Лента новостей
Глушаков на последней минуте принес «Спартаку» победу над «Ростовом» 22:30, Спорт Время просыпаться: как нормализовать сон после праздников 22:23, РБК и Philips СМИ узнали о претензиях ЕС к Мальте и Кипру из-за «золотых паспортов» 22:18, Политика СК завел дело после пожара на двух судах в Керченском проливе 22:13, Общество Захарова «приняла капитуляцию» Чубайса в споре о бедности россиян 22:09, Общество Чеченский министр объяснил списание долгов за газ «спецификой региона» 21:52, Общество ПАСЕ лишила Украину мест в занимающемся снятием санкций с России комитете 21:48, Политика Депутаты Петербурга потребовали списать долги горожан по примеру Чечни 21:46, Политика Новак назвал условия подписания нового транзитного договора с Украиной 21:36, Бизнес Бизнес без отговорок: те, кто справился со страхами и открыл свое дело 21:15, РБК и «Билайн» Бизнес В НПЗ структуры «Роснефти» в Индии будет вложено $850 млн 21:06, Бизнес Мир в обмен на острова: смогут ли Путин и Абэ договориться о Курилах 21:05, Политика Суд прекратил дело против пожаловавшегося на пытки в ярославской колонии 20:49, Общество Во Франции Google оштрафовали на €50 млн 20:45, Технологии и медиа Россия сократила внешние долги до минимума за 10 лет 20:44, Экономика Гаджеты и приложения для экстремальных путешествий 20:39, РБК и «Ингосстрах» Дерипаска отказался ехать на форум в Давосе 20:38, Бизнес При пожаре на судах в Керченском проливе погибли десять человек 20:32, Общество Киев обвинил «Газпром» в нежелании менять старые условия работы 20:27, Политика Тереза Мэй назвала три принципа пересмотра соглашения по Brexit 20:13, Политика МИД Франции вызвал посла Италии после высказываний вице-премьера 20:12, Политика Три человека погибли при пожаре на судах в Керченском проливе 20:10, Общество Как запустить ресторан с нуля в разгар санкций 20:09, РБК и Samsung Кубок Матч Премьер по футболу. «Спартак» — «Ростов». Онлайн 20:00, Спорт «Метрострой» заявил о риске аварий из-за разрыва контрактов с Петербургом 19:44, Бизнес В Сети появились видео горящих судов в Керченском проливе 19:44, Общество Самолет «Аэрофлота» выкатился за пределы полосы в Шереметьево 19:28, Общество Путь огурца: как звезда российского финтеха нашла счастье в Италии 19:22, РБК и «Билайн»
Почему после 11 октября в мировом интернете могут произойти перебои
Технологии и медиа, 06 сен 2018, 07:31
0
Почему после 11 октября в мировом интернете могут произойти перебои
После 11 октября пользователи могут столкнуться со снижением скорости работы в Сети, а часть сайтов будет недоступна. Причина — первое в истории обновление настроек защиты мировой системы доменных имен. Готовы к этому не все
Фото: Toru Hanai / Reuters

В конце августа Корпорация по управлению доменными именами и IP-адресами (ICANN) напомнила, что «готовится к первой в истории смене криптографических ключей, которые служат защитой для системы доменных имен интернета» (DNS). Переход на новые ключи (Key Signing Key, KSK) должен состояться 11 октября. При этом организация ​предупредила, что «небольшой процент интернет-пользователей испытает сложности при разрешении доменных имен» (то есть при преобразовании имени ресурса в числовой IP-адрес, например, rbc.ru — в 80.68.253.13), которое компьютеры используют для соединения друг с другом. Из-за таких сложностей часть пользователей, например, не сможет открыть указанный ими в адресной строке браузера сайт.

Несмотря на опубликованное сообщение ICANN, 11 октября — это предварительная дата перехода на новые ключи, рассказала РБК глава по глобальному взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии ICANN Александра Куликова. Точная дата перехода будет утверждена на ​заседании правления корпорации, которое должно состояться на следующей неделе, 12 сентября.

