Кто предложил децентрализовать корневую зону DNS

    Группа инженеров предложила заменить корневые DNS-серверы peer-to-peer сетью на базе блокчейна. Рассказываем, что об этой инициативе думает ИТ-сообщество.


    Фото — Marcus Bengtsson — Unsplash

    Чем поможет блокчейн в системе DNS


    Задача сертификационных центров (CA) — подтвердить что соединение с сервером защищено и SSL-сертификат, выданный тому или иному сайту, легитимен. Каждый сертификационный центр имеет право делегировать ответственность за проверку сертификатов другим организациям, но пользователи браузеров не могут проверить, насколько надежен тот или иной CA и следует ли он регламентам безопасности консорциума CA/Browser Forum.

    Если сертификат скомпрометирован, это открывает возможности для MITM-атак. Подобное уже случалось — в 2011 году иранские хакеры подменили более 500 SSL-сертификатов, выданных центром сертификации DigiNotar. Среди них находились сертификаты Mozilla, Google и других компаний. В течение месяца злоумышленники прослушивали трафик 300 тыс. пользователей.

    Некоторые ИТ-эксперты также беспокоятся, что криптографическими ключами корневой зоны DNS управляет одна корпорация — ICANN. Она выступает монополистом и диктует свои условия — какие доменные имена верхнего уровня (TLD) будут зарегистрированы и сколько это будет стоить. Так, подача заявки на новый TLD обойдется в 185 тыс. долларов.

    В попытке решить проблему доверия к центрам сертификации и децентрализовать корневую зону, инженеры из Namebase стали работать над альтернативным подходом к организации системы DNS. Они предложили заменить корневые серверы блокчейн-сетью Handshake.

    Как это работает


    Блокчейн выступает в роли хранилища файла с информацией о доменах. Для их защиты в распределенной сети применяют алгоритм proof-of-work, как в биткоине. Чтобы зарегистрировать домен, пользователи отправляют в блокчейн соответствующий запрос — вот так он будет выглядеть для example.com:

    $ hsw-rpc createclaim example
    {
      "name": "example",
      "target": "example.com.",
      "value": 1133761643,
      "size": 3583,
      "fee": 17900,
      "address": "ts1qd6u7vhu084494kf9cejkp4qel69vsk82takamu",
      "txt": "hns-testnet:aakbvmygsp7rrhmsauhwlnwx6srd5m2v4m3p3eidadl5yn2f"
    }
    

    Помимо прочего в запросе указано название сайта, доменное имя и сумма, которую пользователь готов заплатить майнерам за регистрацию записи в блокчейне. Оплата происходит с помощью утилитарных токенов HNS. По завершению майнинга — занимает от 5 до 20 минут — система наделяет владельца правами на домен. Также веб-мастер получает ключ, с помощью которого он сможет сам ставить криптографические подписи. Такой подход позволит отказаться от классических сертификационных центров.

    Токены HNS применяют и при продаже домена. Сделка проходит в формате открытого аукциона — имя передают пользователю, сделавшему наибольшую ставку. Чтобы избежать киберсквоттинга, разработчики Handshake уже закрепили в блокчейн-сети доменные имена первых 100 тыс. сайтов, входящих в рейтинг Alexa. Их реальные владельцы в любой момент могут мигрировать в блокчейн-сеть и даже получить за это вознаграждение.

    Мнения


    По словам авторов Handshake, возможности их платформы положительно оценил один из разработчиков стека протоколов TCP/IP Винтон Серф. Год назад он сам предлагал внедрить решение, которое повысит доверие к центрам сертификации. Да и в целом идею распределенной корневой системы DNS в ИТ-сообществе поддержали. Хотя бы потому что она открывает несколько интересных возможностей.

    Handshake позволяет связать IP-адреса с новыми TLD и использовать домен верхнего уровня как полноценное имя. Например, совершать переход на «namebase.io», вписав в адресную строку «namebase». Хотя некоторые резиденты Hacker News говорят, что функция едва ли будет популярна. Адрес сайта без точки выглядит необычно и запутает пользователей.


    Фото — Kaley Dykstra — Unsplash

    Также на HN отметили, что в прошлом проекты, подобные Handshake, уже запускались — были Namecoin и ENS. И они не получили широкого распространения. Четыре года назад из 120 тыс. зарегистрированных доменных имен в базе Namecoin проявляли активность всего 28. Есть мнение, что Handshake ожидает та же участь.

