Американцы опять подобрали ключ к Интернету

Всемирная сеть официально «вышла из-под контроля США» и должна была стать «в равной степени управляемой» всеми странами международного сообщества. Но не стала…

Прошел ровно месяц с тех пор, как Интернет официально «вышел из-под контроля США» и стал в равной степени «управляемым» всеми странами международного сообщества. Об этом официально заявили представители ICAAN (Интернет-корпорация по присвоению имен и номеров), курирующей доменное пространство Сети. Но уже через неделю после эпохального заявления выяснилось, что единый ключ от Интернета опять находится в руках американцев…

30 сентября 2009 года во Всемирной сети произошло эпохальное событие: истек срок соглашения между некоммерческой организацией ICANN и администрацией США в лице Министерства торговли. Контроль за деятельностью ICANN теперь будет осуществлять Правительственный консультативный комитет (Governmental Advisory Committee, GAC), в котором представлено более чем 80 стран мира, по принципу одна страна — одно место, причем решения принимаются не большинством, а консенсусом. Впервые за всю историю Всемирной сети можно формально утверждать, что США потеряли «контроль над Интернетом». Однако уже через неделю ICANN заявила о внедрении новой технологии, которая, по мнению ряда экспертов, вновь отдает «контроль над Всемирной сетью» в руки американцам.

Созданный в рамках оборонных исследований (кстати, вчера, 29 октября, исполнилось 40 лет со дня передачи первого байта по сети ARPANET, прообраза Интернета), Интернет всегда оставался под формальным контролем правительства США. Более десяти лет назад, в 1998 году, американцы предприняли шаги в сторону либерализации этого контроля, создав ICANN — формально независимую корпорацию, с интернациональным составом участников (так, последние годы ею руководил австралиец Пол Туми). Правда, она должна была предоставлять на утверждение ежегодные отчеты в NTIA — Национальное управление по телекоммуникациям и информационным технологиям Министерства торговли США.

Тут надо отметить, что сам по себе Интернет не управляется никем, это открытая саморазвивающаяся система, изначально спроектированная так, чтобы ни добавление, ни удаление отдельных ее узлов никак не повлияло на работоспособность оставшейся части. Элементы централизации в нее привнес переход на систему доменных имен (Domain Name System — DNS), в которой «понятные» компьютеру числовые адреса узлов были заменены на легко читаемые и запоминающиеся доменные имена — всем теперь известные, например, kremlin.ru или google.com.

А за системой доменных имен надо следить — их кто-то должен распределять, утверждать, заниматься разрешением споров... Именно эту функцию и взяла на себя ICANN, де-факто став некоей «головной конторой» Интернета. В ее ведении находятся доменные имена первого уровня (те, что стоят после точки в конце адреса). Они делятся на двухбуквенные национальные домены (все эти .RU, .UA, .UK и пр.), домены общего назначения (.COM, .ORG, .NET и др.) и т.н. спонсированные домены (например, .museum). При этом политические вопросы вроде «заслуживает ли Тайвань отдельного домена?» (или вот недавно Абхазия с Осетией подали заявку на отдельные от Грузии домены первого уровня) ICANN решать отказывается, адресуя всех к ISO 3166 — международному стандарту, содержащему перечень двухбуквенных кодов стран.

Технически системой доменных имен в Интернете распоряжается другая некоммерческая организация, IANA (Internet Assigned Numbers Authority, что можно перевести как «Центр по присвоению номеров Интернет»), которая, отметим, до 2011 года действует в рамках соглашения с тем же правительством США, утверждающим все ее решения. В ее ведении находится прием заявок на внесение изменений в структуру доменов первого уровня (в первую очередь — поступающих от ICANN). Кроме ICANN и IANA доменами верхнего уровня занимаются также компании и организации, следящие за т.н. корневыми серверами, хранящими всю информацию о доменах верхнего уровня. Например, американская корпорация VeriSign в числе прочих обязанностей ответственна за непосредственное внесение изменений в записи на корневых серверах, которые она осуществляет после утверждения решений IANA в Министерстве торговли США.

Корневые серверы хорошо защищены — хакерская атака 21 октября 2002 года, на один час выведшая из строя семь корневых серверов из тринадцати, не сказалась на функционировании Сети, а после этого система была еще заметно усовершенствована. Физически эти корневые серверы в количестве 13 штук распределены по 166 компьютерам (цифра на начало этого года — число их все время растет), размещенным на территории различных государств. Две штуки есть в том числе и в России.

