Добрые намерения…. / как я был TCR

Часть 1

Не собирался писать на эту тему в первую очередь, но попросили…

Во-первых – что это такое?

Для начала надо уточнить, о чем идет речь.

Кто же такие TCR (Trusted Community Representatives)?

Trusted Community Representatives — это группа независимых экспертов, отобранных из глобального интернет-сообщества, которым ICANN/IANA доверили участвовать в критически важных церемониях управления корневой зоной DNS (Domain Name System), в частности, церемониях смены ключей KSK (Key Signing Key).

Эта система была создана для обеспечения иллюзий:

— прозрачности;

— подотчётности;

— доверия;

— защиты от злоупотреблений (включая попытки государственного или корпоративного захвата контроля над корнем DNS).

Хотя бы формально она это выполняет, хотя и за немалые деньги.

Система TCR (доверенных представителей сообщества) в ICANN возникла в 2010 году как ключевой механизм обеспечения доверия и безопасности в управлении корневой зоной DNS с использованием DNSSEC (Domain Name System Security Extensions). Вот как это произошло и какие причины стояли за созданием этой системы.

Исторический контекст и причины создания

1. Внедрение DNSSEC для корневой зоны DNS:

К 2010 году интернет-сообщество убедили (или скорее поставили перед фактом) в необходимости повышения безопасности DNS. Планировалось подписание корневой зоны DNS с использованием криптографических ключей (DNSSEC), чтобы гарантировать целостность и аутентичность данных в системе доменных имен. Это требовало надежного управления главным ключом подписи (Root Zone Key Signing Key, KSK), который является корнем доверия для всей системы.

2. Необходимость распределения доверия:

Управление таким критически важным ключом не могло быть сосредоточено в руках одной организации (даже ICANN, PTI или Verisign), чтобы избежать рисков злоупотребления, коррупции или отказа. Требовался механизм, который бы распределял ответственность и контроль среди авторитетных представителей интернет-сообщества. TCR стали частью такого механизма — они представляют разнообразные заинтересованные стороны и географические регионы, обеспечивая прозрачность и коллегиальный надзор. Ввод этой системы также позволял снизить интерес к монопольному контролю за корневой зоной DNS, делая весьма затруднительными создание альтернативных систем. Вcем, по сути, пришлось де-факто её принять и подстраиваться.

3. Повышение прозрачности и легитимности:

ICANN стремилась повысить доверие к процессам управления Интернетом, особенно после критики о чрезмерной концентрации власти. Привлечение независимых экспертов со всего мира в качестве TCR позволяло демонстрировать, что управление ключами осуществляется ответственно и в соответствии с интересами всего сообщества. TCR должны действовать как «послы доверия», присутствуя на ключевых церемониях и подтверждая корректность исполнения процессов.

Основные события и этапы внедрения

Первый набор TCR в 2010 году: В 2010 году ICANN объявила о наборе добровольцев для выполнения ролей TCR. Был опубликован первый список из 34 человек (семь криптографических офицеров для каждого из двух центров управления ключами (Восточного и Западного), семь держателей долей ключа восстановления и 13 резервных представителей).

Для пополнения и обеспечения ротации существует список желающих (лист ожидания).

Первая церемония с участием TCR состоялась 16 июня 2010 года в Кулпепере, штат Вирджиния, США. На ней присутствовали все криптографические офицеры Восточного центра и держатели ключа восстановления, которые активировали модули безопасности, и началось регулярное использование KSK.

Все церемонии транслируются открыто в Интернет, а видеозаписи доступны в архивах IANA/PTI.

Роли TCR были четко разделены на:

— криптографических офицеров (Cryptographic Officers, COs), которые активно участвуют в регулярных церемониях подписания ключей (обычно 1-2 раза в год), активируют аппаратные модули безопасности (HSM) и подтверждают правильность процедур. Фактически же они выполняют функции супервайзеров/наблюдателей с активным участием в церемониях подписания корневой зоны. Кроме них на церемониях присутствуют приглашенные из числа аудиторских организаций, иногда прессы;

— держатели долей ключа восстановления (Recovery Key Share Holders, RKSHs) хранят смарт-карты с частями ключа для аварийного восстановления; они активируются только в экстренных ситуациях. В церемониях они обычно не участвуют.

Принципы отбора TCR

Чтобы обеспечить разнообразие и независимость, TCR отбираются ICANN/PTI по строгим критериям:

— независимость и репутация: кандидаты должны быть лицами с безупречной репутацией, беспристрастностью и способностью к взвешенным суждениям;

— экспертиза в DNS и интернет-технологиях, понимание DNS, DNSSEC и их влияния на глобальный Интернет;

— географическое и культурное разнообразие: TCR должны представлять разные регионы мира;

— отсутствие конфликта интересов: они не могут быть связаны с организациями, напрямую вовлеченными в управление корневой зоной DNS (такими, как PTI, ICANN, Verisign);

— волонтерский статус: TCR работают на общественных началах, но могут получать компенсацию расходов на поездки на церемонии .

Развитие системы

Первоначально TCR самостоятельно покрывали свои командировочные расходы, но с 2014 года ICANN внедрила программу поддержки поездок, направленную на обеспечение участия представителей из разных регионов. В 2014 году также был проведен пересмотр работы программы TCR, и в процессы были внесены улучшения – так появилась отчетность об административных процедурах по поддержке оборудования, о существовании которых мы ничего изначально не знали.

Появился механизм исключений из процедур церемоний – всегда что-то бывает не так, как задумано на бумаге, да и человеческие ошибки неизбежны. Тем не менее, многие процедуры не доведены еще до конца.

Процедуру обновления смарт-карт для восстановления удалось провести только в апреле 2024 года. Cомнения в живучести карт были уже давно — и не без оснований, ведь практически все оборудование за прошедшее время пришлось заменить.

Не решен и изначальный вопрос с географической диверсификацией центров хранения ключей и проведения церемоний.

Изначально оба центра были созданы на территории США – так как ICANN выполняла свои функции по госконтракту с правительством США и о размещении элементов критической инфраструктуры за рубежом не шло и речи.

Значение системы TCR, декларированное при создании:

— распределение доверия: TCR являются основой модели распределенного доверия в управлении корневой зоной. Ни одна организация не может единолично контролировать KSK;

— прозрачность и подотчетность: участие независимых представителей сообщества в церемониях и их возможность сообщать о процессах должны способствовать повышению доверия к ICANN/PTI и управлению Интернетом в целом;

— устойчивость и восстановление: наличие RKSH должно гарантировать, что KSK может быть восстановлен в случае гипотетической катастрофы для обеспечения дополнительной отказоустойчивости DNS/DNSSEC.

Система TCR возникла как ответ на необходимость для ICANN обеспечить безопасное, прозрачное и пользующееся доверием сообщества управление корневым ключом DNSSEC. Это стало возможным в том числе и благодаря добровольному участию экспертов со всего мира, которые и сегодня продолжают играть свою роль в обеспечении безопасности и стабильности глобального Интернета.

Продолжение следует…

Image for illustration only. Image source: Freepik.com