За­ме­на клю­чей не по­ко­ле­ба­ла ми­ро­вую па­у­ти­ну

RBC - - НОВОСТИ - ЕВ­ГЕ­НИЯ БАЛЕНКО

По­сле 11 ок­тяб­ря, ко­гда про­шла пер­вая в ис­то­рии за­ме­на клю­чей шиф­ро­ва­ния, часть ин­тер­нет-про­вай­де­ров все еще про­во­дит об­нов­ле­ния, при­зна­ла ICANN. На ра­бо­ту ин­тер­не­та это не по­вли­я­ло, хо­тя кор­по­ра­ция мо­жет знать не о всех про­бле­мах.

Кор­по­ра­ция по управ­ле­нию до­мен­ны­ми име­на­ми и IP-ад­ре­са­ми (ICANN) впер­вые рас­ска­за­ла о де­та­лях сме­ны клю­чей шиф­ро­ва­ния для рас­ши­ре­ния, за­щи­ща­ю­ще­го ин­тер­нет-ад­ре­са от ха­кер­ских атак. За­ме­на клю­чей про­во­ди­лась пер­вый раз в ис­то­рии 11 ок­тяб­ря. Не­за­дол­го до этой да­ты ICANN пре­ду­пре­ди­ла — в ра­бо­те ми­ро­вой Се­ти мо­гут воз­ник­нуть про­бле­мы, ес­ли не все ин­тер­нет-про­вай­де­ры про­ве­дут об­нов­ле­ния.

За­ме­на про­шла без ка­ких-ли­бо се­рьез­ных сбо­ев, со­об­щи­ла гла­ва по гло­баль­но­му вза­и­мо­дей­ствию с за­ин­те­ре­со­ван­ны­ми сто­ро­на­ми в Во­сточ­ной Ев­ро­пе и Цен­траль­ной Азии ICANN Алек­сандра Ку­ли­ко­ва, вы­сту­пая на тре­тьем Во­сточ­но­ев­ро­пей­ском DNS-фо­ру­ме во втор­ник, 4 де­каб­ря. «Все со­сто­я­лось до­воль­но бла­го­по­луч­но с уче­том ра­нее ожи­да­е­мых сбо­ев, и нам не очень по­нят­но по­че­му», — при­зна­лась она.

Че­го бо­я­лись в ICANN и по­че­му ин­тер­нет не рас­пал­ся на ча­сти, раз­би­рал­ся РБК.

Что про­изо­шло 11 ок­тяб­ря

11 ок­тяб­ря со­сто­я­лась сме­на крип­то­гра­фи­че­ских клю­чей, ко­то­рые слу­жат за­щи­той для си­сте­мы до­мен­ных имен ин­тер­не­та (DNS). Та­кие клю­чи по­яви­лись в 2010 го­ду по ини­ци­а­ти­ве ICANN. Они при­ме­ня­ют­ся в рас­ши­ре­нии DNS Security (DNSSEC) и необ­хо­ди­мы для про­вер­ки под­лин­но­сти от­ве­тов, что ис­клю­ча­ет воз­мож­ность пе­ре­хва­та за­про­са, от­прав­лен­но­го ком­пью­те­ром поль­зо­ва­те­лей, зло­умыш­лен­ни­ка­ми. Но­вый ключ долж­ны бы­ли уста­но­вить се­бе те, кто управ­ля­ет рас­по­зна­ва­те­ля­ми с функ­ци­ей про­вер­ки под­лин­но­сти, на­при­мер ин­тер­нет-про­вай­де­ры, ад­ми­ни­стра­то­ры се­тей, раз­ра­бот- чи­ки про­грамм­но­го обес­пе­че­ния для рас­по­зна­ва­те­лей DNS, си­стем­ные ин­те­гра­то­ры и т.п.

