PCH:互联网治理制裁措施的技术讨论
2022-07-20董明
PCH在发布声明的同时,还提供了如下附件,附件里对乌克兰提出的每一项拟议制裁的技术细节进行逐一分析。
对乌克兰请求的分析
纳博克先生的信要求对俄罗斯实施四项互联网治理制裁,即:
1 永久或临时撤销国家代码顶级域名“.ru”、“. рф”和“.su”。
2 撤销与这些域名关联的SSL证书。
3 禁用位于俄罗斯联邦境内的DNS根服务器。
4 收回俄罗斯网络IPv4和IPv6地址的使用权。
接下来,我们将讨论提出的每一项制裁,以及我们认为更有效、成本更低、意外后果风险更低的其他制裁。
撤销国家代码顶级域名(ccTLDS)
国家名称的每个ISO-3166 Alpha-2两个字母的缩写保留给该国的互联网社区作为“国家代码顶级域名”或“ccTLD”使用。这一保留是针对该国的互联网社区,而不是该国政府做出的。“国际化”顶级域名的地理、政治和社会文化分配(如:俄罗斯联邦的“.pф”或乌克兰的“.уkр”)与ISO-3166机制并行制定。
任何ccTLD的主要用户都是普通民众,他们可能分布在全球,可能因语言或文化认同而非国籍或民族认同而团结在一起。
任何ccTLD的主要用户都是普通民众,他们可能分布在全球,可能因语言或文化认同而非国籍或民族认同而团结在一起。
从域名系统的根区域删除ccTLD(信中建议的制裁)将使全球任何人,无论是俄罗斯境内还是境外,都很难联系到受影响域名的用户,这些用户几乎完全由讲俄语的民众组成。与此同时,它对俄罗斯军事网络的影响相对较小,因为这些网络不太可能依赖自身控制之外的DNS服务器。
因此,无论是暂时还是永久撤销ccTLD,都不是一种有效的制裁,因为它对民众造成了不成比例的伤害。具体而言,它对任何采取了网络防御准备措施以减轻对外国域名服务器域名解析依赖的政府都是无效的。
此外,任何受到这一制裁的国家都有可能立即建立一个“替代根”,使用一些简单的技术手段与互联网数字分配机构(IANA)管理的根竞争。如果一个国家这样做,其他国家可能也会效仿,从而导致允许普遍互联的共识互联网分崩离析。
撤销与域名关联的证书
至少有两种加密证书和签名是潜在针对制裁的机制,PCH对每一种都进行了独立的讨论。
首先,是撤销SSL证书:SSL(Secure Socket Layer)是一种认证机制,主要用于对从Web浏览器到Web服务器的连接进行身份验证和加密,后来被TLS(Transport Layer Security)所取代。这种证书用于在线商务和银行业务。证书由证书颁发机构(“CAs”)颁发,目前大约有700个证书颁发机构,其中相当一部分机构由国家政府或情报机构直接或间接控制。这些组织中的任何一个都可以向任何人颁发证书,证明他们是任何域的真正管理员。
撤销与政府或军事域名相关的证书并不是一种有效的制裁,因为目标政府可能已经在使用自己控制下的CA,如果不是这样,它很容易导致受其影响的任何CA颁发替代证书。撤销与私有子域相关联的证书(例如,redcross.ru、citibank.ru),将使这些组织与其支持者之间的通信变得不安全,并容易受到网络攻击,直到它们能够获得新的证书;削弱法律和秩序,这使普通民众更容易受到犯罪的伤害,这不是一种有效的制裁。
或者,将宣传机构的现有证书添加到证书撤销列表中,或使用在线证书状态协议(OSCP)将其标记为已撤销,这将警告临时用户此类网站存在问题,并要求他们在警告之后采取明确的行动。然而,这些技术是有限的:它们通常必须由签发原始证书的同一CA完成,这可能不受被制裁政府的影响。因此,在可以实施的情况下,这是一种有效的制裁,因为它是具体的、易于集中执行和回滚的,几乎不会产生意外的更广泛后果。
撤销DNS委派上的DNSSEC签名
用于对域名进行身份验证的加密签名称为DNSSEC或DNS安全扩展签名。客户端可以通过加密验证与域名相关联的DNSSEC签名来评估域名和IP地址之间映射的准确性,这使得它们能够查找和连接到互联网上的资源。
如果从DNS根目录中删除了顶级域,则验证该域委派的DNSSEC签名也将随之删除。仍然拥有旧信息的DNS客户端或解析程序可以继续到达由域名标识的网站或电子邮件地址,但它们将无法验证其是否到达了正确的位置。验证顶级域委派的DNSSEC签名也可以被删除,同时保留委派本身。
DNSSEC签名防止犯罪分子执行“中间人”攻击,例如,冒充零售银行的网站来捕获用户的身份验证信息并清空他们的账户。在DNS层次结构中,军事和高安全性网络可以使用技术手段来确保在其控制的签名之上缺乏DNSSEC委托不会干扰其解析。然而,普通互联网用户要么会遇到错误信息,表明他们的银行网站是冒名顶替者,要么在他们和银行之间出现攻击者时不会得到通知。
无论是否与删除授权相关联,删除DNSSEC签名以验证国家顶级域名的授权,都可能对军事和其他高度安全网络几乎没有或根本没有影响,但这将削弱法律和秩序,并使普通人更容易受到网络犯罪的影响。因此,篡改DNSSEC签名不是有效的制裁。
禁用DNS根服务器