    Хотя специалисты из Namebase говорят, что их платформа, в отличие от аналогов, не конкурирует с традиционной системой доменных имён и совместима с ней. Если пользователь попробует ввести адрес одного из 100 тыс. самых популярных сайтов, владельцы которых не зарегистрировались в блокчейн-сети, программное обеспечение перенаправит запрос классическим DNS-серверам.

    Разработчики намерены сохранять прозрачность и полную совместимость своей децентрализованной системы с протоколами ICANN. И будущее Handshake зависит от того, захотят ли крупные компании перейти на альтернативное DNS-решение.

    Дополнительное чтение:

    Как узнать, из чего состоит SSL-сертификат
    Какие бывают SSL-сертификаты и зачем нужны
    Область покрытия и цепочки SSL-сертификатов
    Получение OV и EV сертификата — что нужно знать
    Как защитить виртуальный сервер в интернете


    Небольшой FAQ по работе с SSL в облаке 1cloud.ru. Рассказываем, как добавить, продлить и протестировать сертификаты на разных системах.

    1cloud.ru
    337,18
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией

    Комментарии 52

      0

      Децентрализация и независимость интернета от одной компании — это хорошо. Но что-то подсказывает, что не взлетит. Не, не взлетит.

        0

        namecoin 100 лет как работает (домен .bit). Eсть шлюзовое ПО. Также обеспечивает openid. Но да, что-то очень низенько летит, но ведь летит ...

          0
          Закрыли же.
            0
            Закрыли же.

            Кто закрыл? Как закрыл? Как можно закрыть блокчейн, в котором есть живые полные узлы? Это-же не частная лавочка, захотел и закрыл. Это публичная распределённая сеть. В этом прелесть сетей без всяких корпораций, — пока есть пользователи сеть будет жить.


            https://www.namecoin.org/


            https://coinmarketcap.com/currencies/namecoin/


            https://nameid.org/

              0
              Нене, помню, что новость была, то ли разработку останавливали, то ли еще что.
                0

                Я понимаю, в современном мире ни по линкам никто не ходит, ни пруфов никому не нужно, — главное вера. Но если вы чушь пишите под линками сразу, то это даже не смешно. Но вы главное верьте в то, что пишете. Это наверное какое-то моральное удовлетворение приносит. Кстати есть ещё emercoin. Тоже похоронен?

                  0
                  Кстати есть ещё emercoin. Тоже похоронен?

                  А он даже не взлетел. Если namecoin-ом массово пользовались всякие киберпреступники, то emercoin был вообще не в фокусе.

                  Но если вы чушь пишите под линками сразу

                  Я же написал — «то ли». Мне вам разжевывать каждое слово?
                  Я, конечно, сейчас линков не найду, но где-то (возможно, даже здесь на Хабре) несколько месяцев назад попалась на глаза новость негативного характера, суть которой сводилась к тому, что Namecoin то ли обновляться не будет, то ли разработка прекращена, короче лейтмотив «нам никто не платит, пользуются одни преступники, мы устали отмахиваться трусами от абузов, мы ушли». Ну не сохраняю я линков на новости. Бегло погугли — не нашел, ну ок, значит показалось.

                  А закрыть блокчейн-сеть просто — сделать майнинг невыгодным, продукт — маргинальным. Ну вон, есть Siacoin и StorJ — они вроде как есть, но чот продуктов на их базе не особо. Не шагают победным шагом по планете как биток, дэш, лайткойн, монеро, ripple, эфир.

                  Сопцна, при отсутствии интереса — узлы отваливаются сами.
        +3
        Предположим однажды система станет популярна и возникнет спор о домене. Что будет, если суд США решит передать домен example.com от evil corp к good corp, как и кто будет исполнять такое решение? Что если это будет решение суда России или Уганды? Что если решение суда будет касаться не корпорации, а частного лица, к тому же анонимного? Можно ли принудить децентрализованную сеть к идентификации заявителей при регистрации доменов? Много вопросов, мало ответов.
          +2
          Что будет

          Можно ли принудить децентрализованную сеть

          Не будет, нельзя. И это хорошо. Потому что просто работает, без вопросов.
            +5
            Система, в которой кража домена столь же бесповоротна, сколь и кража биткоина? Сайт nic.ru сообщает, что «В разное время своих владельцев несанкционированно меняли домены: Sex.com, ClubVibes.com, Commercials.com, iFly.com, Hackers.com, Wifi.com, Nike.com, Babayiz.biz, HZ.com, HushMail.com, 2e.com, Ssk.org, Ebay.de». И что тут хорошего?
              –2
              Вы упоролись? Биткойны можно украсть, только если украсть закрытый ключ, соответствующий адресу кошелька. Протеряли/отдали ключ — сами виноваты.