ICANN взя­ла на се­бя обя­за­тель­ство, что бу­дет ме­нять крип­то­гра­фи­че­ские клю­чи при необ­хо­ди­мо­сти или по ис­те­че­нии пя­ти лет ра­бо­ты. Од­на­ко первую в ис­то­рии сме­ну клю­чей несколь­ко раз от­кла­ды­ва­ли из-за низ­кой го­тов­но­сти ин­тер­нет-про­вай­де­ров. В ав­гу­сте 2018 го­да ICANN пре­ду­пре­ди­ла, что неболь­шой про­цент ин­тер­нет-поль­зо­ва­те­лей ис­пы­та­ет слож­но­сти при раз­ре­ше­нии до­мен­ных имен (то есть при пре­об­ра­зо­ва­нии име­ни ре­сур­са в чис­ло­вой IP-ад­рес, на­при­мер rbc.ru — в 80.68.253.13), ко­то­рые ком­пью­те­ры ис­поль­зу­ют для со­еди­не­ния друг с дру­гом. Из-за та­ких слож­но­стей часть поль­зо­ва­те­лей не смо­жет от­крыть ука­зан­ный ими в ад­рес­ной стро­ке бра­у­зе­ра сайт.

Как про­шел пе­ре­ход

Как со­об­щи­ла Алек­сандра Ку­ли­ко­ва, ко­ли­че­ство со­об­ще­ний о сбо­ях в ра­бо­те про­вай­де­ров бы­ло неболь­шим (ме­нее де­ся­ти), они бы­ли по­лу­че­ны че­рез нефор­маль­ные ка­на­лы (Twitter, e-mail рас­сыл­ки и фо­ру­мы). «Су­дя по все­му, они бы­ли устра­не­ны без осо­бых про­блем. На­пря­мую к ICANN об­ра­ще­ний не по­сту­па­ло», — от­ме­ти­ла Ку­ли­ко­ва. В ICANN так­же «от­сле­ди­ли две пуб­ли­ка­ции в СМИ», в ко­то­рых го­во­ри­лось о сбо­ях в ра­бо­те про­вай­де­ров из Ир­лан­дии (Eir) и США (Consolidated Communication), од­на­ко неяс­но, свя­за­ны ли эти сбои имен­но с за­ме­ной клю­чей.

Бла­го­по­луч­ность пе­ре­хо­да в ICANN объ­яс­нить по­ка не мо­гут. «Это мо­жет го­во­рить о недо­ста­точ­но­сти дан­ных для их ин­тер­пре­та­ции. Мы про­дол­жа­ем ана­лиз со­бы­тия вме­сте с тех­ни­че­ским со­об­ще­ством», — от­ме­ти­ла Ку­ли­ко­ва. По ее сло­вам, ко­ли­че­ство за­про­сов на но­вые клю­чи воз­рос­ло в мо­мент их сме­ны, но да­же сей­час оста­ет­ся от­но­си­тель­но вы­со­ким. «Во­прос со­сто­ит в том, по­че­му ко­ли­че­ство за­про­сов не па­да­ет. Есть по­до­зре­ние, что су­ще­ству­ет ка­кое-то ко­ли­че­ство сер­ве­ров, ко­то­рым не уда­ет­ся све­рить клю­чи и со­еди­нить­ся, и они ав­то­ма­ти­че­ски за­но­во от­прав­ля­ют за­про­сы. Это один из нере­шен­ных во­про­сов сей­час», — по­яс­ни­ла Ку­ли­ко­ва.

По­че­му ин­тер­нет не сло­мал­ся

Как ра­нее по­яс­ня­ла РБК Ку­ли­ко­ва, по­тен­ци­аль­но с про­бле­ма­ми мо­гут столк­нуть­ся те поль­зо­ва­те­ли, у ко­то­рых до­ступ в ин­тер­нет так или ина­че за­ви­сит от опе­ра­то­ров, ис­поль­зу­ю­щих рас­ши­ре­ние DNSSEC. В 2017 го­ду та­ких на­счи­ты­ва­лось око­ло 750 млн че­ло­век — это при­мер­но чет­верть всех поль­зо­ва­те­лей ин­тер­не­та. В то же вре­мя Ку­ли­ко­ва го­во­ри­ла, что все круп­ные иг­ро­ки за­ра­нее про­из­ве­ли необ­хо­ди­мые об­нов­ле­ния и их кли­ен­ты не долж­ны бы­ли за­ме­тить пе­ре­ход.

