Стандарты Интернета №2, декабрь 2015

Краткий путеводитель по IETF-94

Редакция
Редакция

К каждой встрече IETF, которые проводятся три раза в год в различных точках земного шара, Internet Society подготавливает «Краткий путеводитель по IETF». Этот путеводитель рассказывает о текущей деятельности различных рабочих групп IETF, направленной на разработку стандартов Интернета. Особое внимание уделяется таким направлениям, как разработка и внедрение стан­дартов по IPv6, стандартов безопасности системы маршрутизации, DNS, а также обеспечению кон­фиденциальности и повышению доверия в Интернете в целом. Под этой рубрикой в этом номере мы публикуем три статьи «Краткого путеводителя». Полную версию «путеводителя» вы можете прочитать на сайте: www.internetsociety.org

Доверие, идентичность и конфиденциальность

Карен О’Донохью (Karen O’Donoghue)

В этой статье мы сосредоточим внимание на деятельности в рамках совещания IETF-94 в Иокогаме, связанной с повыше­нием доверия в Интернете, включая такие вопросы, как защи­та личностной идентификации и конфиденциальность.
InternetInside_N2-15Момент, с которого я хочу начать свой обзор, пусть и не входит в сферу IETF полностью, но, тем не менее, является важ­ным совместным проектом. Группа W3C Privacy Interest Group (PING) снова провела очную встречу параллельно с совещанием IETF. Целью этой встречи являлось обращение к широкому сообществу IETF, обмен информацией между участниками различных инициатив по конфиден­циальности и дальнейшая проработ­ка методов PING, включая черновик опросника по конфиденциальности и безопасности для авторов специ­фикаций.
Что же касается рабочих групп IETF, в настоящее время сразу несколько групп занимается связанными вопросами. Некото­рые из них, чьи встречи состоялись на IETF-94, перечислены ниже.
Рабочая группа по средам автоматизированного управления сер­тификатами Automated Certificate Management Environment (acme)
стремится снизить барьер развертывания сертификатов для Web PKI. В настоящее время проверка доменных имен в сертификатах осуществляется с помощью разовых, несистематических механиз­мов. В частности, рабочая группа acme занимается автоматизацией процесса выдачи, проверки, отзыва и возобновления сертификатов. В этот раз встреча рабочей группы была посвящена исключитель­но текущей редакции документа (datatracker.ietf.org/doc/ draft-ietf-acme-acme/) и проблемам, занесенным в трекер (github.com/ietf-wg-acme/acme/issues).
В ответ на все усиливающиеся опасения каса­тельно массовой слежки IETF стремится улуч­шить положение с наблюдаемыми данными во многих своих протоколах. Рабочая группа DNS PRIVate Exchange (DPRIVE) была создана для разработки механизмов, которые будут обе­спечивать конфиденциальность между кли­ентами DNS и итеративными резолверами. В повестке дня встречи группы в рамках IETF-94 — DNS поверх DTLS, DNS поверх TLS и шифро­вание DNS без сохранения состояния. Поскольку практически вся интернет-коммуникация так или иначе использует трансляцию имен, дополнительный уровень конфиденциальности для механизмов DNS от­нюдь не повредит укреплению доверия в Интернете.
