Новость о том, что сформированные группы, ответственные за подписывание корневой зоны DNS (системы, ответственной за сопоставление привычных нам доменных имен сайтов их реальным IP-адресам) согласно набору спецификаций DNSSEC, вторглась в общественное сознание как известие о том, что набрали команду из шести (в других источниках - семи) человек, которые должны в случае неисправности «перезагрузить Интернет». Вдруг повиснет.
Так выглядит Интернет в представлении героев сериала The IT Crowd
На самом деле ни шесть, ни семь «программистов» Интернет перезагружать не собираются. Краткая суть прошедших событий в доступном неспециалисту изложении весьма проста. Есть серверы, на которых хранится информация, благодаря которой, набрав в адресной строке «ruformator.ru», читатели попадают на сайт издания об информационных технологиях, а не на ресурс заводчиков кошек. Эти серверы образуют систему DNS. У DNS есть так называемые «корневые» серверы - записанная на них информация является ключевой для функционирования DNS.
Вводимая сейчас система DNSSEC заключается в своеобразном криптографическом «подписывании» всех изменений, вносимых в данные на DNS-серверах. Ключ, которым подписывается корневая зона DNS, также подлежит криптозащите при каждой его замене (а меняют его раз в квартал). Защищают его другим ключом. Этот ключ генерируется, когда необходимо. Итого, расклад таков: 14 человек имеют физические ключи от сейфов, в которых хранятся элементы паролей от серверов. Эти серверы генерируют первый ключ. Еще 7 имеют карты, позволяющие расшифровать сгенерированный ключ в случае утери. Кроме того, есть и «запасные» - семеро с ключами от сейфов и шестеро с картами.
При всей сложности, все эти меры безопасности ничего не гарантируют. Если понадобится, частная компания Verisign, ответственная за обслуживание всех этих ключей, всегда может просто сгенерировать новый набор. Сама. Не привлекая для этого никаких великолепных семерок.
