Mocná čtrnáctka, která hlídá bezpečnost internetu

Jeden jediný internet, ale k němu dvě sady po sedmi klíčích a čtrnáct klíčníků, kteří tyto klíče opatrují. Každý z nich pochází z jiné země, a pokud možno, i z úplně jiného světadílu, aby byly klíče bezpečnější. Zní to jako z romantického středověkého románu? No ano, zní. Jenomže je to všechno skutečnost.

Podobně jako pět vysokých hodnostářů naší republiky přechovává klíče od korunovačních klenotů českých králů (při jejichž vyzvedávání je občas jako na potvoru přepadne viróza), stejně tak klíče od internetu má čtrnáct bezpečnostních expertů zvolených organizací ICANN. Přitom podobně jako u korunovačních klenotů, ale v daném případě možná trochu překvapivěji, jde i u internetu o úplně obyčejné klíče z kovu, jakých každý z nás má doma pěknou řádku. Vlastně jsou dost podobně těm, kterými otvíráte libovolný bezpečnostní zámek doma nebo v práci.

Raději IP adresu nebo doménu?

Čtyřikrát do roka se musí nositelé klíčů sejít na území Spojených států (dvakrát na východním a dvakrát na západním pobřeží) a na další čtvrt rok prodloužit bezpečné fungování internetu. Při speciálním ceremoniálu, který je zčásti technologického charakteru, a zčásti obsahuje i teatrální prvky, vygenerují a podepíší nový centrální ověřovací kód. Díky němu může po další tři měsíce hladce fungovat jedna z hlavních funkčních struktur internetu, systém DNS.

Pokud snad nevíte, o co se jedná, neházejte flintu do žita. Vězte, že jde o systém, který číselné označení serverů připojených do internetové sítě (tzv. IP adresu, např. 93.185.101.55) převádí na doménové názvy, podle kterých se orientujete při prohlížení internetu ve svém prohlížeči. Zatímco počítače při navazování kontaktu se serverem používají právě IP adresu, protože je pro ně práce s ní jednodušší, lidé si lépe zapamatují doménové názvy. Jak už jste nejspíš zjistili, v příkladu výše samozřejmě jde o naší doménu TyInternety.cz.

Nezpečné falšování

Tzv. DNS registry obsahují seznamy takovýchto doménových názvů s uvedením příslušné IP adresy, která doméně odpovídá. Do registrů si počítače napojené k internetu šahají pokaždé, když ten, kdo u nich právě sedí, zamíří na určitou doménu. Registry jsou hierarchicky napojeny na sebe, vždy k registrům vyšší kategorie, fungujícím pro větší spádové území. V určité fázi jsou pak tyto vyšší registry napojeny na kořenové (centrální) servery organizace ICANN, instituce, která provoz DNS systému zajišťuje na celosvětové úrovni.

ICANN v roce 2010 započal přechod na nový systém centrálního zabezpečení tohoto systému DNS. Tento systém nese název DNSSEC, a zaručuje, že doménové záznamy v internetu není možné efektivně falšovat. Falšováním záznamu v registru se rozumí situace, kdy by k určité doméně byla útočníkem v registru přiřazena jiná IP adresa, než na jaké se data této domény skutečně nacházejí.

Díky zfalšování registru by hacker například mohl nic netušící uživatele místo na doménu banky navést do svého vlastního systému, kde by z nich následně vylákal přístupové údaje k jejich účtům. Obdobně by to samozřejmě mohl provést u jakékoliv jiné služby citlivé na ochranu dat. Falešným záznamem získaná data by potom už bylo velmi jednoduché zneužít.

Centrální kód pro bezpečnost

Z těchto důvodů jsou pravost a náležité ověřování záznamů v DNS registrech extrémně důležité pro bezpečné fungování celého internetu. Aby nově uvedený systém zabezpečení mohl fungovat, je vymyšlen systém hierarchických kódů, tzv. podpisů, který postupně přes jednotlivé úrovně směřuje až na kořenový centrální server. Kód, s jehož pomocí se ověřuje na kořenovém serveru, je potom hlavní kód, master key, který ověření pravosti poskytuje na centrální úrovni systému.

Tento kód má 64 znaků a je v systému zavedenémv roce 2010 časově omezený na pouhé tři měsíce. Během této doby je třeba jej obnovit pro další čtvrtletí. Pokud by obnoven nebyl, internet sice bude fungovat i nadále, kvůli nefunkčnímu ověřování domén se ale začnou kumulovat nejrůznější chyby v registrech, což jeho provoz bude významně komplikovat.