              В разное время своих владельцев несанкционированно меняли домены

              По причине централизованной архитектуры. Сложно увести актив, если нечем заверять факт его владения и распоряжения.
                +4
                Предположим одна социальная сеть покупает одно фотоприложение за один миллиард долларов. Домен покупаемой компании стоит значительную часть этого миллиарда. Доступ к закрытому ключу в покупаемой компании фактически имеет хотя бы один конкретный системный администратор. Каким образом можно гарантировать сделку от недобросовестности конкретного сотрудника? Кто вообще в мире большого бизнеса потратит хоть один доллар в условиях подобных рисков?
                  0
                  Каким образом можно гарантировать сделку от недобросовестности конкретного сотрудника?

                  А как бухгалтерам доверяют деньги? А про передачу домена что-то есть и в самой статье.
                  Токены HNS применяют и при продаже домена. Сделка проходит в формате открытого аукциона — имя передают пользователю, сделавшему наибольшую ставку.

                  Значит технически как-то фиксируется новый хозяин, иначе никакая передача домена не была бы возможна.
                    0
                    Имхо, речь скорее идет о том, что если можно украсть бесповоротно хоть один домен, значит этот процесс можно автоматизировать и украсть максимально возможное число доменов.
                    Иначе говорят, один раз украв oooromashka.ru можно запустить автоматический процесс и украсть домены gmail, facebook, vkontakte, sberbank, tinkoff, amazon, gosuslugi, github, серверы времени и остальные. И не факт, что против автоматического угона домена поможет даже юридический механизм возврата владельца.
                    0
                    Каким образом можно гарантировать

                    Никаким.
                    Каким образом можно гарантировать, что вас завтра не собьет автомобиль, не порежет пьяный бомж, и на вас не упадет кирпич?
                      +1
                      В идеале гарантировать это должны ПДД, полиция и управляющая компания.
                      Т.е регуляторы
                      А вот как раз таки в случаях когда водитель децентрализованно решает по каким правилам он хочет ездить — шанс что вас собьет автомобиль возрастает.
                        0
                        Нет. ПДД вводит нормы. За нарушение норм полагается ответственность.
                        Но наложение санкций на нарушителя не оживит убитого, не вернет из ломбарда украденное и уже проданное. В этом аспекте вам гарантий никто не дает, и нико вам кроме вас не помощник и не спаситель.
                        0
                        Каким образом можно гарантировать, что вас завтра не собьет автомобиль, не порежет пьяный бомж, и на вас не упадет кирпич?

                        Можно один день посидеть дома, никуда не ходить.
                          0
                          Воооот. Это называется «холодный кошелек».
                        0
                        оступ к закрытому ключу в покупаемой компании фактически имеет хотя бы один конкретный системный администратор

                        А если 3 и больше — это называется multisig. Оно же quorum authentication. Проголосует большинство за трансфер новому владельцу — пожалуйста.
                        –1
                        Желаю чтобы когда вас ограды и в полиции сказали: ну вы же сами отдали грабитнлям деньги — сами виноваты. Ну кто виноват что у вас дверь за минут болгаркой ломается. Надо было лучше думать о своей защите
                          +2
                          в полиции сказали: ну вы же сами отдали грабитнлям деньги — сами виноваты

                          А они в общем-то так и говорят обычно, и упорно не хотят заводить дела. Но в любом случае предпринимать меры безопасности прежде всего в интересах самого человека.
                            0
                            За 2018 год было осуждено 150 тыс преступников за кражи.
                            Но в любом случае предпринимать меры безопасности прежде всего в интересах самого человека.

