PCH在發(fā)布聲明的同時(shí)，還提供了如下附件，附件里對(duì)烏克蘭提出的每一項(xiàng)擬議制裁的技術(shù)細(xì)節(jié)進(jìn)行逐一分析。

對(duì)烏克蘭請(qǐng)求的分析

納博克先生的信要求對(duì)俄羅斯實(shí)施四項(xiàng)互聯(lián)網(wǎng)治理制裁，即：

1 永久或臨時(shí)撤銷國(guó)家代碼頂級(jí)域名“.ru”、“. рф”和“.su”。

2 撤銷與這些域名關(guān)聯(lián)的SSL證書。

3 禁用位于俄羅斯聯(lián)邦境內(nèi)的DNS根服務(wù)器。

4 收回俄羅斯網(wǎng)絡(luò)IPv4和IPv6地址的使用權(quán)。

接下來(lái)，我們將討論提出的每一項(xiàng)制裁，以及我們認(rèn)為更有效、成本更低、意外后果風(fēng)險(xiǎn)更低的其他制裁。

撤銷國(guó)家代碼頂級(jí)域名（ccTLDS）

國(guó)家名稱的每個(gè)ISO-3166 Alpha-2兩個(gè)字母的縮寫保留給該國(guó)的互聯(lián)網(wǎng)社區(qū)作為“國(guó)家代碼頂級(jí)域名”或“ccTLD”使用。這一保留是針對(duì)該國(guó)的互聯(lián)網(wǎng)社區(qū)，而不是該國(guó)政府做出的?！皣?guó)際化”頂級(jí)域名的地理、政治和社會(huì)文化分配（如：俄羅斯聯(lián)邦的“.pф”或?yàn)蹩颂m的“.уkр”）與ISO-3166機(jī)制并行制定。

任何ccTLD的主要用戶都是普通民眾，他們可能分布在全球，可能因語(yǔ)言或文化認(rèn)同而非國(guó)籍或民族認(rèn)同而團(tuán)結(jié)在一起。

任何ccTLD的主要用戶都是普通民眾，他們可能分布在全球，可能因語(yǔ)言或文化認(rèn)同而非國(guó)籍或民族認(rèn)同而團(tuán)結(jié)在一起。

從域名系統(tǒng)的根區(qū)域刪除ccTLD（信中建議的制裁）將使全球任何人，無(wú)論是俄羅斯境內(nèi)還是境外，都很難聯(lián)系到受影響域名的用戶，這些用戶幾乎完全由講俄語(yǔ)的民眾組成。與此同時(shí)，它對(duì)俄羅斯軍事網(wǎng)絡(luò)的影響相對(duì)較小，因?yàn)檫@些網(wǎng)絡(luò)不太可能依賴自身控制之外的DNS服務(wù)器。

因此，無(wú)論是暫時(shí)還是永久撤銷ccTLD，都不是一種有效的制裁，因?yàn)樗鼘?duì)民眾造成了不成比例的傷害。具體而言，它對(duì)任何采取了網(wǎng)絡(luò)防御準(zhǔn)備措施以減輕對(duì)外國(guó)域名服務(wù)器域名解析依賴的政府都是無(wú)效的。

此外，任何受到這一制裁的國(guó)家都有可能立即建立一個(gè)“替代根”，使用一些簡(jiǎn)單的技術(shù)手段與互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)（IANA）管理的根競(jìng)爭(zhēng)。如果一個(gè)國(guó)家這樣做，其他國(guó)家可能也會(huì)效仿，從而導(dǎo)致允許普遍互聯(lián)的共識(shí)互聯(lián)網(wǎng)分崩離析。

撤銷與域名關(guān)聯(lián)的證書

至少有兩種加密證書和簽名是潛在針對(duì)制裁的機(jī)制，PCH對(duì)每一種都進(jìn)行了獨(dú)立的討論。

首先，是撤銷SSL證書：SSL（Secure Socket Layer）是一種認(rèn)證機(jī)制，主要用于對(duì)從Web瀏覽器到Web服務(wù)器的連接進(jìn)行身份驗(yàn)證和加密，后來(lái)被TLS（Transport Layer Security）所取代。這種證書用于在線商務(wù)和銀行業(yè)務(wù)。證書由證書頒發(fā)機(jī)構(gòu)（“CAs”）頒發(fā)，目前大約有700個(gè)證書頒發(fā)機(jī)構(gòu)，其中相當(dāng)一部分機(jī)構(gòu)由國(guó)家政府或情報(bào)機(jī)構(gòu)直接或間接控制。這些組織中的任何一個(gè)都可以向任何人頒發(fā)證書，證明他們是任何域的真正管理員。

