De zeven sleutels tot het internet

Het klinkt als een spannend mysterie. Zeven sleutels die samen toegang verschaffen tot een van de belangrijkste onderdelen van het internet: het Domain Name System (DNS). Dit systeem zorgt ervoor dat domeinnamen van websites aan de juiste unieke cijfercombinaties - IP-adressen in vakjargon - gekoppeld worden.

Iedere website heeft zo zijn eigen specifieke code. Een voorbeeld: wie '74.125.136.94' in zijn webbrowser intypt, zal altijd op de website van zoekrobot Google terechtkomen. DNS is bijgevolg een zwaarbeveiligd systeem. Het zou immers een ramp zijn, mochten mensen met slechte bedoelingen IP-adressen aan valse websites koppelen. Op die manier zouden nietsvermoedende surfers eenvoudig opgelicht kunnen worden.

Back-up

Wereldwijd staat ICANN (Internet Corporation for Assigned Names and Numbers) in voor de beveiliging van 250 miljoen domeinnamen. Een zware verantwoordelijkheid die niet zomaar aan één persoon gegeven kan worden. Daarom legt het bedrijf de controle over het hele systeem bij 21 mensen. Al zijn ze niet allemaal even belangrijk.

Hoofdzakelijk draait het om zeven hoofdfiguren, verspreid over de hele wereld. Zij hebben elk een sleutel die toegang geeft tot een kluis met een smartcard. Op iedere smartcard staat een unieke code. Pas als alle zeven codes samen gelegd worden, krijg je één master key die toegang geeft tot de database van ICANN. De overige veertien personen maken deel uit van een back-up. Zo valt het systeem niet in duigen wanneer een schakel wegvalt. Deze mensen kunnen met andere smartcards de oorspronkelijke code helpen reconstrueren.

Vier keer per jaar komen alle hoofdrolspelers samen. Twee keer aan de oostkust en twee keer aan de westkust van de Verenigde Staten. Op die geheime bijeenkomsten wordt de bestaande beveiligingscode vervangen door een nieuwe, unieke code. Een heuse ceremonie die zich onder de hoogste beveiligingsmaatregelen voltrekt. Een gebeurtenis die Guardian-journalist James Ball vorige maand zeer uitzonderlijk mocht bijwonen.

"Ik heb keyholders uit onder meer Uruguay, Portugal en de Verenigde Staten ontmoet", schrijft Ball in zijn verslag. "Ze moesten minstens met vijf aanwezig zijn. Anders kon de bijeenkomst niet doorgaan. Het zijn allemaal mensen uit de sector. Iedereen komt uit een andere instelling of belangengroep. Zij zijn zeer zorgvuldig uitgekozen en gescreend."

Het is een systeem dat tot de verbeelding spreekt. Geheime codes, sleutels en mannetjes over de hele wereld. Wat velen echter niet weten, is dat ook onze Belgische domeinnamen via een gelijkaardig systeem beveiligd worden. Lut Goedhuys werkt bij DNS Belgium, de officiële beheerder van alle 1,4 miljoen .be-domeinnamen. Simplistisch gesteld zorgen zij ervoor dat al wie naar www.demorgen.be surft, effectief op de website van de krant terechtkomt. Hoewel ze in hiërarchie onder het internationale ICANN zitten, moeten zij er evengoed voor zorgen dat Belgische websites minstens even sterk beveiligd zijn.

Verkeerde handen

"Ook wij implementeren DNSSEC. Zo heet het beveiligingssysteem", vertelt Goedhuys. "Dat moet zowel op nationaal als internationaal niveau gebruikt worden om effect te hebben. Het is zoals een lange ketting die niet doorbroken mag worden. Dus ook bij ons lopen er mensen rond die een smartcard met unieke code in hun bezit hebben. Iedere maand komen zij samen om de oude code door een nieuwe te vervangen. De technologie gaat zo snel vooruit dat we de code moeten veranderen vooraleer ze achterhaald zou kunnen worden."

En wat als die sleutels, zowel de Belgische als de internationale, in de verkeerde handen vallen? "Het systeem zit zo goed in elkaar dat zoiets praktisch onmogelijk is", zegt Goedhuys nog. "Met één afzonderlijke smartcard ben je niets. Je moet een heel proces met verschillende mechanismen doorlopen vooraleer je aan het systeem geraakt. Nee, dat zal niet snel gebeuren."