dxdt.ru: занимательный интернет-журнал

Готовим очередной выпуск журнала “Доменные имена” (как обычно, выход из печати запланирован на осень). По ходу подготовки удаётся пополнять список “фактов и объяснений”, которые затруднительно или “невозможно” опубликовать из-за особенностей редакционного процесса. Теперь, к “корневому домену“, добавлены ещё два объекта.

1. Пример уязвимости с инъекцией кода. Пример, понятное дело, содержит строку, которая начинается с буквы, содержит внутри кавычки (минимум одну) и не содержит “закрывающей” кавычки. Вот примерно так:

name”, request=”get”, value=”passwd

Проблема в том, что либо верстальщик, либо корректор – добавят “пропущенные” кавычки (и ещё могут поставить “ёлочки”).

2. Мощность пространства адресов IPv6 и число 2128. Как известно, с помощью 128 бит можно, в принципе, раздать 2¹²⁸ адресов. Проблема: показатель степени 128 многим представляется очень большим, поэтому, на том или ином этапе работы с текстом, число 2¹²⁸ превращается в 2128.

Всё ж lenta.ru не утратила хватки, и, как всегда, умеет лучше других СМИ сформулировать “объяснение” “сложных” вещей так, что мало не покажется. На этот раз про P vs NP и криптографию – замечательное:

В современных шифрах используется принцип больших чисел – передаваемая информация кодируется таким огромным количеством цифр (так называемый ключ), что на вскрытие этого кода злоумышленнику придется потратить столько времени, что эта задача потеряет всякий смысл.

(Шифры и “защита кредитных карт” вообще не при чём там, в исходной теме, но всё ж упомянули их – потому что, видимо, красиво звучит.)

Достаточно давно я писал, в том числе, на страницах dxdt.ru и рассказывал, что главный шаг на пути развёртывания DNSSEC, это массовое внедрение поддержки проверки подписей DNS на клиентские машины, а вовсе не подписывание корневой зоны. Понятно, что без подписи корня нет смысла продвигать DNSSEC на клиентов Интернета, потому что теряется возможность центрального контроля адресации в разросшейся Сети. Но важен как раз следующий шаг – новые резолверы на клиентских машинах (а не на серверах DNS), которые, например, не позволят интернет-провайдерам подмешивать всякую ерунду в DNS-ответы своим клиентам.

Собственно, теперь, когда зону успешно подписали, о втором шаге рассказывает уже ICANN: в официальном блоге пишут про предложенный Деном Камински (Dan Kaminsky) инструментарий, внедряющий поддержку DNSSEC на стороне браузера (например, упоминают “частную” версию Google Chrome, полностью поддерживающую DNSSEC) и почтового клиента. Собственно, это правильно.

До нового Интернета остались такие шаги (думаю, в таком порядке, как они перечислены дальше): DNSSEC на клиентах (года два на выполнение), строгое подписывание анонсов BGP и криптографическое удостоверение AS-ок (три-пять лет), переход подавляющей части трафика на IPv6 (пять-семь лет). А может даже и раньше.

Между прочим, камуфляжные рисунки на тканях, предназначенных для пошива военного обмундирования, тщательно исследуют. Исследуют ещё с тех пор, как впервые массово внедрили (во время Второй Мировой, хотя первые опыты были сильно раньше). Цели – понятны: определить, какой именно рисунок максимально скрывает бойца в том или ином пейзаже. Методы исследования включают, скажем, статистический анализ результатов наблюдений группами испытуемых: статиста одевают в различные “текстуры” и размещают на фоне пейзажа, на разном расстоянии от наблюдателей, “наблюдатели” же должны заметить статиста. Есть и другие исследовательские инструменты, вплоть до компьютерного анализа цифровых снимков “тестовых сцен”.

Камуфляжные рисунки по результатам исследований изменяют. В принципе, несложно проследить развитие, сравнивая полевую форму разных лет. Конечно, всё то же самое актуально и для техники (всех видов, не только наземной). Так что тема развивается. А поэтому понятно, что в будущем камуфляж останется, но будет другим. Интересно, каким именно?

Думаю, что тем, кто следит за темой, в голову первым делом приходит “плащ-невидимка”. Действительно, исследования в этом направлении ведутся. Есть уже заметное число открытых научных публикаций, рассказывающих, как можно с помощью специальных материалов добиться настоящей невидимости в том или ином диапазоне электромагнитных волн. Речь о технологиях, реализующих “огибание” прикрываемого оболочкой объекта электромагнитными волнами. Но, с другой стороны, создание практических тканей-невидимок, годных для полевого использования – дело далёкого будущего. (Хотя, опытные образцы таких тканей мы увидим уже в течение ближайших семи-девяти лет.)