Рабочая группа Web Authorization Protocol (oauth) уже довольно долго трудится над набором документов, которые позволят поль­зователю предоставить третьей стороне доступ к защищенным ре­сурсам, не предоставляя долгосрочные учетные данные пользова­теля. Группа подготовила длинный список RFC. Встреча в рамках IETF-94 была посвящена запросам авторизации, проверке облада­ния, обмену токенами и использованию OAuth для нативных при­ложений. OAuth постепенно становится ключевым компонентом систем сетевой идентичности, и эта встреча явилась очередным эта­пом развития OAuth.
Рабочая группа Open Specification for Pretty Good Privacy (OpenPGP) изначально завершила свою работу в 2008 году, подготовив реше­ние для шифрования объектов, подписания объектов и сертифика­ции идентификации (RFC 4880). В последнее время стало ясно, что пришло время подготовить обновление RFC 4880, и рабочая группа OpenPGP была восстановлена для этой цели. Эта версия будет со­держать потенциальное включение эллиптических кривых, реко­мендованных CRFG (Crypto Forum Research Group), симметричный механизм шифрования, который обеспечивает современную защиту целостности сообщений, обновление выбора обязательного к реали­зации алгоритма, исключение слабых алгоритмов и обновленный механизм «отпечатков пальцев» открытого ключа.
Инфраструктура сертификатов web PKI продолжает оставаться источником эксплуатационных проблем Интернета, связанных с доверием. Основным направлением деятельности рабочей группы Public Notary Transparency (trans) является создание стандартизо­ванной версии экспериментального RFC 6962 о прозрачности сер­тификатов. Прозрачность сертификатов предназначена для веде­ния журнала сертификатов, выданных удостоверяющим центром. Это дает возможность отслеживать проблемы сертификационной инфраструктуры в глобальном масштабе. Основным фокусом дис­куссии на этой неделе явилось обновление RFC 6962, анализ угроз и протокол «сплетен» (англ. gossip protocol).
Чуть отклонясь от темы, хочу упомянуть рабочую группу Network Time Protocol (ntp). По мере развития Интернета некоторые клю­чевые аспекты инфраструктуры, которые мы часто принимаем как должное, тоже должны время от времени пересматриваться в свете нынешней операционной среды. Время — ключевой компонент уста­новления и поддерживания доверительных отношений, и ему часто не уделяют достаточно внимания. Рабочая группа ntp сейчас решает две задачи для того, чтобы повысить достоверность инфраструктуры времени. NTS (Network Time Security) определит обновленный фрей­мворк и механизмы для аутентификации серверов времени. А новая спецификация BCP (Best Current Practice) создается для решения распространенных эксплуатационных проблем, которые все чаще используются в качестве лазеек.
Чтобы еще раз подчеркнуть всю важность работы IETF в направле­ниях доверия, идентичности и конфиденциальности, я хочу упомя­нуть свое участие в состоявшемся в конце октября совещании Техни­ческого пленарного и наблюдательного совета Консорциума World Wide Web Consortium (W3C) (TPAC) в Саппоро. Одним из ярких мо­ментов мероприятия стала пленарная панельная дискуссия с участи­ем Тима Бернерса-Ли, Винта Серфа и Джуна Мураи. Там был особо затронут вопрос создания лучшего уровня доверия для Всемирной паутины. Винт Серф ответил, что сообщества IETF и W3C совместно работают над разрешением вопроса «Чего не хватает в пространстве протоколов для того, чтобы получить сильную аутентификацию, вы­сокий уровень целостности и другие механизмы создания доверия?»
Источник: Trust, Identity, and Privacy

