PCH：互聯網治理制裁措施的技術討論

PCH在發布聲明的同時，還提供了如下附件，附件里對烏克蘭提出的每一項擬議制裁的技術細節進行逐一分析。

對烏克蘭請求的分析

納博克先生的信要求對俄羅斯實施四項互聯網治理制裁，即：

1 永久或臨時撤銷國家代碼頂級域名“.ru”、“. рф”和“.su”。

2 撤銷與這些域名關聯的SSL證書。

3 禁用位于俄羅斯聯邦境內的DNS根服務器。

4 收回俄羅斯網絡IPv4和IPv6地址的使用權。

接下來，我們將討論提出的每一項制裁，以及我們認為更有效、成本更低、意外后果風險更低的其他制裁。

撤銷國家代碼頂級域名（ccTLDS）

國家名稱的每個ISO-3166 Alpha-2兩個字母的縮寫保留給該國的互聯網社區作為“國家代碼頂級域名”或“ccTLD”使用。這一保留是針對該國的互聯網社區，而不是該國政府做出的。“國際化”頂級域名的地理、政治和社會文化分配（如：俄羅斯聯邦的“.pф”或烏克蘭的“.уkр”）與ISO-3166機制并行制定。

任何ccTLD的主要用戶都是普通民眾，他們可能分布在全球，可能因語言或文化認同而非國籍或民族認同而團結在一起。

任何ccTLD的主要用戶都是普通民眾，他們可能分布在全球，可能因語言或文化認同而非國籍或民族認同而團結在一起。

從域名系統的根區域刪除ccTLD（信中建議的制裁）將使全球任何人，無論是俄羅斯境內還是境外，都很難聯系到受影響域名的用戶，這些用戶幾乎完全由講俄語的民眾組成。與此同時，它對俄羅斯軍事網絡的影響相對較小，因為這些網絡不太可能依賴自身控制之外的DNS服務器。

因此，無論是暫時還是永久撤銷ccTLD，都不是一種有效的制裁，因為它對民眾造成了不成比例的傷害。具體而言，它對任何采取了網絡防御準備措施以減輕對外國域名服務器域名解析依賴的政府都是無效的。

此外，任何受到這一制裁的國家都有可能立即建立一個“替代根”，使用一些簡單的技術手段與互聯網數字分配機構（IANA）管理的根競爭。如果一個國家這樣做，其他國家可能也會效仿，從而導致允許普遍互聯的共識互聯網分崩離析。

撤銷與域名關聯的證書

至少有兩種加密證書和簽名是潛在針對制裁的機制，PCH對每一種都進行了獨立的討論。

首先，是撤銷SSL證書：SSL（Secure Socket Layer）是一種認證機制，主要用于對從Web瀏覽器到Web服務器的連接進行身份驗證和加密，后來被TLS（Transport Layer Security）所取代。這種證書用于在線商務和銀行業務。證書由證書頒發機構（“CAs”）頒發，目前大約有700個證書頒發機構，其中相當一部分機構由國家政府或情報機構直接或間接控制。這些組織中的任何一個都可以向任何人頒發證書，證明他們是任何域的真正管理員。

撤銷與政府或軍事域名相關的證書并不是一種有效的制裁，因為目標政府可能已經在使用自己控制下的CA，如果不是這樣，它很容易導致受其影響的任何CA頒發替代證書。撤銷與私有子域相關聯的證書（例如，redcross.ru、citibank.ru），將使這些組織與其支持者之間的通信變得不安全，并容易受到網絡攻擊，直到它們能夠獲得新的證書；削弱法律和秩序，這使普通民眾更容易受到犯罪的傷害，這不是一種有效的制裁。

或者，將宣傳機構的現有證書添加到證書撤銷列表中，或使用在線證書狀態協議（OSCP）將其標記為已撤銷，這將警告臨時用戶此類網站存在問題，并要求他們在警告之后采取明確的行動。然而，這些技術是有限的：它們通常必須由簽發原始證書的同一CA完成，這可能不受被制裁政府的影響。因此，在可以實施的情況下，這是一種有效的制裁，因為它是具體的、易于集中執行和回滾的，幾乎不會產生意外的更廣泛后果。

撤銷DNS委派上的DNSSEC簽名

用于對域名進行身份驗證的加密簽名稱為DNSSEC或DNS安全擴展簽名。客戶端可以通過加密驗證與域名相關聯的DNSSEC簽名來評估域名和IP地址之間映射的準確性，這使得它們能夠查找和連接到互聯網上的資源。

如果從DNS根目錄中刪除了頂級域，則驗證該域委派的DNSSEC簽名也將隨之刪除。仍然擁有舊信息的DNS客戶端或解析程序可以繼續到達由域名標識的網站或電子郵件地址，但它們將無法驗證其是否到達了正確的位置。驗證頂級域委派的DNSSEC簽名也可以被刪除，同時保留委派本身。

DNSSEC簽名防止犯罪分子執行“中間人”攻擊，例如，冒充零售銀行的網站來捕獲用戶的身份驗證信息并清空他們的賬戶。在DNS層次結構中，軍事和高安全性網絡可以使用技術手段來確保在其控制的簽名之上缺乏DNSSEC委托不會干擾其解析。然而，普通互聯網用戶要么會遇到錯誤信息，表明他們的銀行網站是冒名頂替者，要么在他們和銀行之間出現攻擊者時不會得到通知。

無論是否與刪除授權相關聯，刪除DNSSEC簽名以驗證國家頂級域名的授權，都可能對軍事和其他高度安全網絡幾乎沒有或根本沒有影響，但這將削弱法律和秩序，并使普通人更容易受到網絡犯罪的影響。因此，篡改DNSSEC簽名不是有效的制裁。

