Aramizda
Aktif Üye
Analiz: .ru'nun başarısızlığı muhtemelen bir savaş zayiatı ya da bir sansür vakası değildi
Geçen Salı günü .ru bölgesindeki web sitelerinin ve hizmetlerin kesintiye uğraması bir saldırının sonucu değildi ve DNS uzmanlarının ilk analizine göre Rus sansür önlemlerinin bir göstergesi değildi. Bugün FOSDEM açık kaynak geliştirici konferansında sunulan bir otopsi analizinde, Fransa Afnic Registry'den Stephane Bortzmeyer, DNSSEC imzalama hatalarının etkisini açıkladı. Bortzmeyer ve diğerleri, kesintinin nedeninin DNSSEC olduğunu hemen belirlediler.
Reklamcılık
DNSSEC protokolü, site ve adres bölgesi operatörlerinin, etki alanlarına, DNS yanıtlarının orijinallik açısından kontrol edilmesine olanak tanıyan imzalar sağlamalarına olanak tanır. Alıcı tarafta DNSSEC'yi kullanan herkes Haber'nin aynı zamanda yayıncı Heinz Haberler'den geldiğinden emin olabilir. Teknoloji öncelikle kimlik avıyla mücadele etmek için tanıtıldı.
Kırık anahtarlar
Açık kaynak aracı DNSViz'e bakıldığında, .ru hatası durumunda sorunun Salı öğleden sonra yeni bir DNS bölge anahtarına geçişle başladığı görülüyor. .ru bölgesinin orijinalliğinin anahtarı olan yeni Bölge İmzalama Anahtarının (ZSK) kullanıma sunulmasının ardından .ru siteleri erişilemez hale geldi. Bortzmeyer'in analizine göre yeni anahtarla oluşturulan imzalar görünüşe göre bozuk.
Bu nedenle DNS çözümleyicilerinin doğrulanması, .ru sayfalarına verilen yanıtları reddetti. Bortzmeyer, DNSSEC olmayan doğrulama sunucusunun arkasında oturan herkesin hiçbir sorun yaşamadığını söylüyor. Bu tam bir başarısızlık olmadığını açıklıyor. Aynı zamanda, testlerin gösterdiği gibi TLD “.su” ve Kiril versiyonu “.ru” etkilenmedi.
İmzalama sisteminde hata
İki saat sonra, resmi kayıt defteri olan Ru-Center'ın yöneticileri eski anahtarı yeniden yükledi ve en son onunla imzalanan bölge. İlginç olan, Bortzmeyer ve diğer uzmanların buna cevap verememesiydi: eski bölge verileri bir gün daha saklandı. Tipik olarak bölgeler, değişikliklere uyum sağlamak için sürekli olarak güncellenir.
Haberler online tarafından sorulduğunda Bortzmeyer şunları doğruladı: “Yeni anahtarın getirilmesiyle imzalama sistemi bozulmuş gibi görünüyor, ancak bunun nasıl olabileceği hala belirsiz.” Packet Clearing House DNS ekibinin başkanı Allison Mankin, sonunda yalnızca RU-Center yöneticilerinin tam olarak ne olduğunu açıklığa kavuşturabileceğini söylüyor.
Kripto sorunu ama GOST masum
Sorumlu Dijital Kalkınma, İletişim ve Kitle İletişim Bakanlığı şu ana kadar yalnızca Telegram aracılığıyla DNSSEC'de bir hata olduğunu duyurmuştu. Normal ulusal Rus DNS sistemindeki katılımcılar için sorunun daha hızlı çözüldüğüne dair ilgili bir açıklama, Bortzmeyer'i hayal dünyasına itti. RU-Center'daki yöneticiler Haberler online'dan gelen sorulara yanıt vermedi.
Mankin ve Bortzmeyer'e göre kriptografinin .ru'yu raydan çıkardığı oldukça açık. Mankin çevrimiçi olarak Haberler'ye şunları söyledi: “Ya yeni ZSK'nın oluşturulmasında bir hata oluştu ya da imzalama sistemindeki bir hata nedeniyle kullanılamaz imzalar oluşturdu ya da her ikisi de. Kriptografi karmaşık.”
Ancak her ikisi de Rusya'nın kendi kripto algoritması “Gost”un masum olduğundan emin. Rus raporlarına göre orijinalden yeni GOST algoritmasına geçişte sorunlar yaşanıyor. Ancak arızayı çevreleyen DNSViz testleri, RSA/SHA256, Algoritma 8'in baştan sona kullanıldığını gösteriyor.
Otomasyon önerisi
Mankin, RU Center'daki DNS uzmanlarının, DNSSEC imzalama sistemlerine kripto yazılımının yeni bir sürümünü uygulamış olabileceğini söylüyor. Bu sürüm hatalı imzalar üretmiş olabilir. Her durumda, ön testler yapılmadı. Bunlar artık diğer büyük kayıt kuruluşları tarafından imzalama için yaygın olarak kullanılan açık kaynaklı DNSSEC sistemlerinde standarttır. Mankin, yeni imzalı bölgelerin ancak testte uygun şekilde doğrulandıktan sonra kullanıma sunulacağını söylüyor.
Özellikle bölge imzalama anahtarları için daha nadir anahtar değişiklikleri için kullanılan bu otomasyona ek olarak, artık bölgelerin farklı anahtarlarla iki yerde paralel imzalanmasını öneren standartlar da bulunmaktadır.
(benim)
Haberin Sonu