Безопасность и устойчивость системы маршутизации

Андрей Робачевский

Несколько рабочих групп IETF проводят значительную работу по обеспечению более безопасной и устойчивой инфраструк­туры Интернета, как в краткосрочном, так и в долгосрочном планах.
Обеспечение безопасности имеет отношение не только к маршру­тизации, хотя она находится в центре внимания, но и ко всем уров­ням и компонентам архитектуры Интернета. Некоторые из этих ра­бочих групп провели свои заседания в Йокогаме в рамках IETF-94 1-6 ноября.
Рабочая группа по Безопасной междоменной маршрутизации (Secure Inter-Domain Routing WG, SIDR) сосредотачивает свои уси­лия на обеспечении системы глобальной маршрутизации.
Архитектурно предлагаемое решение базируется на Инфраструк­туре открытых ключей (PKI) для номерных ресурсов (Resource PKI, RPKI), которая обеспечивает основу аутентификации BGP и явля­ется важным компонентом увеличения защищенности этого про­токола в лице BGPSEC, также разработанного группой SIDR. RPKI является ключевой технологией для повышения доверия к инфра­структуре глобальной маршрутизации.
Два главных улучшения в междоменной маршрутизации, провер­ка подлинности источника маршрута (Origin Validation, OV) и про­верка подлинности пути маршрута (BGPSEC), успешно приняты; несмотря на это, работы ведутся активно и особое внимание сейчас приковано к деталям. Поскольку OV был первым компонентом, разработанным IETF, доработки предлагаются, исходя из практи­ческого опыта внедрения и использования. Примерами являются протокол RPKI Repository Delta, способствующий улучшению общей расширяемости и производительности работы системы или внепо­лосный протокол, призванный упростить изначальную конфигура­цию протоколов RPKI между двумя сторонами.
Но на повестке дня также и более значительные изменения, как предложение об изменении процесса проверки сертификата.
Авторы документа «RPKI Validation Reconsidered», которому присвоен информационный статус, заменили его на другой, более краткий документ с предполагаемым статусом стандарта, кото­рый обновляет процесс проверки RPKI-сертификата, описанного в RFC6487 в разделе 7.2. Все более зрелым становится и другой ком­понент — BGPSEC. Спецификация протокола BGPSEC находится в 13-й доработке и практически готова перейти в фазу Last Call рабо­чей группы. Но работа до сих пор не завершена, потому что продол­жают обнаруживаться новые возможные уязвимости — и необходи­мы некоторые уточнения.
В то же время, уже существуют практические реализации этой спецификации, разработанные параллельно с процессом стандар­тизации. Например, существует реальный код, который добавляет расширения BGPSEC к открытому ПО демона маршрутизации BIRD.
Но существует серьезная угроза, которую SIDR-технологии не могут устранить: так называемая утечка маршрута. Про­ще говоря, этот термин подразумевает формально правильный анонс марш­рута, который, тем не менее, нарушает предполагаемую сферу распростране­ния.
Например, мультисетевой клиент со­вершает «утечку» маршрута при переа­нонсировании его от одного провайдера к другому. Из-за того, что это является нару­шением политики маршрутизации, а не прото­кола, ни OV, ни BGPSEC не могут обнаружить или снизить вероятность таких атак. В документе «Методы обнаружения и устранения последствий BGP-утечек» авторы предлагают усовершенствовать BGP для повышения вероятности обнаружения утечек и устранения их последствий для BGPSEC.
В проекте предлагается новое поле защиты от утечек (Route Leak Protection, RLP), которую операторы должны установить при анонсе маршрутов своим клиентам и пирам.
Получив анонс BGP, где установлено RLP со значением «01» («не распространять вверх или горизонтально») для одного или более сегментов пути, оператор может установить, что такой анонс пред­ставляет «утечку» и должен быть соответствующим образом обра­ботан (например, путем предпочтения «чистого» маршрута от про­вайдера или пира).
Этот проект обсуждается в Рабочей группе Междоменной марш­рутизации (IDR). Другая рабочая группа, GROW (Global Routing Operations), которая акцентирует внимание на функциональных проблемах, связанных с системой глобальной маршрутизации, так­же активно работает над вопросами безопасности и устойчивости глобальной маршрутизации.
DDoS-атаки, направленные на членов точек обмена интернет-трафиком (IXP), могут послужить причиной перегрузки портов пиров. Чтобы ограничить отрицатель­ный эффект атаки на нормальный трафик, точки обмена интернет-тра­фиком адаптировали так называе­мый блэкхолинг. Участник может запустить эту процедуру через ро­ут-сервер. Понятие блэкхолинга в точках обмена интернет-трафиком сходно с этим же термином в iBGP [RFC3882] и фильтрующим расши­рением RTBH [RFC5635]. Документ «Атрибут BLACKHOLE для блэкхо­линга в точках обмена интернет-трафи­ком» предлагает определить значение BGP community, чтобы позволить оператору указы­вать роут-серверу IXP, от каких маршрутов следует отказаться. Эта инициатива, вероятно, будет принята в ка­честве документа рабочей группы.
Говоря о DDoS-атаках: недавно была создана ещё одна рабочая группа — DDoS Open Threat Signaling (DOTS). DDoS-атаки не связаны непосредственно с системой маршрутизации интернет-коммуни­кации, но они могут оказывать серьёзное влияние на обеспечение общей устойчивости системы. Цель этой группы — разработка стан­дартного протокола, направленного на автоматизацию координа­ции борьбы с подобными атаками. Этот протокол должен поддер­живать запросы об услугах по устранению DDoS-атак и обновление статуса через межорганизационные административные границы.
Источник: Routing Security & Resilience