По сло­вам стар­ше­го ви­це-пре­зи­ден­та и тех­ни­че­ско­го ди­рек­то­ра ICANN Дэ­ви­да Ко­нра­да, так­же вы­сту­пав­ше­го на DNS-фо­ру­ме, ес­ли устрой­ство поль­зо­ва­те­ля об­ра­ти­лось к сер­ве­ру, ко­то­рый не про­из­вел за­ме­ну клю­ча, оно мо­жет пе­ре­клю­чить­ся на дру­гой сер­вер, ко­то­рый не ис­поль­зу­ет рас­ши­ре­ние без­опас­но­сти DNSSEC и по­то­му не нуж­да­ет­ся в под­твер­жде­нии клю­ча.

По сло­вам ди­рек­то­ра Ко­ор­ди­на­ци­он­но­го цен­тра до­ме­нов .RU/.РФ Ан­дрея Во­ро­бье­ва, «воз­мож­но, бы­ли ка­кие-то пе­ре­бои, на­при­мер, мог­ла не с пер­во­го ра­за за­пу­стить­ся стра­ни­ца, но поль­зо­ва­те­ли спи­сы­ва­ли их на что-то дру­гое — на по­те­рю сиг­на­ла, на­при­мер». Со­вре­мен­ные си­сте­мы раз­ветв­лен­ные — это осо­бен­ность ар­хи­тек­ту­ры, они мно­го­крат­но дуб­ли­ру­ют са­ми се­бя, и од­на часть мо­жет под­стра­хо­вать дру­гую, по­яс­нил Во­ро­бьев. «О внут­рен­ней жиз­ни се­ти мо­жет знать толь­ко сам опе­ра­тор», — от­ме­тил он.

Как по­яс­нил РБК ру­ко­во­ди­тель про­ек­тов DNS Цен­тра вза­и­мо­дей­ствия ком­пью­тер­ных се­тей «МСК-IX» Па­вел Храм­цов, ско­рее все­го, про­вай­де­ры от­клю­чи­ли про­вер­ку че­рез DNSSEC, по­это­му кли­ен­ты про­сто не за­ме­ти­ли ни­ка­ких про­блем. «Ко­неч­ный кли­ент все рав­но все­гда по­лу­ча­ет от­вет от опе­ра­то­ра и по­па­да­ет на нуж­ную ему стра­ни­цу, со­от­вет­ствен­но, ни­кто не жа­лу­ет­ся. Ес­ли бы про­вер­кой до­сто­вер­но­сти по­лу­чен­ных из си­сте­мы DNS дан­ных за­ни­мал­ся сам ко­неч­ный кли­ент, то то­гда он бы сам мог столк­нуть­ся с про­бле­мой», — ска­зал Храм­цов. За­ча­стую ар­хи­тек­ту­ра се­тей опе­ра­то­ров устро­е­на очень слож­но, по­это­му лю­бые из­ме­не­ния на­стро­ек тре­бу­ют дли­тель­ной ра­бо­ты ин­же­не­ров и те­сти­ро­ва­ния — это слож­ная за­да­ча, по­яс­нил Во­ро­бьев.

С про­бле­ма­ми мо­гут столк­нуть­ся те поль­зо­ва­те­ли, у ко­то­рых до­ступ в ин­тер­нет так или ина­че за­ви­сит от опе­ра­то­ров, ис­поль­зу­ю­щих рас­ши­ре­ние DNSSE

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.