În câteva luni, internetul va fi un loc mai sigur.
Acest lucru se datorează faptului că Internet Corporation for Assigned Names and Numbers (ICANN) a votat pentru a demara prima schimbare a cheii criptografice care ajută la protejarea centralizării adreselor de internet – Domain Name System (DNS).
Comitetul ICANN, în cadrul reuniunii sale din Belgia, a decis în această săptămână să își continue planurile de a schimba sau „roti” cheia pentru rădăcina DNS pe data de 11 octombrie 2018. Această operațiune va marca prima dată când cheia a fost modificată de când a fost introdusă pentru prima dată în 2010.
În cursul reuniunii, ICANN a prezentat forțele motrice din spatele nevoii de îmbunătățire a securității DNS pe care o va aduce rollover-ul. De exemplu, evoluția continuă a tehnologiilor și facilităților pe Internet, precum și a implementării dispozitivelor IoT și a capacității sporite a rețelelor din întreaga lume, împreună cu lipsa de securitate suficientă în acele dispozitive și rețele, atacatorii au putere sporită pentru a distruge infrastructura internetului, a declarat ICANN.
„În mod specific, creșterea capacității de atac riscă să depășească capacitatea comunității operatorilor de servere root de a extinde capacitatea de apărare. În timp ce rămâne necesar să se continue extinderea capacității de apărare pe termen scurt, perspectivele pe termen lung pentru abordarea tradițională sunt sumbre „, a afirmat ICANN.
Rollover-ul KSK înseamnă generarea unei noi perechi de chei publice și private criptografice și distribuirea noii componente publice către părțile care operează ca și resolveri de validare, potrivit ICANN. Astfel de resolveri execută anumite tipuri de software care convertesc adrese tipice precum blog.nav.ro în adresa IP.
Aceștia includ: furnizorii de servicii de internet, administratorii de rețea pentru întreprinderi și alți operatori de DNS resolver, a declarat ICANN.
ICANN a remarcat că, din cauza lipsei unei implementări semnificative a extensiilor de securitate a domeniului (Validation DNSSEC), răspunsurile de la serverul rădăcină se află în pericol din cauza atacurilor de integritate.
În mod similar, ca rezultat al mesajelor DNS presupuse a fi trimise necriptate, utilizatorii sistemului Root Server (adică resolverii) sunt supuși atacurilor de confidențialitate. Deși aceste atacuri nu sunt neapărat noi, dependența din ce în ce mai mare de DNS și, prin urmare, de sistemul de root-server, sugerează că este necesară o nouă strategie pentru a reduce efectul acestor atacuri, a afirmat ICANN.
ICANN a declarat că așteaptă un impact minim asupra utilizatorilor din cauza rollover-ului, însă un mic procent de utilizatori de internet ar putea avea probleme în rezolvarea numelor de domenii, ceea ce înseamnă că vor avea probleme în atingerea destinației lor online.
Pentru utilizatorii din întreprinderi, mișcarea ar trebui să aibă un impact redus. În primul rând, ICANN a declarat că mai mult de 99% dintre utilizatorii ai căror resolveri validează nu vor fi afectați de KSK rollover. Întreprinderile ar fi trebuit să-și actualizeze deja software-ul pentru a face rollover-uri automate ale cheilor („rollovers RFC 5011”) sau au instalat manual nouă cheie.
„Nu există nicio modalitate de a ne asigura în totalitate că fiecare operator de rețea va avea configurația corectă a resolverilor, dar dacă lucrurile merg așa cum este anticipat, ne așteptăm că marea majoritate să aibă acces la zona root”, a afirmat șeful Consiliului de administrație al ICANN, Cherine Chalaby.
Cercetările arată că există mii de operatori de rețea care au activat validarea DNSSEC, iar aproximativ un sfert dintre utilizatorii internetului se bazează pe operatorii respectivi, a declarat David Conrad, directorul tehnic al ICANN.
„Este aproape sigur că vor exista cel puțin câțiva operatori undeva pe tot globul care nu vor fi pregătiți, dar chiar și în cel mai rău caz, tot ce trebuie să facă pentru a rezolva problema este să oprească validarea DNSSEC, să instaleze noua cheie și să reîncarce DNSSEC și utilizatorii acestora vor avea din nou o conectivitate completă la DNS „, a mai declarat acesta.
Rolloverul root KSK de la versiunea 2010 KSK la versiunea KSK din 2017 trebuia să aibă loc cu aproape un an în urmă, însă a fost amânată până la dată de 11 octombrie a acestui an, din cauza potențialelor probleme de întrerupere a conexiunilor la Internet.
Însă ICANN a declarat că, după consultarea cu comunitatea, au elaborat un nou plan care recomandă utilizarea noii chei într-un an exact după planificarea inițială. Organizația a continuat să realizeze și să investigheze modul care ar putea să atenueze cel mai bine riscurile asociate schimbării de cheie.
„Aceasta este prima schimbare de cheie a rădăcinilor, dar nu va fi ultima”, a declarat Matt Larson, vicepreședinte al departamentului de cercetare la ICANN. „Aceasta este prima dată, așa că, în mod natural, ne întoarcem înapoi pentru a ne asigura că totul merge cât mai ușor posibil, dar, pe măsură ce facem mai multe revizuiri cheie în viitor, operatorii de rețea, ISP-urile și alții vor deveni mai obișnuiți cu această practică.”
Comentarii