Ключі до Всесвітньої мережі інтернету — що це та хто ними володіє

У світі існує сім фізичних ключів, які контролюють безпеку глобальної інтернет-мережі. Вони належать спеціальній групі людей, яка за потреби може перезавантажити Всесвітню павутину. Що це за ключі, хто ці люди та чому їх так захищають — розібрали у статті.

Що таке 7 ключів інтернету

7 ключів Інтернету — частина всесвітньої системи безпеки. Її запровадила Інтернет-корпорація з присвоєння імен і номерів ICANN, яка відповідає за стабільність роботи мережі у світі. Ця система гарантує, що коренева зона системи доменних імен DNS — глобальний каталог, який спрямовує користувачів Інтернету до місць призначення — залишається безпечною та вільною від зловмисних змін. І знаходяться ці ключі в руках сімох людей — так званих “хранителів інтернету”.

Церемонія підпису ключа

З 2010 року “хранителі” збираються разом, щоб виконати key ceremony — церемонію підпису ключа, на якій вони сертифікуються та оновлюються. Церемонії проводяться у США з суворими заходами безпеки.

ICANN розробила метод, який не дає надто багато контролю в руки однієї людини. Вона обрала сім людей для зберігання ключів та ще сім — для охорони. Всього 14 хранителів. Для проходження церемонії має бути не менше трьох представників. Оскільки для розблокування пристрою, що захищає DNS, потрібна саме така кількість. Щоб дістатися до головного ключа, потрібно більше ключів.

Де зберігаються ключі

Ключі зберігаються у двох захищених центрах. Один розміщений в Лос-Анджелесі, інший — у місті Кулпепер (Вірджинія). Ці центри є точними копіями один одного.

Кожен із них має спеціальні приміщення для проведення церемоній, де зберігається ключ для підпису. Сам ключ — це комп’ютерний файл, який знаходиться в спеціальному пристрої — програмно-апаратному криптографічному модулі (HSM). Цей пристрій розроблений для захисту ключа та схожий на комп'ютерні жорсткі диски, тільки з додатковими рівнями безпеки.

Доступ до центру контролюється рівнями фізичної безпеки. Усі ключі зберігаються в пакетах з індикацією несанкціонованого розкриття. Будь-які дії з ними фіксуються відеозаписом. Пакети зберігаються в сейфах, ті — в спеціальних клітках, а клітки — у захищеному приміщенні для проведення церемоній.

Насправді ключів більше ніж 7

В церемонії підписання ключів бере участь 50 різних експертів. 21 з них відбирається зі складу всесвітньої інтернет-спільноти, яких надалі ділять на 3 групи по 7 осіб. Кожна група виконує окрему роль. Через те, що для проведення церемонії обов'язкова присутність представників цих трьох груп, схему спрощують, і кажуть, що існує 7 ключів до інтернету або 7 осіб, що його контролюють. Проте насправді їх більше.

Як захищають інтернет-ключі

Якби хтось отримав контроль над базою даних ICANN, він контролював би частину Інтернету. Проте це не створило б глобальну катастрофу для інтернет-мережі. Ось чому.

Ключі не працюють окремо. Кожен із семи ключів є частиною складної системи безпеки DNSSEC (Domain Name System Security Extensions). Навіть якщо зловмисник отримає один або кілька ключів, йому потрібна більша частина або всі ключі, щоб завдати серйозної шкоди.

Високий рівень резервування. Для того, щоб зламати DNS, зловмисникам доведеться провести складну операцію: отримати доступ до серверів, використати ключі та зламати додаткові рівні шифрування. Це дуже складно, адже кожен ключ працює лише у визначеній процедурі.

У найгіршому сценарії зловмисники можуть тимчасово порушити роботу DNS або перенаправляти трафік на фейкові вебсайти. Також вони можуть створити хаос, наприклад, зробивши деякі вебсайти "невидимими", порушуючи систему доменних імен.

Проте ICANN також розробила систему захисту від катастрофи. Є план дій на випадок, якщо ключі зникнуть або будуть скомпрометовані. Такі ситуації передбачені, і процедура "перезавантаження" DNS дозволить швидко відновити контроль за системою, навіть якщо частина ключів буде викрадена.

Тож, хоча теоретично це дуже небезпечно, на практиці у шахраїв мало шансів.