ЯНГИЛИКЛАР

26.11.2020
Дунё интернетининг калитлари эгалари. Улар кимлар ва нима билан шуғулланишади

Йилига тўрт марта, ўнлаб одамлар бирон бир маросимни ўтказиш учун учрашадилар. Ушбу учрашувлар одатдаги офис йиғилишлардан фарқ қилмасдир, агар иштирокчилар у ерга етиб боришдан олдин мисли кўрилмаган хавфсизлик чораларини кўришдан бўлсалар: биометрик сканерлар, сетчатка сканерлари ва бармоқ излари сканерлари –бу уларнинг бир нечтаси. Уларнинг тўпланишининг сабаби хам енг оддий нарса эмас: уларнинг баъзилари глобал Интернет учун ноёб калитни сақловчилардир. Уларнинг калитлари биргаликда Интернетнинг ассоий хавфсизлик чораларидан бири – домен номлари тизимини (DNS) бошқарадиган асосий калитни ташкил қилади

Биринчи ICANN маросими. Манба ICANN

 

DNS нима

Интернетдаги исталган веб-сайтни унинг рақамли IP-манзилини ёки рамзий номини браузер қаторида киритиш орқали очишингиз мумкин. Иккинчи вариантни,биринчи эса машина учун ишлатиш биз учун қулайроқ, шунинг учун биз белгиларни доменлардан IP-манзилларга ўзгартирадиган воситачига мухтожмиз. Бунинг орқасида домен номлари тизими мавжуд –DNS (Domain Name System). У домен зоналари хақидаги маълумотларни сақлайди ва бошқаради. Тушинишни осонлаштириш учун DNS- ни алоқа номлари  (URL) ва уларнинг телефон рақамлари (IP-манзиллар) сақланадиган телефон китоби билан таққослашади. DNS виртуал майдонда мавжуд эмас, лекин махсус дастурий таъминотга эга бўлган баъзи жисмоний серверларда.

DNS-сервер қандай ишлайди

Браузер фойдаланувчидан сўров олади ва уни тармоқдаги DNS- серверга юборади, у домен номи ва тармоқ манзили ўртасида мосликни қидиради. Агар жавоб топилса, дархол сайт сахифаси юқланади. Акс холда, сўров олдинги серверга ёки илдизга-га юборилади.

Илдиз сервер сўровни биринчи даражали серверга юборади, бу эса ўз навбатида уни иккинчи даражали серверга узатади. Ушбу харакат ном ва IP-манзил ўртасида мос келгунига қадар давом этади.

Браузер унинг  сўровига жавоб олади, уни хостинга юналтиради ва сахифа очилади.

DNS-серверлар қаерда жойлашган?

Барча домен номлари бўйича сўровларни қайта ишлаш учун асос илдиз DNS зонаси учун масул бўлган, илдиз серверлари хисобланади. Дунё бўйлаб 13 та илдиз-сервер мавжуд ва уларни ICANN билан тузилган шартномалар асосида турли операторлар бошқаради. Буларга университетлар, АҚШ Мудофаа Вазирлиги ташкилотлари ва нотижорат уюшмалари киради. 10 та север АҚШда, яна учта сервер Голландия, Щвеция ва Японияда жойлашган. 13 та илдиз серверларидан ташқари, юзлаб такрорланган илдиз серверлари мавжуд. Барча операторлар қонуний ва молиявий жихатдан ICANN-дан мустақил, шунинг учун хеч бир ташкилот бутун тизимни назорат қилмайди.

Калитни тасдиқлаш маросими

ICANN 1998 ийлда АҚШ хукумати иштирокида домен номлари ва Интернет фаолиятининг бошқа жихатлари билан боғлиқ масалаларни тартибга солувчи ташқилот сифатида ташкил этилган. 2016 ийлдан бери у мустақил бўлди. Компанияда асосий калит ва унинг тақсимланган омбори ёрдамида ишлаб чиқилган тизим Интернет хавфсизлигини таъминлаш буйича глобал чора-тадбирларнинг бир қисмидир.

Манба Tim Hales / AP

2010 йилдан биён калит эгалари йилига тўрт марта, икки марта АҚШнинг Шарқий сохилида ва икки марта Ғарбий сохилида, калитларни янгилаш ва Тармоқ хавфсизлигини таъминлаш учун учрашдилар. Key Keepers – бу хавфсизлик буйича танланган экспертлар гурухи, бутун дунё бўйлаб таниқли жамоат аъзолари. Улар тажриба ва географик жойлашувга караб танланган – бир қўлда қўвватни марказлаштирмаслик учун бирон бир мамлакат жўда кўп калитларни бошқариш хуқуқига эга эмас.

Ушбу эркаклар ва аёллар тизимнинг марказида тизимни бошқарадилар: домен номлари тизими (DNS). Химоячилар хар сафар учрашканда, ушбу онлайн манзиллар китобларидаги хар бир ёзувни тасдиқлашади. Сохта IP-манзиллар одамларни компютерларни бузиш ёки маълумотларни ўғирлаш учун ишлатиладиган зарарли сайтларга олиб келиши мумкин.

"Маросим" пайтида янги асосий калит яратилади, кейинчалик у смарт- карталар ёрдамида фаолаштирилади, сақловчилар томонидан имзоланади ва турли домен зоналаридаги (.com, .net ва бошқалар) серверлар учун USB-дискларга юқланади.

Шаркий ва Ғарбий Сохилнинг хар бир маросимида еттита асосий калит эгалар мавжуд ва дунё бўйлаб яна етти киши, агар бирор нарса нотўғри бўлса, тизимни қайта тиқлаш вақолатига эга. 14 та асосий калит эгаларнинг (хар бир сохилда еттитадан) аққили картани ишлаб тўрадиган ананавий металл хавфсиз калит мавжуд, бу эса ўз навбатида  янги асосий калитини яратадиган қурилмани фаоллаштиради.

