Найти тему
Baza

Хранители ключа от мирового интернета. Кто они и зачем собираются внутри сейфа

Фото: Vice
Фото: Vice

Четыре раза в год два десятка человек встречаются, чтобы провести некую церемонию. Эти собрания не отличались от обычных офисных встреч, если бы не беспрецедентные меры безопасности, через которые проходят участники прежде, чем туда попасть: биометрические сканеры, сканеры сетчатки глаза и отпечатков пальцев — это лишь малая часть из них. Причина, по которой они собираются, тоже не самая банальная: некоторые из них являются хранителями уникального ключа от мирового интернета. А вместе их ключи образуют мастер-ключ, контролирующий одну из главных мер безопасности, лежащую в основе работы интернета, — систему доменных имен (DNS).

Первая церемония ICANN. Источник ICANN

Что такое DNS

Открыть любой сайт в интернете можно, введя в строке браузера его числовой IP-адрес или символьное имя. Нам удобнее использовать второй вариант, а машине — первый, поэтому нужен посредник, который бы преобразовывал символы из доменов в IP-адреса. За этим и существует система доменных имен — DNS (Domain Name System). Она хранит и управляет информацией о доменных зонах.

Для простоты понимания DNS сравнивают с телефонной книгой, в которой хранятся имена контактов (URL-адреса) и их номера телефонов (IP-адреса). DNS существует не в виртуальном пространстве, а на определённых физических серверах со специальным ПО.

Как работает DNS-сервер

Источник eternalhost.net
Источник eternalhost.net
  1. Браузер получает запрос от пользователя и направляет его DNS-серверу сети, который ищет совпадение доменного имени и сетевого адреса. Если ответ обнаружен, то страница сайта загружается сразу. В противном случае запрос отправляется серверу более высокого уровня или корневому.
  2. Корневой сервер направляет запрос серверу первого уровня, который, в свою очередь, передает его серверу второго уровня. Это движение продолжается до тех пор, пока не будет найдено совпадения имени и IP-адреса.
  3. Браузер получает ответ на свой запрос, направляет его к хостингу, и страница открывается.

Где находятся DNS-серверы

Фундаментом для обработки всех запросов о доменных именах являются корневые серверы, отвечающие за корневую DNS-зону. В мире существует 13 корневых серверов, ими руководят разные операторы, действующие на основании соглашений с корпорацией ICANN. В их числе университеты, организации Минобороны США и некоммерческие ассоциации. 10 серверов находится в США, ещё три в Нидерландах, Швеции и Японии. Помимо 13 корневых, есть ещё сотни дублирующих корневых серверов, из которых 11 — в России. Все операторы юридически и финансово независимы от ICANN, поэтому ни одна организация не контролирует всю систему целиком.

Церемония проверки ключей

ICANN создавалась в 1998 году при участии правительства США, как организация для регулирования вопросов, связанных с доменными именами и прочими аспектами функционирования интернета. С 2016 года она стала независимой. Разработанная в компании система с использованием мастер-ключа и его распределенное хранение — это часть глобальных мер по обеспечению безопасности интернета.

Источник Tim Hales / AP
Источник Tim Hales / AP

С 2010 года держатели ключей встречаются четыре раза в год, дважды на Восточном побережье США и дважды на Западном, чтобы обновить ключи и удостовериться, что Сеть защищена. Хранители ключей — избранная группа экспертов в области безопасности, известные участники комьюнити из разных концов планеты. Их выбрали исходя из опыта и географического расположения — ни одной стране не позволено контролировать слишком много ключей, чтобы избежать централизации власти в одних руках.

Эти мужчины и женщины контролируют систему, лежащую в основе сети: систему доменных имен (DNS). Каждый раз, когда хранители встречаются, они проверяют подлинность каждой записи в этих онлайн-адресных книгах. Подмена IP-адресов может привести людей на вредоносные сайты, используемые для взлома компьютеров или кражи данных.

Во время «ритуала» генерируется новый мастер-ключ, который затем активируется с помощью смарт-карт, подписывается хранителями и загружается на USB-носители для серверов различных доменных зон (.ru, .com, .net и т. д.).

На церемониях Восточного и Западного побережья присутствуют по семь держателей ключей, ещё семь человек по всему миру имеют полномочия по экстренному восстановлению системы, если что-то пойдёт не так. У каждого из 14 держателей первичных ключей (по семь на каждое побережье) есть традиционный металлический ключ от сейфа, в котором хранится смарт-карта, которая, в свою очередь, активирует устройство, создающее новый мастер-ключ.

Фото: cloudflare.com
Фото: cloudflare.com

На случай возникновения чрезвычайной ситуации «страхующая» семёрка хранит у себя смарт-карты, содержащие фрагмент кода, необходимый для создания нового генератора мастер-ключей. Один раз в год эти семь человек отправляют в ICANN селфи с газетой на текущую дату и их ключом, чтобы подтвердить, что с ними всё в порядке.

Первоначальный процесс отбора хранителей ключей прошёл на удивление малозаметно: компания объявила о наборе участников у себя на сайте и получила всего 40 заявок на 21 позицию. Список участников мероприятия находится в открытом доступе и мало изменился со времён первой церемонии. Россию на ней представляет один из пионеров рунета Дмитрий Бурков.

