Czy internet mógłby przestać działać? Gdyby zabrakło prądu – najpewniej tak. Pojawił się jednak inny czynnik ryzyka związany z epidemią. Został zażegnany dzięki spotkaniu w ICANN, które o mały włos mogło się nie odbyć.

Raz na kwartał przedstawiciele ICANN, Verisign (rejestr m.in. domen .com i .net) oraz „zaufanych członków społeczności internetowej” (Trusted Community Representatives, TCI) z całego świata spotykają się osobiście w jednym z dwóch miejsc na terenie Stanów Zjednoczonych. Cel: wygenerowanie kluczy kryptograficznych dla strefy root. (Dla przypomnienia: strefa root znajduje się na szczycie hierarchii systemu DNS i to z niej delegowane są strefy niższego poziomu, czyli strefy domen TLD, takich jak .com, .net, .info czy .pl.)

To w uproszczeniu. Pełny proces jest nieco bardziej skomplikowany i przebiega następująco:
1) generowany jest Key Signing Key (KSK), czyli główny klucz podpisujący,
2) w celu kryptograficznego podpisania Zone Signing Key (ZSK), czyli klucza podpisującego strefę,
3) za pomocą którego Root Zone Maintainer, czyli podmiot odpowiedzialny za utrzymanie strefy root, którym jest Verisign,
4) podpisuje strefę root systemu DNS z wykorzystaniem protokołu DNSSEC.

Spotkanie pod specjalnym nadzorem

Jak widać, nie jest to prozaiczne spotkanie przy kawie. Jego uczestnicy muszą przejść przez skomplikowane procedury bezpieczeństwa, m.in. poddać się skanowaniu tęczówek, a następnie spędzają kilka godzin w ściśle kontrolowanych warunkach, objętych najwyższymi rygorami bezpieczeństwa. Wydarzenie, opatrzone godną Tolkiena nazwą „ceremonia podpisania klucza root” (Root Key Signing Ceremony), nie ma charakteru tajnego. Jest nawet transmitowane na YouTube, gdzie dostępne są nagrania z dotychczasowych spotkań.

Nie są to pasjonujące seanse, choć wydarzenia rozgrywające się na ekranie mają wpływ na losy świata. Przynajmniej w takiej mierze, w jakiej współczesny świat zależy od internetu. Napięcie wzrosło jednak przed ostatnią ceremonią, która odbyła się 23 kwietnia. Ale mogła się nie odbyć – ze względu na epidemię koronawirusa.

Wydarzenie zaplanowane w Culpeper w stanie Virginia zostało przeniesione do placówki w kalifornijskiej miejscowości El Segundo, zlokalizowanej bliżej siedziby ICANN. W dodatku grono jego uczestników zostało praktycznie zredukowane do przedstawicieli tej instytucji, co jest rozwiązaniem niestandardowym i prawdopodobnie precedensowym.

TCR, którzy znajdowali się na „liście gości”, pochodzą z Hiszpanii, Mauritiusa, Rosji, Tanzanii i Urugwaju, a ich przybycie do USA uniemożliwiły ograniczenia transportowe związane z epidemią. Dlatego przesłali swoje klucze kryptograficzne pocztą do IANA (jednostka działająca w strukturach ICANN). Klucze były opakowane w „nieprzezroczysty materiał” i zabezpieczone w sposób, który „uniemożliwiał niepozostawiającą śladu ingerencję”. Dodatkowo TCR uczestniczyli w „ceremonii” zdalnie, obserwując działania pracowników IANA, aby móc zareagować na wszelkie podejrzane zachowania. Słowem, impreza przebiegła w warunkach specjalnego nadzoru – i zakończyła się sukcesem.

A gdyby tak nie doszło do „ceremonii”?

Takie ryzyko istniało. I ICANN potraktował je poważnie. Świadczy o tym plan awaryjny, który korporacja opublikowała na swojej stronie. W dokumencie wymienione są cztery warianty przeprowadzenia ceremonii oznaczone literami od A do D (Option A itd.). Każda z nich opatrzona jest adnotacją dotyczącą kluczowego ryzyka. Pierwsze dwa scenariusze zostały skreślone na starcie – w związku z ograniczeniami mobilności spowodowanymi zagrożeniem epidemicznym.

Opcja C jest tą, która faktycznie się rozegrała. Gdyby jednak sprawy się skomplikowały, pozostawała jedynie opcja D, obarczona sporym ryzykiem niepowodzenia. „To jest opcja ostateczna, która zostanie zastosowana w razie braku innego sposobu aktywacji KSK (Key Signing Key) i przeprowadzenia operacji podpisywania” – czytamy w opisie. „W takiej sytuacji zaszłaby potrzeba przeprowadzenia nagłej i zakrojonej na gigantyczną skalę kampanii informacyjnej, która umożliwiłaby operatorom wyłączenie walidacji protokołu DNSSEC. W efekcie istnieje wysokie ryzyko rozległych awarii, ponieważ zapewnienie wdrożenia omawianego rozwiązania na skalę globalną jest niemożliwe. Taki rozwój wydarzeń nieodwołalnie podważyłby zaufanie do protokołu DNSSEC jako technologii” – przestrzega ICANN.

Sprawa jest o tyle poważna, że protokołem DNSSEC – rozszerzeniem DNS – zabezpieczona jest spora część ruchu w internecie, a ICANN od pewnego czasu nawołuje do jej pełnego wdrożenia. Przykładowo, w Polsce z tej nakładki korzysta ok. 500 tys. domen .pl, co stanowi mniej więcej jedną piątą ogółu nazw z tą końcówką.

Dlaczego jednak miałoby w ogóle dojść do wyłączenia DNSSEC? Powód jest prosty. Klucze tego protokołu mają ograniczony „termin przydatności”. Gdy termin mija, przestają działać. ICANN zwykle generuje nowe klucze z kwartalnym wyprzedzeniem. Dlatego klucze sprzed ceremonii wygasłyby w lipcu. Tym razem, dla skuteczniejszego zabezpieczenia sieci, ICANN postanowił wygenerować trzy zestawy kluczy z wyprzedzeniem trzech kwartałów, co oznacza, że strefa root została zabezpieczona do końca marca 2021 r. To środek ostrożności, który nie został wzięty pod uwagę 12 lutego, gdy odbyła się poprzednia „ceremonia”. Wówczas ICANN zmagał się z innym problemem: uczestnicy imprezy nie mogli otworzyć jednego z sejfów…

Tak czy owak, na razie wszystko jest dobrze. Klucze zostały wygenerowane, a internet powinien działać bez szwanku. Przynajmniej przez kolejny rok.

Tagi: DNS, DNSSEC, ICANN, internet, Key Signing Key, KSK, Root Key Signing Ceremony, strefa root, Trusted Community Representatives, Verisign, Zone Signing Key, ZSK