно открыть сейф, в котором хранятся микропроцессорные карточки с резервными копиями ключей. Совпадение всех этих условий возможно только во время плановой церемонии подписания ключей, или же в том случае, если откажут сразу все из многочисленных уровней физической защиты.
История о ключах к Интернету недостоверна еще и в том, что Интернет — это гораздо больше, чем только расширения DNSSEC. Интернет состоит из множества разных систем, и система DNS — только одна из них. Управление одним из аспектов работы Интернета, таким как DNSSEC, вовсе не означает полного контроля над всеми остальными аспектами.
Так что когда вам в следующий раз попадется на глаза статья о том, как «семь человек управляют ключами к Интернету», помните, что доверенные представители сообщества действительно выполняют важную функцию, но эта функция касается только очень ограниченного технического участка работы.