Krátké vlny: Jak nerozbít internet

Příští rok je rokem voleb do Evropského parlamentu a rokem ustanovování nové Evropské komise. Různá zájmová sdružení a asociace firem, které ví, jakým způsobem vzniká legislativa v EU, připravují své „wish listy“ a poziční dokumenty, které mají současným ale hlavně budoucím zákonodárcům představit priority pro další období, nebo základní fungování a principy daného sektoru. Nevyhýbá se to ani digitální a internetové komunitě. EuroISPA, celoevropské sdružení evropských asociací poskytovatelů internetových služeb, zveřejnilo Manifest pro volby do Evropského parlamentu v roce 2024. V tomto manifestu žádá asociace evropské zákonodárce, aby se zavázali ke společnému provádění opatření, které budou směřovat k:

  • plně funkčnímu vnitřnímu trhu,
  • dlouhodobé vizi ochrany soukromí v online prostředí,
  • harmonizované evropské strategii kybernetické bezpečnosti,
  • legislativní neroztříštěnosti v předpisech regulujících digitální infrastrukturu.

RFC 9432: DNS Katalogové zóny

DNS zónu obvykle obsluhuje více autoritativních serverů, což je dokonce doporučeno z důvodu redundance. Velcí provozovatelé autoritativního DNS dokonce kombinují různé implementace name serverů, aby se vyhnuli úplnému výpadku infrastruktury v případě nějaké softwarové chyby. Pro synchronizaci obsahu zóny mezi autoritativními servery existuje pro DNS specifický mechanismus, který se nazývá transfer zóny. Je to osvědčený mechanismus, který podporují všechny běžné implementace DNS. Umožňuje jak transfer celé zóny (AXFR), tak inkrementální update (IXFR).

Jak blízko jsme rozštěpení Internetu?

Hrůzná agrese Ruska na Ukrajině se projevuje téměř ve všech oblastech mezinárodní spolupráce a nejinak je tomu pochopitelně v oblasti správy Internetu. Pojďme se trochu zamyslet nad tím, co vlastně v současné době drží Internet pohromadě a jak blízko jsme internetovému štěpení.

Knot DNS slaví deset let své existence

Projekt autoritativního DNS serveru Knot DNS patří mezi nejstarší projekty Laboratoří CZ.NIC. Dnes je tomu právě deset let od uložení prvotního prototypu serveru commitem 2da03d5da do veřejného repozitáře Git. Jde o software, který nemá vizuální výstup a běžný člověk s ním vědomě nepřijde do kontaktu, proto si připomeňme jeho význam a kde se s ním můžete setkat.

Tak to zablokujme v DNS. Nebo ne?

Poměrně nedávno se v prostorách FIT ČVUT uskutečnila schůzka zástupců ministerstva financí s internetovou komunitou. Jako člověk, který stál u zrodu iniciativy prichazicenzor.cz, jsem pochopitelně nemohl chybět a velmi jsem se těšil, kam se uvažování zástupců ministerstva posunulo. Dlužno podotknout, že argumentace se logicky příliš nelišila od vyjádření vlády pro Ústavní soud, kterou včera na Lupě velmi pěkně rozebíral David Slížek. Přítomné hosty především z ISP komunity pochopitelně nejvíce zajímalo, jakým způsobem tedy budou muset blokovat.

DNSCurve – alternativní návrh k DNSSECu

Enfant terrible DNS scény opět zasahuje. Daniel J. Bernstein přichází z vlastním návrhem řešení kryptografické autentizace DNS záznamů. Tento návrh si můžete v originále přečíst na stránkách projektu DNSCurve.

Ve stručnosti se jeho návrh dá shrnout do několika bodů:

  1. Všechny NS záznamy budou speciálně pojmenované
  2. Speciální pojmenování bude obsahovat šifrovací klíč
  3. Rekurzivní DNS bude komunikovat s autoritativním pomocí tohoto šifrovacího klíče
  4. Šifrovaná komunikace bude obalená a schovaná do TXT RDATA

Návrh obsahuje pár zajímavých myšlenek (použítí Elliptic Curve Kryptografie), v zásadě ale vidím několik nedostatků tohoto návrhu:

  1. Informace o tom, že se má začít šifrovat k rekurzivnímu DNS, jde nešifrovaně. Návrh neobsahuje Pevné body důvěry (Trust Anchors).
  2. V případě, že bychom DNSCurve použili i na root servery a všichni začali DNSCurve používat, tak by došlo k paradoxní situaci, kdy by veškeré DNS pakety chodily obalené do DNS TXT. Což mi lehce připomíná IP over DNS protokol.
  3. Bernstein píše o tom, jak je Elliptic Curve algoritmus milionkrát složitější na rozlousknutí a zjevně z tohoto důvodu nedefinuje mechanismy, jak měnit klíče. Bude to však pravda i za dalších několik let?
  4. Nevím jestli název nameserveru uz51gmc1jjicekrm676rorncvjpale915vhd94bj2fddj1be1ntbg5.nic.cz bude patřit mezi něco, co je srozumitelné pro pouhého smrtelníka a zda administrátoři budou s nadšením hledat problémy, když se něco pokazí.

Můj názor je takový, že vzhledem k výše uvedeným faktům a kontroverznosti autora návrhu, který naštval snad úplně všechny, se návrh nikterak nerozšíří. Příjemnou věcí je ovšem to, že DNSCurve nikterak nekoliduje s DNSSECem a administrátor serveru bude mít na výběr.

Ondřej Surý

Aktualizace:

Z diskuze na namedroppers a dnsop se objevilo pár dalších problémů.

  1. Zdá se, že Elliptic Curve algoritmy jsou problémové z hlediska amerických patentů.
  2. Protože DNSCurve šifruje, tak je velmi pravděpodobné, že se na něj budou vztahovat americká exportní omezení.

DNSSEC v .gov

Kancelář pro plánování a rozpočet Bílého domu vydala nařízení, podle kterého musí správce domény .gov do ledna roku 2009 nasadit technologii DNSSEC a dále připravit plány na nasazení DNSSECu pro všechny systémy, kterých se týká doménový prostor pod TLD doménou .gov. Originální článek vyšel například zde.

Na tomto faktu by nebylo v zásadě nic tak zajímavého, kdyby:

a) se nejednalo o vládní doménu – administrativa Spojených Států se zajímá o ochranu DNS prostoru

b) nebylo nasazení povinné – zatímco všechny ostatní TLD domény, k nimž se brzy připojí i naše česká doména .cz, fungují na principu dobrovolnosti; všechny poddomény v doméně .gov budou muset implementovat DNSSEC povinně.

V každém případě bude zajímavé sledovat, jak se jim nasazení zdaří, za jak dlouho budou schopni začít podepisovat všechny poddomény a kdy budou mít nasazeny rekurzivní DNS, které si rozumí s DNSSECem.

Ondřej Surý