Как проходит церемония

Церемония Западного побережья проходит в неприметной промзоне в пригороде Лос-Анджелеса, на охраняемой территории. Внутри здания минимум окон, в зале для церемоний их нет вовсе, куча датчиков, сканеров и камер. Даже чтобы попасть в столовую, вам придётся пройти через дверь, требующую пин-кода, смарт-карты и биометрического сканирования руки. Затем вы попадёте в небольшую комнату, в которой одновременно может быть открыта только одна дверь. Затем идёт другая последовательность смарт-карт, отпечатков рук и кодов, чтобы выйти.

В главный зал не допускаются ни охранники, ни уборщицы, поэтому хранители ключей сами предварительно подготавливают его для мероприятия. Сама церемония — это план из более чем 100 пунктов, расписанных с точностью до минуты, каждое отклонение от которого отмечается в официальном протоколе, который все присутствующие позже должны прочитать и подписать.

Доступ внутрь открывается только после сканирования сетчатки глаза уполномоченного сотрудника ICANN. Затем участники процессии попадают в пространство, напоминающее приёмную врача: несколько рядов прикрученных металлических стульев, а напротив — стол. С другой стороны комнаты находится клетка с двумя сейфами повышенной безопасности. Под потолком — камеры, ведущие прямую трансляцию на сайте ICANN.

Один из сотрудников и держатели ключей (для церемонии требуется как минимум трое, а не все семь) входят в безопасную клетку, чтобы забрать свои смарт-карты, хранящиеся в сейфе в специальных пакетах с защитой от вскрытия.

После этого персонал настраивает компьютер, подключает к нему несколько USB-накопителей, один из которых используют в конце церемонии для загрузки подписанного ключа в Интернет: код загрузят на серверы, которые определяют, кто контролирует различные доменные зоны .com, .net, .ru и т. д.

Источник flickr/Olaf Kolkman
Источник flickr/Olaf Kolkman

Затем настраивается устройство, которое будет генерировать главный ключ — программно-аппаратный криптографический модуль (HSM). Это простая маленькая серая коробка с клавиатурой и слотом для карт на передней панели. Если её уронить или даже слишком сильного потрясти, она уничтожит, хранящиеся внутри ключи. Её активируют смарт-картами, которые хранители только что забрали из сейфа.

Каждый хранитель передаёт свою смарт-карту, устройство активируется, в него вводится несколько строк программного кода, который и генерируют новый цифровой ключ. Затем USB-накопитель передается другому сотруднику ICANN, позже он передаст ключ по защищённому каналу и его разместят в интернете. Он будет действовать три месяца — до следующей церемонии.

После генерации нового ключа хранители снова возвращаются в клетку с сейфами, в которых хранятся их смарт-карты, чтобы вернуть их на место.

Источник: flickr/Olaf Kolkman
Источник: flickr/Olaf Kolkman

Почему церемония проходит в прямом эфире и настолько вычурно

Тот факт, что базирующаяся в США ICANN, а не правительство или международная организация выполняет одну из важных задач по поддержанию глобальной интернет-безопасности, часто критикуют. А эта регулярная и порой чрезмерная церемония по обновлению ключей призвана показать, насколько серьёзно компания относится к своей миссии, когда речь идёт о поддержании доверия.

В октябре 2016 года у ICANN всё же истёк контракт с Министерством торговли США и Национальным управлением информации и связи (NTIA). Поддержкой корневых серверов DNS и реестром доменов верхнего уровня стала заниматься американская компания Verisign, но администрирование адресного пространства осталось за ICANN, которой больше не нужно было согласовывать свои действия с властями США — это немного снизило градус критики.

Для многих стран, в их числе и Россия, отстранение американских властей от «управления интернетом» было долгожданным событием. Бразилия, Россия и Китай много лет настаивали на передаче контроля над интернетом какой-нибудь международной организации, например ООН.

Источник: flickr/Olaf Kolkman
Источник: flickr/Olaf Kolkman

Но тем не менее большая часть технической инфраструктуры и дата-центров, поддерживающих работу системы, всё ещё находится в США.

Стоит сказать, что сама ICANN категорически против формулировки «ключи от Интернета». Хотя бы потому что «не существует никаких ключей, благодаря которым работает (или не работает) интернет». Вся описанная выше процедура связана с ключами, которые касаются только одного из множества компонентов интернета — механизма проверки подлинности данных в системе доменных имен (DNSSEC). В его основе лежит иерархия криптографических ключей, которая начинается на уровне корневой зоны DNS — именно за них и отвечает ICANN. Кроме того, криптографический ключ корневой зоны не может быть использован за пределами модуля HSM.

Что будет, если утратить доступ сразу ко всем криптоключам

Само по себе это маловероятно, потому что ключи хранятся на четырёх модулях HSM в сейфах на территории двух особо охраняемых объектов, расположенных в 4000 км друг от друга (на Восточном и Западном побережье). Но тем не менее ICANN хранит ещё и зашифрованные резервные копии для каждого ключа корневой зоны. В случае если выйдут из строя все 4 HSM модуля, компания закажет у производителя новый модуль и восстановит ключи из резервных копий. В этом случае будет проводиться особая церемония в присутствии дополнительных доверенных представителей сообщества и «хранителей частей резервного ключа доступа».

Интернет — это гораздо больше, чем только расширения DNSSEC. Он состоит из множества различных систем, и DNS — только одна из них. Управление одним из аспектов работы Интернета, таким как DNS, не означает полного контроля над всеми остальными аспектами.