Что такое ключи и зачем их менять?

Криптографические ключи появились в 2010 году по инициативе ICANN. Они применялись в расширении DNS Security (DNSSEC). Изначально в DNS-серверах не была предусмотрена проверка подлинности ответов, чем пользовались злоумышленники: они могли перехватить запрос компьютера пользователя, который пытался установить IP-адрес своего «места назначения», и заменить его на неправильный. Таким образом, пользователь, сам того не замечая, мог подключиться к серверу мошенников. Чтобы избежать этого, в 2010 году было выпущено расширение DNSSEC, которое согласились установить многие крупные интернет-провайдеры. ​

По словам директора Координационного центра доменов .RU/.РФ Андрея Воробьева, DNSSEC обеспечивает безопасность и целостность системы интернет-адресации. «Когда пользователь пытается зайти на какой-то ресурс, его интернет-провайдер выясняет для него адрес, по которому надо сделать запрос, чтобы открылся сайт или приложение, отправилась электронная почта и т.д. DNSSEC выступает таким глобальным распределенным автоматизированным нотариусом, который подтверждает оператору, что адрес, который он узнал для своего клиента, верен», — объяснил Воробьев.

Еще в 2010 году ICANN взяла на себя обязательство, что будет менять криптографические ключи «при необходимости или по истечении пяти лет работы», рассказала Куликова. «Несмотря на то что ключ ни разу не был скомпрометирован за это время, замена ключей, как и паролей, — это хорошая практика криптографической «гигиены», поэтому был разработан подробный план подготовки и осуществления смены ключа в штатных условиях. Обновление KSK означает создание новой пары криптографических ключей — открытого и закрытого — и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности. Это, например, интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и т.п.», — пояснила Александра Куликова.

Почему ключи меняются впервые?

Несмотря на то что пятилетний срок для смены ключа истек еще в середине 2015 года, нынешняя смена KSK будет первой в истории ICANN. Впервые о необходимости провести эту процедуру организация объявила в 2016 году. На следующий год была выпущена открытая часть ключа, а сам переход от старой версии к новой был назначен на 11 октября 2017 года. Но мероприятие пришлось отложить из-за низкого уровня готовности интернет-провайдеров, пояснила Куликова. «Мы знали c самого начала, что стопроцентной готовности к смене KSK не будет, но данные, полученные к лету 2017 года, показали, что к ней было не готово большее количество интернет-провайдеров и сетевых операторов, чем ожидалось», — указала она. По словам представителя ICANN, корпорация еще ни разу не сталкивалась с риском компрометации ключа, поэтому было принято решение отложить процедуру его замены еще на год для проведения необходимой работы с операторами.

Сколько пользователей столкнется с проблемами?

По словам Александры Куликовой, в 2017 году примерно у четверти пользователей интернета — около 750 млн человек — доступ в интернет так или иначе зависел от операторов, использующих расширение DNSSEC. Именно эти пользователи потенциально могут столкнуться с проблемами. Однако, по мнению Куликовой, все крупные игроки, скорее всего, давно произвели необходимые обновления и смогут перейти на новый KSK. Смена криптографического ключа — процедура не одномоментная, фактически она идет на протяжении последних двух лет, отметил Андрей Воробьев. По его словам, процедура практически автоматическая и «большинство операторов связи в мире уже имеет все необходимые настройки в своем сетевом оборудовании, которые позволят перейти на новый ключ безболезненно и абсолютно незаметно как для пользователей, так и для владельцев интернет-ресурсов». «Мы полагаем, что благодаря лучшему изучению технической стороны запланированной на 11 октября 2018 года смены ключа KSK и новым усилиям по оповещению тех членов интернет-сообщества, от кого зависит правильная настройка систем подтверждения DNS-запросов, лишь небольшое количество интернет-пользователей может столкнуться со сложностями при доступе к интернет-ресурсам в результате замены ключа», — сказала Куликова.

