Впервые в истории Интернета одна из самых главных пар криптографических ключей будет изменена. Как сообщается, такой шаг продиктован правилами “криптографической гигиены”.
ICANN собирается изменить пару ключей, которая формирует первое звено в длинной цепи так называемого «криптографического доверия», на которой базируется система доменных имен (DNS).
Благодаря этой паре ключей пользователь, который пробует зайти на сайт, направляется по верному адресу. Без нее многие пользователи перенаправлялись бы на фейковые ресурсы хакеров.
DNS переводит удобные для запоминания доменные имена в понятные компьютеру IP-адреса. Тем не менее, система изначально разработана без учета безопасности, ведь Интернет позиционировался и воспринимался прежде всего как дружественное пространство. Тем не менее, злоумышленники начали практиковать атаки DNS-spoofing (подмену DNS). Для решения такой проблемы многие домены применяют набор расширений DNSSEC, позволяющий ключам шифрования удостовериться в надежности источника DNS-данных. В 2010 году DNSSEC был представлен в качестве защиты корневой зоны DNS.
Процесс аутентификации DNSSEC находится под управлением большой иерархией ключей, и за каждый этап отвечает другая организация. Стратегически важную – корневую – зону контролирует ICANN. У каждой организации есть собственный ключ для цифровой подписи. Как раз свою пару ключей для корневой зоны ICANN собирается изменить.
Как заявил вице-президент по исследованиям ICANN Мэтт Ларсон, такой шаг продиктован правилами «криптографической гигиены». «Если бы у вас была эта пара ключей, вы могли бы создать собственную версию корневой зоны. […] Теоретически, кто-то мог уже взломать их, а мы об этом не знаем», – пояснил он.
Источник http://www.securitylab.ru/