禁用DNS根服務器

根域名服務器只是那些保存DNS“根區域”靜態副本的域名服務器，就其本質而言，根區域就是公共信息。基本上，任何域名服務器都可以成為根域名服務器，只需告訴它檢索和緩存DNS根區域的副本。

禁用特定的根域名服務器沒有任何效果，因為根據設計，它們不具有唯一的特權或擁有唯一的信息。禁用所有根域名服務器是不可行的，因為這將禁用每個人的互聯網，任何人都可以建立新的根域名服務器。因此，禁用根名稱服務器作為制裁沒有任何用處。

收回互聯網協議地址使用權

互聯網協議（IP）地址是互聯網設備相互查找的數字標識符，由五個區域互聯網注冊中心分配，這些注冊中心共同構成了數字資源組織（NRO）。

Rés eaux IP Europée ns（RIPE）是歐洲、中東和中亞部分地區的區域互聯網注冊中心，負責為俄羅斯實體分配IP地址。

如果RIPE的成員組織通過其多利益攸關方治理進程指示RIPE收回IP地址使用權，它有權制定政策去收回它向俄羅斯組織分配的IP地址。

這種情況與域名的治理有一些相似之處，但也有明顯的不同。ICANN的權限只延伸到DNS層次結構中的根級別，因此ICANN采取的行動固有地影響整個頂級域，不可能只對一個子域而不對其他子域采取“外科手術”式的行動。

ICANN采取的行動固有地影響整個頂級域，不可能只對一個子域而不對其他子域采取“外科手術”式的行動。

相比之下，區域互聯網注冊可以影響每個組織（甚至更細）的政策。然而，取消IP地址分配并不能阻止它的前持有者繼續使用它。

事實上，“IP地址劫持”是互聯網上一個比較常見的問題。因此，雖然它可以精確地針對目標，但簡單地取消IP地址分配的使用權本身并不是一種有效的制裁。

請注意，IP地址撤銷和RPKI認證撤銷的過程將是地址接收者（如俄羅斯軍方）未能向其地區性互聯網注冊管理機構（RIR）支付年度登記費的正常后果，這實際上可能是金融和銀行制裁的后果。但這一過程可能需要數年時間。

撤銷IP地址分配的另一個負面后果是，撤銷的地址可能隨后被分配給不同的接收者，后者將發現自己與原始持有者爭奪其使用權。

控制路由安全認證

納博克在信函中沒有明確要求的一項潛在制裁是控制路由安全認證，以產生部分或完全切斷特定網絡的效果，如俄羅斯軍方或宣傳機構的網絡。

與域名一樣，存在以加密方式驗證IP地址使用合法性的技術機制。路由策略規范語言（RPSL）和路由公鑰基礎設施（RPKI）是兩種主要的路由機制。

為了在互聯網上進行通信，IP地址必須通過路由系統“發布”，而更大和更安全的網絡的路由器利用這兩種機制來確保無效的路由不會被他們的路由器使用。較小和安全性較低的網絡通常不執行這些機制。

對集中注冊中心中的RPSL和RPKI記錄的操作將流經使用這些通用路由安全機制的所有網絡，其中一些機制隨后將自動停止往返指定網絡的路由通信，而不會影響其他“鄰近”的民用網絡。

對RPSL和RPKI路由安全認證的控制可能是一種有效的制裁措施，因為它看起來精確、容易快速地實現和撤銷，并且相當有效。

然而，將預先存在的路由安全機制用于制裁，可能是相關網絡意想不到的，并可能與這些網絡的業務或監管要求相沖突，而且，最重要的是，可能出現網絡完全退出系統的風險。

這種退出不僅會使這種潛在的制裁在未來變得不那么有效，而且會以更大的成本侵蝕整個互聯網的網絡安全。因此，這構成了不可接受的風險。

其他與互聯網有關的非技術制裁

與互聯網的運營和治理有關的其他制裁措施可能值得考慮。例如，不允許受制裁人員參與互聯網治理、決策或標準化程序。此類非技術措施不在本文的討論范圍之內。

限制名單

網絡運營商和DNS解析運營商已經在使用多利益攸關方管理的名單，類似于金融貸款人使用信用評分機構的方式，來確定要在哪些IP地址之間路由和傳遞流量，以及要解析哪些域名。這是一種機制，通過它可以將持續的垃圾郵件發送者和地址劫持者排除在網絡之外，并保護互聯網用戶免受惡意軟件和網絡釣魚的攻擊。

傳遞這種限制信息的技術機制是成熟的、健壯的、即時的和全局標準化的。與IP地址和自治系統數字地址相關的信息大多通過BGP傳輸，而與域名相關的信息大多通過RPZ傳輸。這兩種機制基本上由全球所有大型運營商來實現。

限制IP地址和自治系統數字地址具有撤銷地址塊或控制路由安全認證的所有優點，而沒有缺點。它允許網絡運營商限制路由接收和通信量通過，在不同的情況下和應對不同的威脅時，任何一種方式或兩者都可能是適用的。

域名封鎖清單允許全精度和特異性，這是ICANN采取限制行動的問題。該系統是選擇性加入、自愿、共識和自下而上的，所有這些都是互聯網治理社區所珍視的價值觀。然而，與此同時，它已獲得廣泛的采用。

綜上所述，成熟的封鎖清單方法提供了對IP路由、流量和域名進行制裁的最佳機制，如果簽署實體正常實施，這種機制沒有顯著的成本或風險。

因此，對IP地址、自治系統和域名進行限制是有效的，而且不會帶來過于寬泛的固有危險。一旦決定了，它就很容易被調用，一旦問題解決，同樣也很容易回滾。最重要的是，它沒有巨大的成本或風險，并且符合互聯網的多利益攸關方治理價值觀和原則。