В более близкой перспективе актуальны другие решения. Что это может быть? Например, динамический рисунок. “Электронные чернила”, потребляющие минимум энергии, уже есть. Их научились сопрягать с гибкими поверхностями. При использовании в качестве камуфляжа, нити, создающие рисунок, вплетаются (привариваются?) в ткань, а нужный рисунок выставляется вшитым микроконтроллером.

Камуфляжные текстуры редко обладают большим разнообразием цветов, чаще решение вообще практически “монохромное” (изменяется “насыщенность” одного, опорного, цвета). Геометрия рисунка – важнее. Поэтому, с цветопередачей как раз не должно возникнуть проблем (понятно, что непросто сделать электронные чернила на прочной ткани ещё и разноцветными). А вот геометрия рисунка на такой динамической ткани легко выставляется любая.

Рисунки находятся в памяти носимого компьютера. В простой реализации выбор узора производится либо на основе характеристик освещённости (видеокамеры, закрепляемые на касках, уже есть), либо на основе времени суток (часы в микроконтроллере), либо на основе местоположения бойца на карте (навигация работает), либо с учётом сразу всех этих параметров. Наверное, должен быть и ручной режим. Очевидное развитие, по мотивам живой природы, – динамический узор, конструируемый компьютером на основе наблюдения окружающей “текстуры”.

Такая ткань, в статусе опытного экземпляра, реализуема уже сейчас. Тем более, что в природе такие системы встречаются (кальмары, рыбы). В общем, ткань-хамелеон уже конструируют, нужно только реализовать сопряжение с системой управления.

Опять же, схема годится и для техники. Тут вместо ткани – специальная плёнка. На первый взгляд, задача с техникой проще, потому что не нужно делать гибкую ткань, постоянно работающую “под нагрузкой”. Но в реальности никакого упрощения нет: с техникой свои проблемы – нужно лучше следить за радиоэлектронной (а равно и ИК) заметностью, разные части имеют разную рабочую температуру и так далее.

Снижение заметности, кстати, это другая “камуфляжная” задача. Снижать ИК- и РЛ-заметность требуется и для пехотинцев, не только для техники. Активные элементы в ткани тут тоже помогут.

В комментариях к предыдущей записке информация из первых рук о процедуре хранения ключей и подписывания корня в DNSSEC. Рекомендую прочитать.

Всё ж сложно пройти мимо очередной “новости об Интернете”, распространяемой СМИ. Система “слышали звон, но не знают, где он” настолько хорошо отлажена, что моментально порождает занимательные эффекты. Речь о “шести (семи) экспертах-программистах, которых уполномочили перезагрузить Интернет, если он сломается” – сейчас уже все крупные СМИ широкого назначения отписались об этом. Следом идут “специальные” СМИ, журналисты которых смогли найти ключевое слово – DNSSEC (но до основы, конечно, не докопали). В качестве первоисточника называют “Би-би-си”.

Было несложно догадаться, что источником смешной новости послужила информация о том, каким образом происходит генерация и сопровождение ключей в глобальной DNSSEC. Нужно, правда, внести коррективы. Если поверить не “Би-би-си”, а настоящему первоисточнику – ICANN, – то получится, что:

1) Команда экспертов, выступающих представителями интернет-сообщества, включает в себя 21 человека в “основном составе”, плюс 13 человек – “скамейка запасных”. Назначение команды – обеспечивать процесс генерации и сопровождения ключей, подписывающих корневую зону DNS, выступая, фактически, в роли доверенных контролёров;

2) По группам внутри этой команды: есть две группы по семь человек, каждая закреплена за одним из двух дата-центров, в которых генерируют составляющие ключа KSK и используют его для подписания других ключей; люди из этих групп хранят ключи, необходимые для получения паролей от криптосервера. Интересно, что, как пишут в документации, тут речь о “физических” ключах от сейфа, в котором находятся пароли к криптосерверу (нужно будет спросить, что там за ключи на самом деле).

Третья группа хранит смарткарты, с частями ключа, позволяющего расшифровать резервную копию секретного KSK, в случае, если вдруг основная копия, находящаяся в криптосервере, исчезнет.

В резерве – семь человек с ключами “от криптосервера” (условно) и шесть – с частями ключами от резервной копии.

3) По ключам. Используют KSK и ZSK. С помощью KSK подписывают ZSK, которым подписывается корневая зона. ZSK генерирует VeriSign, потому что эта компания технически отвечает за распространение корневой зоны DNS. По процедуре, новые ZSK выкатываются четырежды в год. Каждый новый ZSK должен быть подписан защищённым криптосервером, в котором содержится секретная часть KSK. То есть, четыре раза в год эксперты с ключами “от криптосервера” (см. выше) приезжают в дата-центр и “отпирают” криптосервер, тем самым разрешая подписать новый ZSK. Те доверенные люди, которые хранят смарт-карты с частями ключа, которым зашифрована резервная копия KSK – выезжают “на восстановление” не по графику, а только если основная копия утрачена. (Видимо, только этот момент, благодаря его драматургии, и привлёк журналистов.)

Понятно, что если действовать по процедуре, без держателей ключей “от криптосервера” подписать зону восстановленным из резервной копии KSK не получится. Более того, по существующей процедуре не получится вообще что-либо сделать с корневой зоной без участия VeriSign и Минторга США – какими ключами не размахивай. Очевидно, что утрата секретного ключа KSK не приведёт одномоментно к отключению DNS и краху DNSSEC. До момента истечения срока действия текущего ZSK даже изменения в зону можно будет вносить. Подписать новый ZSK утраченным KSK – да, не выйдет.

Ну а самое интересное, что в крайнем случае никто не помешает просто сгенерировать новый KSK силами ICANN, Минторга и VeriSign, как это уже было сделано при развёртывании DNSSEC.

Удивительно, но забывают, что самым прямым прообразом современного Интернета, как сети связи, является телеграф (электрический), который придумали в начале 19 века. Посудите сами: для телеграфной связи использовалась сеть, в которой применялась развитая система адресации узлов; узлы телеграфной сети могут и принимать, и передавать сообщения; впервые именно телеграфная сеть стала глобальной (межконтинентальной). Но это далеко не всё.

В телеграфной связи с 19 века тексты кодируются/декодируются в автоматическом режиме. Уже в первых применявшихся телеграфных аппаратах использовался “протокол обмена данными” (если это решение так можно назвать), включавший отправку запроса на установление сенса связи (электрический звонок) и ответ на запрос, а также порядок завершения сеанса. Сравните с TCP. (Были и аналоги UDP, конечно.) Впервые именно в телеграфной связи применили технологию передачи нескольких сообщений по одному каналу и использовали перфокарты в качестве носителя передаваемого сообщения. Ну а уж про то, что именно на телеграфных линиях связи выросла вся современная теория кодирования – и напоминать-то, наверное, не нужно (а, в том числе, и двоичное кодирование символов использовали ведь).

Так что ультрасовременное “кибрепространство” выросло из “древнего” телеграфа. Который, впрочем, с появлением Интернета приказал долго жить. Жалко.

Ещё раз посмотрим на развитие Интернета. Принято считать, что различные правила, ограничивающие те или иные действия отдельных пользователей, направлены на благо основной массы этих пользователей. Формулировка такая: правила ограждают добросовестных пользователей от разгула нехороших соседей по Сети. Да, очевидно, что большинство ограничивающих правил создаёт некоторые неудобства всем, в том числе, добропорядочным пользователеям, но нужно потерпеть, для общего блага. Это всё известные “общие слова и банальности”. На практике куда важнее другой момент: минимальная ошибка в подборе ограничений приводит к тому, что у добросовестных пользователей возникают большие неудобства, а продвинутым злоумышленникам – ограничения отлично играют на руку.

Посмотрим на свежие, постоянно изменяющиеся правила регистрации доменов .РФ – это неплохой пример. В правилах заложены серьёзные ограничения, которые сейчас не позволяют обычному интернет-пользователю, желающему поддержать вяло набирающую обороты кириллическую доменную зону, просто пойти и зарегистрировать домен .РФ для своего проекта в русскоязыном Интернете.

Действительно, для получения домена требуется либо владеть торговой маркой (нужно юр.лицо или статус ИП), либо фирменным наименованием (опять нужно являться юр.лицом), либо уметь предъявить ещё какие-то бумаги. Ограничения, как многократно объясняли пользователям, введены для того, чтобы в первые же часы открытия новой зоны все вкусные домены не улетели в руки к неким злобным киберсквоттерам, а, напротив, достались достойным жителям Интернет-действительности.

В принципе, идея вроде бы верная, позволяет избежать конфликтов. Но в случае с доменом .РФ допустили совсем маленькую “заковыку”. Вернее, несколько однотипных небольших “заковык”. Так, сперва вкусные имена оказались у проворных предпринимателей, заметивших, что правила, требующие предъявить торговую марку (ТМ), не вводят ограничений на дату регистрации этой марки. Естественно, тут же были оперативно зарегистрированы нужные ТМ и взяты домены. Рядовые пользователи, “защищённые” правилами, сидели в стороне и наблюдали за дележкой новой зоны, изредка возмущённо вскрикивая. Некоторые, возможно, облизывались на домены, но ресурсов для регистрации торговой марки у них, так или иначе, не было.

История повторилась буквально через несколько месяцев. Только теперь вместо торговых марок регистрировались “под домен” СМИ, так как на новом этапе приоритет получали “названия средств массовой информации”, опять без “срока давности” и каких бы то ни было дополнительных ограничений. Схема с регистрацией СМИ для получения домена – “по зубам” только опытным охотникам. Рядовые пользователи опять прогуливались “под защитой” правил: для них домены в новой зоне всё ещё недоступны.

На первый взгляд кажется, что в случае со СМИ защита всё ж сработала лучше. Оказавшись под завалами из заявок на регистрацию СМИ со странными названиями, сплошь оканчивающимися на “.РФ”, ситуацией заинтересовался Роскомнадзор (между прочим, очень, что называется, в тему – домены-то ресурс ограниченный, напоминающий радиочастоты). Реакцией на уведомления из Роскомнадзора стала внезапная корректировка правил, случившаяся буквально за сутки до запланированного начала очередного этапа приоритетной регистрации. Установили минимальный “возраст” свидетельства о регистрации, “отрезав” новые СМИ, получившие регистрацию до 12 мая 2010 года. Отрезали все СМИ разом, без разбора.

Более того, в рамках возникшего внутреннего конфликта, реестр домена .РФ вообще неожиданно закрыли (как пишут, на десять дней), прекратив приём всех без исключения регистраций. То есть, даже, например, добросовестные владельцы торговых марок не могут свои новые домены зарегистрировать и начать использовать.

Несложно догадаться, что и добросовестные СМИ, зарегистрированные после 11 мая, не смогут по таким правилам получить приоритет. Почему? Потому что правила внезапно “защитили” их интересы от массовых киберсквоттерских регистраций. Что же делают сквоттеры? Наиболее опытные из них заранее просчитали ситуацию и подготовили не СМИ, а фирменные наименования и названия общественных организаций. Для этих категорий пока что ограничений по дате регистрации нет. Авторы изменений в правилах ещё не сделали снужных обобщений и внесли изменения лишь в части приоритетов СМИ, не затронув другие приоритеты.

(Кстати, редакции некоторых СМИ, проходящих сейчас по тем или иным законным причинам перерегистрацию, уже опасаются, что не смогут получить домен .РФ, потому что в новом свидетельстве будет дата позже 11 мая 2010 года.)

Действительно, показательная история. Получилось (да, уже получилось – исторический факт), что правила домена РФ, сработали вовсе не как барьер для киберсквоттеров, а лишь как фильтр, пропустивший к вкусным доменам самых опытных сквоттеров, которые хорошо “сидят в теме”. При этом фильтр удачно избавил опытных игроков от возможной конкуренции с более многочисленными, но менее опытными коллегами по цеху захвата доменов. А рядовые пользователи – они строго “пролетают мимо”. С непродуманными ограничениями так всегда и выходит.

Такие дела. Посмотрим, как теперь ситуация повернётся дальше.

В ночь с 15 на 16 июля корневую зону DNS подписали настоящим ключом и опубликовали открытые ключи для проверки подписей DNSSEC. Таким образом, Минторг США, компания VeriSign и ICANN завершили развёртывание DNSSEC в корневой зоне. Собственно, теперь DNSSEC можно использовать в глобальной DNS. Ключи каждый может взять на сайте IANA.

Теперь поддержку DNSSEC начнут массово вводить в доменах первого уровня.

Напомню, что следующие шаги на пути к новому Интернету – внедрение IPv6 и модернизация принципов маршрутизации (через внедрение криптографических механизмов).