Из-за коронавируса IANA впервые в истории изменила процедуру подписания ключей KSK

Второй раз подряд Администрация адресного пространства Интернет (Internet Assigned Numbers Authority, IANA) испытывает трудности с проведением церемонии подписания ключей корневой зоны (KSK). Если в прошлый раз причиной проблемы оказался физический сейф, где хранились необходимые для церемонии материалы, то сейчас на пути IANA встал коронавирус.

Раз в квартал небольшая группа избранных представителей интернет-сообщества собирается в закрытом защищенном помещении в Калифорнии или Вирджинии и занимается подписью пары криптографических ключей для обеспечения безопасности корневой зоны интернета. Процесс подписания весьма сложный, и принять участие в нем могут только доверенные лица.

В подписании ключей KSK участвуют 14 человек со всего мира. У каждого из них есть пара физических ключей, позволяющих извлечь из сейфов IANA нужное для церемонии оборудование. Пройдя аутентификацию по отпечаткам пальцев и сетчатке глаза, участники подписания открывают своими ключам сейфы и достают электронные ключ-карты, активирующие специальное изолированное устройство – аппаратный модуль безопасности, подписывающий ключи KSK на следующие три месяца. Каждое действие тщательно документируется, и никто из участников не может войти или выйти из закрытого помещения, пока все не будет сделано.

Следующая церемония подписания назначена на 23 апреля нынешнего года. Однако введенные в связи с пандемией COVID-19 карантинные меры существенно усложняют ее проведение. Во-первых, из-за закрытия границ и ограниченного сообщения участникам из разных уголков мира сложно добраться в Вирджинию (40-я церемония проходила в Калифорнии, теперь очередь Вирджинии). Во-вторых, даже если им удастся добраться до защищенного объекта, как соблюдать безопасную дистанцию, чтобы обезопасить себя от возможного заражения?

В прошлый раз впервые за 10 лет церемония подписания ключей была отложена на несколько дней из-за того, что в одном из сейфов заклинил замок. IANA пришлось нанимать слесаря, который в течение 20 часов сверлил защищенную сталь. Сотрудники регулятора были вынуждены посменно нести вахту, чтобы следить за процессом.

Как сообщает The Register, на этот раз IANA приняла решение подписать ключи не на три, а на девять месяцев, поскольку неизвестно, когда в следующий раз появится возможность провести церемонию по всем правилам. 41-я церемония состоится не в Вирджинии, как было запланировано, а в Калифорнии, где находятся сотрудники IANA. Было также принято решение не приглашать 14 человек с физическими ключами, а получить ключи от них по почте (ключи будут пересылаться в защищенной сумке по безопасной почте). Рассматривался также вариант со вскрытием сейфов слесарными инструментами, но февральский эпизод уже показал всю сложность этого метода, поэтому от него пришлось отказаться.

После завершения церемонии подписания ключи точно так же будут отправлены назад своим хранителям в Испании, России, Танзании, США, Уругвае и на Маврикии. Хранители ключей и независимый наблюдатель будут следить за процессом подписания через YouTube-трансляцию и комментировать его в чате. Участвующие в церемонии сотрудники IANA будут одеты в защитные костюмы. Для того чтобы доставить их на защищенный объект, где будет проводиться церемония, администрация получила разрешение от соответствующих органов.