根域名服务器只是那些保存DNS“根区域”静态副本的域名服务器,就其本质而言,根区域就是公共信息。基本上,任何域名服务器都可以成为根域名服务器,只需告诉它检索和缓存DNS根区域的副本。
禁用特定的根域名服务器没有任何效果,因为根据设计,它们不具有唯一的特权或拥有唯一的信息。禁用所有根域名服务器是不可行的,因为这将禁用每个人的互联网,任何人都可以建立新的根域名服务器。因此,禁用根名称服务器作为制裁没有任何用处。
收回互联网协议地址使用权
互联网协议(IP)地址是互联网设备相互查找的数字标识符,由五个区域互联网注册中心分配,这些注册中心共同构成了数字资源组织(NRO)。
Rés eaux IP Europée ns(RIPE)是欧洲、中东和中亚部分地区的区域互联网注册中心,负责为俄罗斯实体分配IP地址。
如果RIPE的成员组织通过其多利益攸关方治理进程指示RIPE收回IP地址使用权,它有权制定政策去收回它向俄罗斯组织分配的IP地址。
这种情况与域名的治理有一些相似之处,但也有明显的不同。ICANN的权限只延伸到DNS层次结构中的根级别,因此ICANN采取的行动固有地影响整个顶级域,不可能只对一个子域而不对其他子域采取“外科手术”式的行动。
ICANN采取的行动固有地影响整个顶级域,不可能只对一个子域而不对其他子域采取“外科手术”式的行动。
相比之下,区域互联网注册可以影响每个组织(甚至更细)的政策。然而,取消IP地址分配并不能阻止它的前持有者继续使用它。
事实上,“IP地址劫持”是互联网上一个比较常见的问题。因此,虽然它可以精确地针对目标,但简单地取消IP地址分配的使用权本身并不是一种有效的制裁。
请注意,IP地址撤销和RPKI认证撤销的过程将是地址接收者(如俄罗斯军方)未能向其地区性互联网注册管理机构(RIR)支付年度登记费的正常后果,这实际上可能是金融和银行制裁的后果。但这一过程可能需要数年时间。
撤销IP地址分配的另一个负面后果是,撤销的地址可能随后被分配给不同的接收者,后者将发现自己与原始持有者争夺其使用权。
控制路由安全认证
纳博克在信函中没有明确要求的一项潜在制裁是控制路由安全认证,以产生部分或完全切断特定网络的效果,如俄罗斯军方或宣传机构的网络。
与域名一样,存在以加密方式验证IP地址使用合法性的技术机制。路由策略规范语言(RPSL)和路由公钥基础设施(RPKI)是两种主要的路由机制。
为了在互联网上进行通信,IP地址必须通过路由系统“发布”,而更大和更安全的网络的路由器利用这两种机制来确保无效的路由不会被他们的路由器使用。较小和安全性较低的网络通常不执行这些机制。
对集中注册中心中的RPSL和RPKI记录的操作将流经使用这些通用路由安全机制的所有网络,其中一些机制随后将自动停止往返指定网络的路由通信,而不会影响其他“邻近”的民用网络。
对RPSL和RPKI路由安全认证的控制可能是一种有效的制裁措施,因为它看起来精确、容易快速地实现和撤销,并且相当有效。
然而,将预先存在的路由安全机制用于制裁,可能是相关网络意想不到的,并可能与这些网络的业务或监管要求相冲突,而且,最重要的是,可能出现网络完全退出系统的风险。
这种退出不仅会使这种潜在的制裁在未来变得不那么有效,而且会以更大的成本侵蚀整个互联网的网络安全。因此,这构成了不可接受的风险。
其他与互联网有关的非技术制裁
与互联网的运营和治理有关的其他制裁措施可能值得考虑。例如,不允许受制裁人员参与互联网治理、决策或标准化程序。此类非技术措施不在本文的讨论范围之内。
限制名单
网络运营商和DNS解析运营商已经在使用多利益攸关方管理的名单,类似于金融贷款人使用信用评分机构的方式,来确定要在哪些IP地址之间路由和传递流量,以及要解析哪些域名。这是一种机制,通过它可以将持续的垃圾邮件发送者和地址劫持者排除在网络之外,并保护互联网用户免受恶意软件和网络钓鱼的攻击。
传递这种限制信息的技术机制是成熟的、健壮的、即时的和全局标准化的。与IP地址和自治系统数字地址相关的信息大多通过BGP传输,而与域名相关的信息大多通过RPZ传输。这两种机制基本上由全球所有大型运营商来实现。
限制IP地址和自治系统数字地址具有撤销地址块或控制路由安全认证的所有优点,而没有缺点。它允许网络运营商限制路由接收和通信量通过,在不同的情况下和应对不同的威胁时,任何一种方式或两者都可能是适用的。
域名封锁清单允许全精度和特异性,这是ICANN采取限制行动的问题。该系统是选择性加入、自愿、共识和自下而上的,所有这些都是互联网治理社区所珍视的价值观。然而,与此同时,它已获得广泛的采用。
综上所述,成熟的封锁清单方法提供了对IP路由、流量和域名进行制裁的最佳机制,如果签署实体正常实施,这种机制没有显著的成本或风险。
因此,对IP地址、自治系统和域名进行限制是有效的,而且不会带来过于宽泛的固有危险。一旦决定了,它就很容易被调用,一旦问题解决,同样也很容易回滚。最重要的是,它没有巨大的成本或风险,并且符合互联网的多利益攸关方治理价值观和原则。