Фото: Александр Рюмин / ТАСС

Как пояснил РБК Владимир Иванов (бывший замруководителя департамента эксплуатации «Яндекса» и бывший руководитель ИТ-департамента интернет-магазина Lamoda), небольшие интернет-провайдеры могли включить себе проверку DNSSEC много лет назад, но не обратили внимание на то, что сейчас необходимо было поменять ключи. «Если сильно не повезет, могут сломаться базовые функции, такие как синхронизация времени. В этом случае «сломается» очень многое, но это все невидимо для людей. У людей просто «не будет работать интернет», — объясняет Иванов. Из материалов ICANN следует, что даже если ключи были обновлены большинством интернет-провайдеров, из-за тех, кто этого не сделал, может временно понижаться пропускная способность соединений, а вместе с ней и скорость работы в Сети.

По словам Дмитрия Буркова, одного из криптографических офицеров ICANN, отобранных из мирового интернет-сообщества и исполняющих функции внешних советников и аудиторов, смена ключей KSK планируется последние четыре года. «Вряд ли мы увидим, что смена ключей пройдет без ошибок, так как определенная доля DNS-программ не способна распознать новые ключи, потому что ПО устарело. По той же причине 0,04% серверов, передающих запросы от пользователя, могут неправильно отреагировать на ключ», — считает Бурков. Он также указал, что более удобным было бы иное устройство защитной системы — с ключами, которые генерировались бы регулярно, а существующее решение было выбрано под давлением определенной части правления корпорации. «Ошибки при смене ключей отразились бы скорее не на пользователях, а на репутации ICANN», — заключил Бурков.

Готовы ли российские интернет-провайдеры?

«Существуют процедуры, по которым ключевая информация по администрируемым нами доменам своевременно заменяется, — мы следуем этим процедурам, и все должно произойти незаметно для всех пользователей. Фактически речь идет лишь об установке нами обновления соответствующего программного обеспечения», — отметил исполнительный вице-президент по взаимодействию с органами исполнительной власти «ВымпелКома» Михаил Якушев (в 2014–2017 годах был вице-президентом ICANN по России, СНГ и Восточной Европе).

Готовы к смене ключей и в МТС. Вопросы о сложностях при проведении операции и после нее, по словам представителя этой компании, необходимо адресовать в ICANN. Не ожидает проблем в своей сети и представитель «Ростелекома». В пресс-службе «МегаФона» ответили, что «изменения не затронут функционирование сервисов компании». Другие крупные интернет-провайдеры либо не ответили на вопросы РБК, либо связаться с ними не удалось.

Как работает интернет

Каждое устройство, подключенное к Глобальной сети (серверы, интернет-сервисы, пользовательские устройства и т.д.), использует IP-адрес, по которому его можно найти. Поиск осуществляется с помощью Domain Name System (DNS, англ. — системы доменных имен) — компьютерной распределенной системы для получения информации о доменах. Но числовой IP-адрес сложен для восприятия человеком, поэтому он переведен в доменное имя. Благодаря DNS мы можем зайти в браузер и написать в строке конкретный URL (rbc.ru). Система сама переведет его для компьютера в IP-адрес и пришлет ответ в виде открывающейся страницы сайта на запрос пользователя.

DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по определенному протоколу и работающих по принципу «язык до Киева доведет». Существует два типа серверов: авторитетные (сами отвечают за зону) и рекурсивные (выполняют от имени клиента полный поиск нужной информации во всей системе DNS, при необходимости обращаясь к другим DNS-серверам). К авторитетным серверам относятся корневые серверы (root servers) — те, которые имеют информацию о корневой зоне, то есть могут ответить, кто знает про зону «ru». Серверы зоны «ru» могут ответить, какие серверы знают, например, про зону «rbc.ru». Серверы зоны «rbc.ru» могут сказать, что у rbc.ru вот такой IP-адрес.