«Если вы думаете, что понимаете квантовую механику, вы не понимаете квантовую механику»

В ходе встречи ICANN 73 состоялся семинар, посвященный DNSSEC и безопасности.

Его открыл старший контент-стратег ISOC Дэн Йорк. Он представил обзор применения технологий DNSSEC, DANE и RPKI в мире и дал статистику использования DNSSEC в ccTLD.

Далее состоялась дискуссия с довольно футуристичным названием «DNSSEC и квантовая криптография». Проблема состоит в том, что используемые сегодня в DNSSEC криптоалгоритмы в будущем могут быть взломаны при помощи достаточно мощных квантовых компьютеров.

Первым докладчиком выступил представитель ISOC Робин Уилтон, рассказавший об общей идее квантовых вычислений, физических принципах, лежащих в ее основе, основах квантового криптоанализа и постквантовой криптографии. Как пояснил сам докладчик, необходимость такого «ведения в тему» лучше всего объясняется цитатой нобелевского лауреата Ричарда Фейнмана: «Если вы думаете, что понимаете квантовую механику, вы не понимаете квантовую механику».

Представитель ICANN Пол Хоффман рассказал о разработанном техническим подразделением корпорации документе, посвященном проблеме квантовых вычислений в ракурсе DNS. Он выразил сомнение в том, что проблема потенциального взлома криптоалгоритмов, используемых в DNSSEC, станет актуальной в ближайший десяток (или даже не один десяток) лет, и в заключение поделился мыслью, что в случае создания достаточно стабильного квантового компьютера DNSSEC станет далеко не первой целью для взлома.

Также в рамках дискуссии были представлены доклады о результатах тестирования алгоритма постквантовой криптографии FALCON-512 и возможности применения криптографии на основе хеша для создания подписей DNSSEC.

В завершение дискуссии участники обсудили возможность замены криптоалгоритма корневой зоны на один из алгоритмов постквантовой криптографии. Они согласились с тем, что такая замена и последующая ротация ключей потребуют огромных усилий от всех вовлеченных сторон и разработки четкого регламента действий.

Модератором второй части семинара, посвященной различным аспектам автоматизации DNSSEC, стал один из основоположников интернета Стив Крокер. Он рассказал о проделанной работе в этом направлении и о том, что предстоит сделать.

Брайан Диксон – представитель одного из крупнейших регистраторов доменных имен GoDaddy – поделился новым методом обновления DS-записей, который предлагает этот регистратор.

Остальные доклады этой части семинара были посвящены внедрению синхронизации данных DNSSEC, разработке стандарта, посвященного методу автоматизации DNSSEC Bootstrapping, механизмам DS-автоматизации, формулировке рекомендаций и многому другому.

Участники третьей и заключительной части семинара поделились результатами проведенного исследования авторитативных серверов доменов верхнего уровня, рассказали об уязвимости, дающей возможность использовать рассылку писем с поддельными данными при помощи функционала открытой пересылки писем популярных почтовых сервисов и поделились взглядами на ключевые метрики для измерения эффективности применения технологии DNSSEC.