DNS (Domain Name System) to jednocześnie system serwerów, protokół oraz usługa pozwalająca na zmianę adresów w formie słów, używanych przez ludzi (takich jak www.gazeta.pl) na adresy IP (takie jak 80.252.0.145). Jednak DNS jako takie miało jeden istotny problem - z założenia zostało stworzone z myślą o możliwości skalowalnej rozbudowy w miarę wzrostu Internetu, ale nie zostało stworzone z myślą o bezpieczeństwie. Dlatego DNS jest podatny na różne formy ataków, i dlatego właśnie powstał DNSSEC , czyli wersja DNS z wbudowanymi w swoją strukturę zabezpieczeniami kryptograficznymi.
Dzięki zabezpieczeniom kryptograficznym możliwe jest sprawdzenie, czy odpowiedź, jaką otrzymaliśmy od serwera DNS (że www.gazeta.pl przekłada się na 80.252.0.145) faktycznie pochodzi od serwera DNS i jest prawdziwa. Jednak w tym celu konieczne jest, aby serwer DNS posiadał podpis elektroniczny, i ten podpis musi być złożony przez odpowiednio zaufaną instytucję, która z kolei musi posiadać własny podpis elektroniczny, i tak do góry, aż do podstawowego klucza od którego się wszystkiego zaczyna - tzw. root certificate.
Od tego miesiąca DNSSEC ma już certyfikat podstawowy, a siedem wybranych z całego świata osób posiada elektroniczne karty (zamknięte w specjalnej torebce pokazującej próby manipulacji), zawierające fragmenty klucza pozwalającego na podpisanie nowego certyfikatu podstawowego i pozwalające w ostateczności na zresetowanie struktury DNSSEC. Klucze znajdują się teraz w posiadaniu obywateli Wielkiej Brytanii, Stanów Zjednoczonych, Burkina Faso, Trynidadu i Tobago, Kanady, Chin oraz Czech, a w celu "zresetowania Internetu" konieczne jest aby pięciu z nich stawiło się w jednej z baz na terenie USA gdzie znajdują się bezpieczne serwery, w celu zrestartowania infrastruktury DNSSEC.
Pozostaje mieć tylko nadzieję, że gdzieś w głębiach Internetu nie czai się złowroga Sztuczna Inteligencja , która posiada ósmą kartę, kartę dającą jej władzę nad pozostałymi siedmioma chociaż OK., to raczej mało prawdopodobny scenariusz. Krótki film o podpisywaniu głównego certyfikatu DNS można zobaczyć tutaj .
[via Popular Science ]
Leszek Karlik