Během příštích tří až pěti let, potom, co na nový systém zabezpečení přejde celý svět, by nevytvoření nového kódu znamenalo pěkný průšvih. Prozatím totiž DNSSEC není povinný, a řada webů jej jednoduše nepoužívá. Česká republika je sice v adopci systému jedním z nejaktivnějších států světa, a je u nás dokonce povinný pro státní instituce, tak to ale není zdaleka všude ve světě. Až ovšem bude nové zabezpečení používané všude, nevytvoření nového kódu by mohlo znamenat až zhroucení celého systému doménových registrů.

Snímky očí a rukou, bezpečnostní kódy i přístupové karty

A tím se právě dostáváme k onomu prazvláštnímu ceremoniálu. Protože kód je čtvrtletní, probíhá ceremoniál každé tři měsíce. Aby mohl být vygenerován nový kód, je nutná účast nejméně tří klíčníků. Ceremoniál se odehrává střídavě na východním a západním pobřeží Spojených států, v úzkostlivě zabezpečených prostorech patřících organizaci ICANN. Ke každému z obou zařízení je určena sada sedmi unikátních klíčů, právě z toho vyplývá celkem čtrtnáct klíčníků.

S klíčem musí každý klíčník dorazit osobně, nemůže přijet žádný „náhradník“. Přes ověřovací procedury, které jsou minimálně tak pečlivé, jako by šlo o samotného amerického prezidenta, ne-li ještě víc, se nikdo nepovolaný k ceremoniálu dostat nemůže. Mezi procedury patří například postupný průchod několika zabezpečenými místnostmi, a několikanásobným zadáváním PIN kódů a opakovaným snímáním různých biometrických údajů.

Při poslední únorové aktualizaci centrálního ověřovacího kódu byl ovšem výjimečně přizván i host, jehož jediným cílem bylo zpravit o všem veřejnost. Byl jím novinář James Ball z Guardianu, který o svém zážitku samozřejmě podal vyčerpávající svědectví.

Všechno podle scénáře

K první letošní aktualizaci došlo poblíž Los Angeles v Kalifornii, 13.února 2014 v odpoledních hodinách amerického času. Po průchodu všemi místnostmi, z nichž některé jsou vytvořeny tak, že mohou být ve stejnou chvíli otevřeny vždy jen jedny dveře, buď vchodové, nebo východové, a zápisu do protokolů o účasti, začal samotný ceremoniál. Ten podle plánu probíhá takto:

V úvodu se držitelé klíčů spolu s organizátory vypraví do speciálního sejfu o několika metrech čtverečních, kde se nachází potřebné vybavení. Kromě přístrojů, které k vytvoření kódu jsou potřeba, tu je také sedm zamčených krabic, které lze otevřít jedině unikátními klíči, hlídanými sedmi klíčníky. V každé krabici se nachází unikátní chytrá karta, alespoň tři z nich jsou potřeba k úspěšnému podpisu a aktivaci nového centrálního ověřovacího kódu.

Podle předem připraveného scénáře probíhá postupné zapojování a spouštění všech potřebných systémů. Scénář obsahuje kolem stovky položek, všechny provedené úkony se i s přesným časem provedení zaznamenávají do protokolů, které na konci budou všichni účastníci muset podepsat. Kromě klíčníků a zaměstnanců ICANN jsou jako svědci přítomni i nezávislí pozorovatelé, mezi nimi také dva špičkoví auditoři společnosti Pricewaterhouse Coopers, kteří na ceremoniál dohlíží.

Internet je do června v bezpečí

Po dvou hodinách od počátku ceremoniálu, a pěti hodinách od Ballova vstupu do budovy, konečně vše dospělo k vrcholnému okamžiku a po elektronickém podpisu je aktivován nový kód. Ten je vložen na speciální paměťový nosič, ze kterého bude v pravou chvíli vložen do systému kořenových serverů, provozovaných společností VeriSign. Aktivován bude 1. dubna a hlavním ověřovacím kódem světových domén bude až do konce letošního července.

Tím ceremoniál končí, a všichni zúčastnění postupným průchodem zpět přes bezpečností kontroly opouští zabezpečené prostory. Jejich další zastávkou bude jedna z blízkých losangelských restaurací, kde společně doplní síly večeří.

Klíčníci si mohou oddychnout a odebrat se odkud přijeli. Přes moře bude cestovat Švédka Eklund Löwinder, jedna z žen mezi klíčníky, stejně jako Dmitry Burkov, moskevský bezpečnostní specialista pracující pro několik mezinárodních organizací. Domů se ale jistě rádi podívají i Portugalec João Damas, žijící ve Španělsku, Američan Edward Lewis, pracovně působící v soukromém sektoru, a Urugayec Carlos Martinez, zaměstnanec jednoho z latinskoamerických registrátorů domén. Nejméně tři měsíce budou teď mít všichni klid.

A internet? Ten je na dalšího čtvrt roku v bezpečí.