Крупнейший мировой доменный регистратор компания Verisign обещает
полностью защитить большинство доменных зон от различного рода
интернет-мошенников уже в течение ближайших пары лет. Компания,
отвечающая за функционирование доменных зон .com и .net, предлагает
реализовать обязательную поддержку доменной технологии DNS Security
Extensions (DNSsec) в масштабах всех крупнейших международных доменных
зон, таких как com, net, org, biz.
По мнению инженеров компании, обязательная реализация DNSsec
существенно усилит общую безопасность интернет-инфраструктуры, поможет
защититься от многих типов интернет-атак, связанных с переадресацией
пользователей на злонамеренные сайты и в целом позитивно скажется на
сетевой безопасности. В Verisign говорят, что были одними их тех, кто
еще в ранних 90-х создавал технологию защищенного DNS и с тех пор
DNSsec обрел необходимую надежность и зрелость.
"Успешное развертывание DNSsec должно вовлечь всю
интернет-инфраструктуру - от регистраторов, до программистов и
пользователей. Защита доменной системы критически важна для
современного мира, следует подойти к этому вопросу с максимальной
серьезностью", - полагает Кен Силва, технический директор Verisign.
По предварительным данным, полноценная поддержка DNSsec в зонах com и net должна быть реализована в первом квартале 2011 года.
В рамках DNSSEC происходит расширение системы DNS за счет добавления к
ней механизмов проверки подлинности данных с помощью цифровой
(электронной) подписи. DNSSEC можно разворачивать постепенно,
пристраивая к существующей системе доменных имён. В некоторых доменах
верхнего уровня DNSSEC уже запущена (например, SE, BG). Однако корневые
серверы глобальной DNS пока не защищены с помощью новой технологии.
Основная особенность разработки заключается в удостоверении данных с
помощью цифровой подписи, основанное на криптографии с открытым ключом.
Цифровая подпись прикрепляется к адресной информации, размещённой на
сервере DNS. С цифровой подписью связаны два ключа: открытый и
секретный. Открытый ключ позволяет только проверить достоверность
подписи, а для генерации новой подписи (подписывания адресных данных)
потребуется знание секретного ключа. Создать за разумное время валидную
цифровую подпись, зная только открытый ключ и обладая ограниченными
вычислительными ресурсами, практически невозможно, при нынешнем уровне
развития математики.
Цифровая подпись может быть представлена в виде набора байтов,
распространяемого вместе с адресной информацией из DNS. При этом
конкретная цифровая подпись зависит от подписанных ей данных, то есть
подпись нельзя просто скопировать, "отрезав" от одного набора данных и
"приклеив" к другому, - подлог будет обнаружен с очень большой
вероятностью.
|