Фото: cloudflare.com

Фавқулодда вазиятларда "хавфсизлик" еттитаси янги асосий калит генераторини яратиш учун зарур бўлган код парчасини ўз ичига олган смарт-карталарни сақлайди. Йилига бир марта ушбу этти киши ўзларининг яхши эканликларини тасдиқлаш учун ўзларнинг калитлари ва хозирги сана учун ICANN-га газета билан селфи юборишади.

Асосий қўриқчилар учун дастлабки танлов жараёни ажабланарли даражада нозик эди: компания ўз веб- сайтида иштирокчиларни жалб қилишни эълон қилди ва 21 та лавозимга атиги 40 та ариза қабул қилди. Тадбир иштирокчиларининг рўйхати хаммага маълум бўлиб, биринчи маросимдан бери деярли ўзгармади.

Маросим қандай утади

Ғарбий сохил маросими Лос-Анжелес ташқарисидаги қўзда ташланмайдиган саноат худудида, қўриқланадиган худудда бўлиб ўтади. Бино ичида минимал деразалар мавжуд, залда маросимлар учун  деразалар, датчиклар, сканерлар ва камералар тўплами йуқ. Хатто чойхонага кириш учун сиз пин-код, смарт-карта ва қўлни биометрик сканерлашни талаб қиладиган эшикдан ўтишингиз керак. Шунда сиз ўзингизни кичик хонада топасиз, унда бир вақтнинг битта эшик очилиши мумкин. Кейин чиқиш учун яна битта смарт-карталар қўл излари ва кодларнинг кетма-кетлиги келади.

Асосий залга на соқчилар на фаррош аёлларни киритиш мумкин, шунинг учун асосий, қўриқчилар уни тадбирга олдиндан тайёрлайдилар. Маросимининг ўзи 100  дақиқадан қўпроқ режа бўлиб, дақиқага қадар ёзиб қўйилган бўлиб, хар бир ўқиш расмий  баёномада қайд этилган бўлиб, кейинчалик барча иштирокчилар ўқишлари ва имзолашлари керак. Ичкарида кириш фақат вақолатли ICANN ходимининг  сечатка сканерлари текширувидан сўнг очилади. Кейин кортеж қатнашчилари ўзларини врачлик кабинетини эслатувчи маконда топадилар: нечта қаторли темирли стуллар ва стол қаршисида. Хонанинг нариги томонида иккита юқори хавфсиз сейф  билан жихозланган қафас мавжуд. Шифт остида ICANN веб-сайтида жонли эфирда узатиладиган камералар мавжуд.

Ходимлардан бири ва калит эгалари (тантанада қатнашиш учун камида ўчта талаб қилинади, уларнинг хаммаси эмас, етти нафари)  ўзларининг ақлли карталарини олиш учун хавфсиз қафасда кирадилар, улар сейфда бузилганлиги аниқ бўлган сумкаларда сақланади.

Шундан сўнг, ходимлар компютерни ўрнатадилар, унга бир нечта USB-дискларни улайдилар, улардан бири маросим охирида имзоланган калитни Интернетга юқлаш учун ишлатилади: .com, .net va хоказо код турли домен зоналарини ким бошқаришни аниқлайдиган серверларга юқланади.

Манба flickr/Olaf Kolkman

Кейинчалик асосий калитни яратадиган қурилма-аппарат ва дастурий таъминот  криптографик модули (HSM) созланган. Бу клавиатура ва олд томонида карта слоти бўлган оддий кичкина кулранг қути. Агар тушиб қолса ёки хатто қаттиқ силкитилса, у ичида сақланган калитларни ёқ қилади.  У қуриқчилар хозиргина сейфдан олган смарт-карталар билан фаоллаштирилди.

Хар бир қўриқчи ўзининг смарт-картасини топширади, қурилма ишга туширилади, дастур кодининг бир нечта қаторлари киритилади, бу янги рақамли калитни яратади. Кейин USB-стикер бошқа ICANN ходимига топширилади, у кейинчалик хавфсиз канал орқали калитни узатади ва уни Интернетга жойлаштиради. Бу уч ой давомида – кейинги қадар амал қилади.

Янги калитни яратгандан сўнг, қўриқчилар ўз жойларига қўйиш учун ақлли карталари сақланадиган сейфлари билан катакка қайтиб келишади.

Манба: flickr/Olaf Kolkman

Бир вақтнинг ўзида барча крипто калитларига кириш хуқуқини ёқотиб қўйсангиз нима бўлади

Ўз- ўзидан бунинг иложи йуқ, чунки калитлар HSM-да сейфларда бир-биридан 4000 км узоқликда жойлашган (Шаркий ва Ғарбий сохилларда) юқори даражада химояланган иккита обектда сақланади. Шу билан бирга, ICANN хар бир илдиз зонаси тугмачаси шифрланган захира нусхаларини сақлайди. Агар барча 4 HSM модуллари ишламай қолса, компания ишлаб чиқарувчига янги модулни буюртма қилади ва захира нусхаларидан калитларни тиклайди. Бундай холда, қўшимча ишончли жамоат вакиллари ва "захира калит кисмларини сақловчилар" иштрокида махсус маросим ўтказилади.

Интернет нафақат DNSSEC кенгайтмаларидан кўпроқ. У жўда кўп турли  хил тизимлардан иборат ва DNS улардан бири. Интернетнинг қандай ишлашини, масалан, DNSни бошқариш хар қандай жихат устидан тўлиқ назорат қилишни англатмайди.

Манба