                            Да. Но я могу вообще не закрывать дверь. Это не отменяет того факта что человек который украл мое имущество вор, а оно должно быть возвращено мне всеми доступными способами.
                              0
                              Но если вы держите дверь закрытой — то вероятность того, что у вас что-то украдут — существенно ниже.
                            0
                            А, ну и если мы говорим про взлом болгаркой — как вы себе представляете похищение закрытого ключа?
                              0
                              Терморектальный криптоанализ…
                                0
                                В общем случае это не работает.
                      0
                      Если убрать нонсенс права собственности на слова, то децентрализованное разрешение имен станет таким же естественным как языки.
                        0
                        А как можно убрать право собственности на слова, если для некоторых интернет-компаний домен это актив стоимостью в миллиарды долларов?
                          –3
                          Очень им сочувствуем, но в случае с децентрализованными реестрами — кто первый успел, тот и зарегал.
                          Страдать или выкупать.
                            0
                            Вы про домен своего банка где находятся ваши деньги?
                              –1
                              Я про любой домен. Кто раньше встал — того и тапки, нормальное право.
                              +1

                              вы сквоттер? бизнес стал плохо идти, надеетесь на улучшения?

                                –1
                                Нет. Я не сквоттер, но искренне не понимаю, почему кто-то должен получать зарегитрированное другим бесплатно.
                              0

                              Также просто как вынести мусор.

                            +1

                            А разве обязательно подчиняться кому-то? Можно же и без хозяев жить.

                              –1
                              приведите пример хоть одного такого сообщества (только не «без хозяев» — а без организации)
                                –3
                                Весь интернет в руках одной компании ICANN как-то не очень правильно.
                            +8

                            выглядит как очередное блокчейн решение для выдуманных проблем.

                              +2
                              меня вот больше интересует гипотетический случай когда владельца домена внезапно постигает кончина, неважно по какой причине. допустим, что знание где лежит ключ от домена или какой от него пароль владелец унёс с собой. что дальше? домен утерян на веки вечные? даже если это крупная компания, раздолбайство отдельных сотрудников никто не отменял. впрочем с биткоинами та же проблема.
                                0
                                Гипотетически, ключ от доменов типа google.com не должен единолично валяться в кармане одного из владельцев гугла.

                                Практически же… А были практические случаи, чтобы ключи от доменов крупных компаний кто-то внезапно уносил с собой в могилу?
                                  +2
                                  Были случаи, когда ключи от кошельков с крупными суммами уносили в могилу.
                                    0
                                    Ну да, сундуки с золотом в средние века тоже, бывало, закопают и ага…
                                    Вот именно с доменами именно крупной и важной компании такого не припомню.
                                0
                                > в запросе указано название сайта
                                > веб-мастер получает ключ
                                Я немного заблудился — речь идет о доменах или же о веб-сайтах?
                                  0
                                  Кхм, а насколько быстро будут обрабатываться запросы для простого домашнего пользователя… Ведь не в реальном времени адреса извлекаться будут — это-ж явно медленно.
                                  А если есть промежуточный кеш — то кто может запретить его подмену?
                                    0
                                    Какой-нибудь аналог DNSSEC?
                                      0
                                      здесь ещё стоит добавить вопрос о размере самого блокчейна — какой он будет если одновременно все адреса сайтов рабочих на данный момент занести в базу?
                                      +2
                                      в 2011 году иранские хакеры подменили более 500 SSL-сертификатов, выданных центром сертификации DigiNotar. Среди них находились сертификаты Mozilla, Google и других компаний.

                                      Из этой фразы можно подумать, что Mozilla, Google и другие компании получали свои сертификаты от DigiNotar, а потом злобные хакеры эти DigiNotar сертификаты подменили.

                                      Правильно написать, что подтверждает и Ваша ссылка, что хакеры взломали DigiNotar и с его помощью издали более 500 SSL-сертификатов, включая сертификаты Mozilla, Google и других компаний. А затем использовали эти подложные сертификаты, чтобы заманивать пользователей на фейковые Mozilla, Google, Microsoft и другие сайты.
                                      +1

                                      Блокчейн вообще никак не решает проблему безопасности. Контроль будет либо все также в руках одной-нескольких компаний, либо над ним можно будет взять контроль еще легче, чем выпускать подменные сертификаты.

                                        +1

                                        зато модно и молодежно, блаженная Вера в большинство в интернете не утихает

                                        +1
                                        Всё смешалось — кони, люди… То речь идёт о сертификатах и SSL, то о доменных именах. Всё это перемешивается и заявляется серебряной пулей.

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое