Русскоязычное новостное пространство переполнено сообщениями о международном «братстве ключа», состоящем из шести человек, которые в случае глобальной катастрофы должны будут «перезапустить интернет». Число 6 взялось, судя по всему, из сообщения ИТАР-ТАСС, ссылающегося, в свою очередь, на BBC. Именно оттуда имя одного из «хранителей», Пола Кейна (Paul Kane), перекочевало в наши СМИ. Правда, в этом сообщении говорится про семерых «хранителей».
Но, в общем, картинка нарисовалась в лучших традициях фантастических боевиков: если интернет вдруг выйдет из строя из-за техногенной катастрофы или террористической атаки, героическое международное «братство ключа» совместными усилиями его «перезапустит», и силы добра восторжествуют.
На самом деле, при всей небезупречной надежности международной сети, конечно же, «перезапустить интернет» – равно как и «отключить» его – невозможно. У интернета нет ни какого-то единого центра, ни «главного рубильника» – именно благодаря этому он и сумел из американской военной разработки превратиться во всемирное информационное пространство. Ведь, существуй такой «рубильник», ни одно государство не рискнуло бы его внедрять в своих учреждениях, зная, что этот «рубильник» может оказаться в руках потенциального врага. Да и частные компании поостереглись бы иметь дело с инфраструктурой, управление которой находится в руках конкурирующей корпорации.
Интернет построен по феодальному принципу, и каждый феодал, владеющий собственной IP-сетью, – например, интернет-провайдер, – управляет ею и отвечает за все, что на его территории происходит. Чтобы «погасить интернет», необходимо, чтобы одновременно отключились тысячи провайдеров и владельцев некоммерческих сетей по всему миру, а это – ситуация совершенно несбыточная. Выход из строя важного межконтинентального кабеля или отключение точки обмена трафиком может, разумеется, затруднить связь с внешним миром даже сразу в нескольких странах, но во всемирном масштабе эта потеря будет весьма скромной, а сам по себе интернет никуда не денется.
Однако у интернета, каким мы его привыкли видеть, существует один довольно уязвимый элемент – это система Domain Name Servers (DNS). Маршрутизаторы, передающие информационные пакеты от отправителя к получателю, оперируют, в отличие от простых пользователей (для которых придуманы имена вроде www.slon.ru), численными IP-адресами: например, 89.108.110.68. На заре интернета, когда сеть была еще небольшой, «адресный справочник», транслирующий доменные имена в численные IP-адреса, хранился в специальном файле на каждом компьютере, подключенном к Сети. Однако в наше время, когда сайты в огромных количествах появляются, исчезают и переезжают ежедневно, такой файл оказался бы неподъемно большим и устарел бы уже в момент своего создания, так что роль справочной службы возложена на систему специальных DNS-серверов.
Разумеется, когда эту систему создавали, об удобстве и функциональности думали куда больше, чем о возможности разного рода злоупотреблений и вандализма. В результате, по количеству разного рода инцидентов DNS-сервера намного обгоняют любые другие элементы интернет-инфраструктуры. Например, одно время среди провайдеров было модно бороться с неуплатой со стороны владельцев хостящихся у них сайтов, перенаправляя пользователей вместо сайта-должника на какой-нибудь порноресурс (да и в политических целях эта методика временами применяется). Давно описаны и довольно несложные технологии кибератак, использующих поддельные ответы DNS-серверов. Наконец, сама всемирная система серверов имен – точнее, ее корневые сервера, от работоспособности которых зависит работа и всех остальных, – не раз подвергалась атакам: неизвестные злоумышленники пытались вывести их из строя большим количеством ложных запросов.
Понятно, что вечно так продолжаться не могло, и сейчас идет обновление технологии. Уязвимая система DNS постепенно будет заменена на более защищенную DNSSEC, в которой важная информация защищается криптографическим ключом. Когда это произойдет, злонамеренная подмена IP-адреса станет делом куда более затруднительным, если вообще возможным. С 15 июля заработала доверенная корневая зона, а к генерации, подписанию и хранению ключей еще в апреле ICANN было решено привлечь независимых специалистов.
Семь человек, о которых идет речь (кстати, имена всех их известны), менее всего похожи на хранителей «красной кнопки». И будь они незаменимыми спасителями человечества, вряд ли их имена были бы опубликованы: слишком лакомую мишень для террористов они бы собой представляли, да и «отключить интернет» или хотя бы только систему DNSSEC – тоже не в их силах. Ее разрабатывали отнюдь не дураки, а по роли эта «великолепная семерка» больше похожа на лорда-хранителя королевской печати. В ее задачи входит всего лишь восстановление криптоключа корневой зоны, если он по какой-либо причине будет утрачен в будущем (событие по вероятности где-то близкое к глобальной ядерной войне): для этого пятерым из них надо будет встретиться в одном месте.
А что же случится, если криптоключ все же будет утрачен, а восстановить его не удастся? Уверяю: ничего смертельного. Будет сгенерирован новый криптоключ, и система заработает снова. Просто особенности технологии таковы, что собрать пять человек в одном месте – намного быстрее и дешевле, чем раскочегаривать всю систему заново: когда на DNSSEC перейдет большинство доменных зон, это потребует действий огромного количества людей, работающих во множестве компаний. Но конца света, определенно, не предвидится.