В ближайшее время одна из самых главных в интернете пар криптографических ключей будет впервые изменена. Американская некоммерческая организация ICANN намерена изменить пару ключей, формирующую первое звено в длинной цепи так называемого «криптографического доверия», на которой базируется система доменных имен (DNS).

С помощью этой пары ключей пользователь,   пытающийся зайти на какой-либо сайт, направляется по верному адресу. Если бы ее не существовало, многие пользователи перенаправлялись бы на подконтрольные хакерам поддельные ресурсы. «ICANN намерена сделать все операции с ключами как можно более открытыми, поскольку это имеет большое значения для доверяющего ей сообщества», - заявил вице-президент по исследованиям ICANN Мэтт Ларсон (Matt Larson) в интервью журналистам Motherboard.    

DNS переводит удобные для запоминания человеком доменные имена в понятные компьютеру IP-адреса. Однако система была разработана без учета безопасности, поскольку создавалась во времена, когда «интернет был более дружественным местом», пояснил Ларсон. В результате злоумышленники стали использовать атаки DNS-spoofing (подмену DNS). Для решения проблемы многие домены используют набор расширений DNSSEC, позволяющий ключам шифрования определять надежность источника DNS-данных. В 2010 году DNSSEC был представлен в качестве защиты корневой зоны DNS.

Процесс аутентификации DNSSEC управляется целой иерархией ключей, и за каждый этап отвечает другая организация. Самую важную, корневую, зону контролирует ICANN. Каждая организация обладает собственным ключом для цифровой подписи. Как раз свою пару ключей для корневой зоны и намерена изменить ICANN впервые за все время.

По словам Ларсона, данный шаг продиктован правилами «криптографической гигиены». «Если бы у вас была эта пара ключей, вы могли бы создать собственную версию корневой зоны.

[…] Теоретически, кто-то мог уже взломать их, а мы об этом не знаем», - пояснил он.         

ICANN – международная некоммерческая организация, созданная в 1998 году при участии правительства США для регулирования вопросов, связанных с доменными именами, IP-адресами и другими аспектами функционирования интернета.

DNS-spoofing (DNS cache poisoning) – повреждение целостности данных в системе доменных имен путем заполнения кэша DNS-сервера данными, не исходящими от доверенного DNS-источника.