Укрепление роли Интернета

Укрепление роли Интернета

Карен О’Донохью (Karen O’Donoghue)

Непрерывная работа интернет-сообщества по укреплению Ин­тернета была продолжена на конференции IETF-94 в Иоко­гаме. Казалось бы, только вчера мы собирались в Праге на IETF-93 – а уже есть новые достижения и новые направления дея­тельности. В этой заметке мы обсудим программу конфиденциаль­ности и безопасности IAB, включая недавно прошедший семинар MaRNEW, деятельность исследовательской группы Crypto Forum Research Group и рабочей группы TLS, включая грядущий семинар TRON.
Internet Architecture Board (IAB) — в рамках своей программы конфиденциальности и безопасности Privacy and Security Program — прилагает массу усилий по укреплению Интернета путем анализа угроз, мер их устранения и моделей систем доверия. За время, про­шедшее с окончания IETF-93, был опубликован документ RFC 7624 “Confidentiality in the Face of Pervasive Surveillance: A Threat Model and Problem Statement”. Программа IAB сейчас работает над следующим документом, в котором рассматриваются соответствующие меры устранения, озаглавленным “Confidentiality in the Face of Pervasive Surveillance». Кроме того, принят проект документа, идентифици­рующий проблемы и пути решения для ряда ключевых вопросов, связанных с инфраструктурой Web PKI, “Problems with the Public Key Infrastructure (PKI) for the World Wide Web”. Оба этих документа обсуждались на встрече в Иокогаме. Кроме того, с момента оконча­ния IETF 93 участники IAB провели совместный семинар с GSMA на тему управления радиосетями в мире шифрования (Managing Radio Networks in an Encrypted World, или сокращенно MaRNEW). Докла­ды, программа семинара и презентации доступны по адресу https:// www.iab.org/activities/workshops/marnew/. Краткий отчет об этом семинаре опубликован в недавнем выпуске IETF Journal, а полный отчет о семинаре ожидается к концу года.
Далее, исследовательская группа Internet Research Task Force (IRTF) Crypto Forum Research Group (cfrg) продолжает заниматься использованием криптографии для протоколов IETF. Ее усилия во многом сосредоточены на выборе новых эллиптических кривых для использования в протоколах IETF, и примерный консенсус по этому вопросу закреплен в документе «Elliptic Curves for Security». После IETF-93 этот документ был закончен и направлен редактору RFC Series на публикацию. В числе тем обсуждения на IETF-94 — эл­липтические кривые, PAKE, пост-квантум защищенные подписи и обмен ключами. Всем заинтересованным в будущем направлении развития криптографических кривых и алгоритмов рекомендуется следить за этими дискуссиями. В рамках IETF-94 прошли встречи множества рабочих групп, которые занимаются укреплением Ин­тернета. В этом выпуске я уделю основное внимание TLS.
Рабочая группа безопасности транспортного уровня TLS (Transport Layer Security) активно работает над обновлением протокола TLS. Это очень активная рабочая группа, в ее планах — опубликовать об­новление TLS в 2016 году. Встреча рабочей группы была посвящена разрешению насущных вопросов текущей спецификации, задоку­ментированных в трекере: https://github.com/tlswg/tls13-spec/issues.
Заметим также, что рабочая группа TLS планирует доработать спецификацию TLS 1.3 и взять краткую паузу, чтобы дать исследо­вателям проблем безопасности время на анализ спецификации. В рамках этого запланировано провести семинар TLS1.3 Ready or Not (TRON), совместный с Network and Distributed System Security Symposium (NDSS). Семинар состоится в феврале 2016 года. Идет прием докладов, мы приглашаем к участию всех заинтересованных в повышении прочности новой спецификации TLS.
Подводя итоги, скажу, что ведется большая работа в направлении того, чтобы сделать шифрование более распространенным и упро­стить его использование в целях укрепления Интернета.
Источник: Strengthening the Internet