Вот такое сложное хозяйство (которое на самом деле еще намного сложнее — здесь дан лишь схематический набросок) ныне, как утверждается, будет подчиняться международному сообществу. В Правительственном консультативном комитете США получили одно место наравне с другими странами. Однако всего лишь через неделю после опубликования «декларации независимости» ICANN выпустила другое заявление, в некотором роде перевернувшее ситуацию с ног на голову. Организация объявила о внедрении, начиная с 1 июля 2010 года, т.н. технологии DNSSEC (от слова security — безопасность). Разговоры о ней ходят давно, и частично Интернет уже охвачен этой технологией. Необходимость такой модернизации системы обусловлена в первую очередь защитой от «фишеров» — преступников, перенаправляющих пользователей на поддельные сайты банков и других финансовых контор. В нашей стране с ее исчезающе малым процентом жителей, пользующихся услугами интернет-банкинга, опасность этого вида преступлений кажется преувеличенной. Но в США электронные «кражи личности», к числу которых относится и деятельность «фишеров», по некоторым подсчетам, давно вышли на первое место среди всех преступлений вообще.

Сейчас компьютер, посылающий серверу DNS запрос на получение реального числового адреса по отправленному символьному имени, никак не может проверить правильность ответа. В результате злоумышленник может подставить свой адрес, ведущий на поддельный сайт. Технология DNSSEC делает такую операцию невозможной: каждый ответ сервера в ней подписывается криптографическим ключом.

Все здорово, вот только сами по себе ключи, которыми теперь будет подписана каждая зона, требуют удостоверяющего центра. И удостоверяться они будут в некоем едином центре: проще говоря, мы приходим к существованию единого ключа (без кавычек!) от всего Интернета.

Заметим, что, кроме всего прочего, это идет полностью вразрез с идеологией создателей Всемирной сети, которые сорок лет назад спроектировали ее так, чтобы при выходе из строя отдельных узлов не нарушалась работа Сети в целом. А теперь, получается, достаточно ударить в некий центр и Интернет развалится на слабо связанные между собой куски. Это теоретически. А на практике единый ключ, конечно, будут хранить на специальном защищенном всеми возможными средствами сервере, вот только кто им будет распоряжаться?

Оказывается, хранителем единого ключа будут выступать ICANN и коммерческая (!) корпорация VeriSign, причем первая выступит в роли конечной инстанции, удостоверяя рабочий ключ последней — он будет часто меняться, во избежание подбора злоумышленниками. Внедрение технологии будет происходить при активном участии все того же Министерства торговли США в лице NTIA. Такое положение выводит ситуацию за рамки конспирологических измышлений в стиле «управляют ли США Интернетом?»: у Сети появляется вполне реальный «хозяин». Я обратился за разъяснениями к Вени МАРКОВСКИ, представителю ICANN в России, странах СНГ и Восточной Европы, который постарался меня успокоить.

— Вени, ICANN стала юридически независимой от правительства США. Тем не менее организация IANA, ведающая техническими вопросами поддержки структуры DNS, до 2011 года работает в рамках соглашения с американским правительством. Т.е. IANA не подчиняется ICANN?

— Да, IANA будет продолжать работать по этому соглашению. Но Минторг в лице Управления по телекоммуникациям ничего не санкционирует, он только подтверждает те решения, что принимает эта организация. Кроме этого подтверждения Управление по телекоммуникациям не занимается оперативной работой. В условиях о функционировании организации IANA записано, что каждая перемена в ее деятельности должна быть согласована между Минторгом и ICANN.

— С введением DNSSEC связываются опасения попадания Интернета в еще большую зависимость от США, чем это было ранее: ведь корневые ключи будут в руках американской компании VeriSign. Прокомментируй, пожалуйста.

— В России в апреле с.г. мы провели встречу с участием Сюзен Вольф из корпорации ISC*, и российские специалисты по DNSSEC остались удовлетворены ее ответами. С чисто практической точки зрения никаких изменений нет — ситуация такая, какая она есть и сейчас. Работа системы DNSSEC позволит каждому убедиться в том, что DNS-данные не изменены нигде по пути от источника (корневого сервера зоны) до приемника (обычно это интернет-оператор). Нет никакого дополнительного вмешательства со стороны США в этот процесс. Правительство продолжает наблюдать только за изменениями в корневой зоне. Из публичных заявлений представителей правительства известно, что это наблюдение состоит только в том, что они должны убедиться в правильности соблюдения процедур со стороны ICANN. Сами процедуры документированы.

Процедуры использования ключей достаточно публичны, и нет возможности использовать ключи как-то незаметно.

Справедливости ради надо сказать, что администрация США ни разу не злоупотребила возможностью «порулить Интернетом». Министерство торговли лишь утверждало отчеты ICANN, практически не вмешиваясь в ее работу: по сути, США всегда лишь следили за тем, чтобы ICANN и прочие участники процесса не отлынивали от своих обязанностей и не попали под какое-то влияние со стороны.

Только (можете уже меня обвинить в конспирологических измышлениях) на месте представителей американского Агентства национальной безопасности я лично не пропустил бы такую историю мимо своего внимания. Слишком заманчива возможность получить в свое распоряжение средство, позволяющее хотя бы в теории отключить Интернет локально в каком-то регионе мира. Подобно тому, как это можно сейчас сделать для навигационной системы GPS.

* Internet Systems Consortium — некоммерческая организация, занимающаяся среди других администрированием серверов корневой зоны.