撤銷與政府或軍事域名相關(guān)的證書并不是一種有效的制裁，因?yàn)槟繕?biāo)政府可能已經(jīng)在使用自己控制下的CA，如果不是這樣，它很容易導(dǎo)致受其影響的任何CA頒發(fā)替代證書。撤銷與私有子域相關(guān)聯(lián)的證書（例如，redcross.ru、citibank.ru），將使這些組織與其支持者之間的通信變得不安全，并容易受到網(wǎng)絡(luò)攻擊，直到它們能夠獲得新的證書；削弱法律和秩序，這使普通民眾更容易受到犯罪的傷害，這不是一種有效的制裁。

或者，將宣傳機(jī)構(gòu)的現(xiàn)有證書添加到證書撤銷列表中，或使用在線證書狀態(tài)協(xié)議（OSCP）將其標(biāo)記為已撤銷，這將警告臨時(shí)用戶此類網(wǎng)站存在問(wèn)題，并要求他們?cè)诰嬷蟛扇∶鞔_的行動(dòng)。然而，這些技術(shù)是有限的：它們通常必須由簽發(fā)原始證書的同一CA完成，這可能不受被制裁政府的影響。因此，在可以實(shí)施的情況下，這是一種有效的制裁，因?yàn)樗蔷唧w的、易于集中執(zhí)行和回滾的，幾乎不會(huì)產(chǎn)生意外的更廣泛后果。

撤銷DNS委派上的DNSSEC簽名

用于對(duì)域名進(jìn)行身份驗(yàn)證的加密簽名稱為DNSSEC或DNS安全擴(kuò)展簽名?？蛻舳丝梢酝ㄟ^(guò)加密驗(yàn)證與域名相關(guān)聯(lián)的DNSSEC簽名來(lái)評(píng)估域名和IP地址之間映射的準(zhǔn)確性，這使得它們能夠查找和連接到互聯(lián)網(wǎng)上的資源。

如果從DNS根目錄中刪除了頂級(jí)域，則驗(yàn)證該域委派的DNSSEC簽名也將隨之刪除。仍然擁有舊信息的DNS客戶端或解析程序可以繼續(xù)到達(dá)由域名標(biāo)識(shí)的網(wǎng)站或電子郵件地址，但它們將無(wú)法驗(yàn)證其是否到達(dá)了正確的位置。驗(yàn)證頂級(jí)域委派的DNSSEC簽名也可以被刪除，同時(shí)保留委派本身。

DNSSEC簽名防止犯罪分子執(zhí)行“中間人”攻擊，例如，冒充零售銀行的網(wǎng)站來(lái)捕獲用戶的身份驗(yàn)證信息并清空他們的賬戶。在DNS層次結(jié)構(gòu)中，軍事和高安全性網(wǎng)絡(luò)可以使用技術(shù)手段來(lái)確保在其控制的簽名之上缺乏DNSSEC委托不會(huì)干擾其解析。然而，普通互聯(lián)網(wǎng)用戶要么會(huì)遇到錯(cuò)誤信息，表明他們的銀行網(wǎng)站是冒名頂替者，要么在他們和銀行之間出現(xiàn)攻擊者時(shí)不會(huì)得到通知。

無(wú)論是否與刪除授權(quán)相關(guān)聯(lián)，刪除DNSSEC簽名以驗(yàn)證國(guó)家頂級(jí)域名的授權(quán)，都可能對(duì)軍事和其他高度安全網(wǎng)絡(luò)幾乎沒(méi)有或根本沒(méi)有影響，但這將削弱法律和秩序，并使普通人更容易受到網(wǎng)絡(luò)犯罪的影響。因此，篡改DNSSEC簽名不是有效的制裁。

禁用DNS根服務(wù)器

根域名服務(wù)器只是那些保存DNS“根區(qū)域”靜態(tài)副本的域名服務(wù)器，就其本質(zhì)而言，根區(qū)域就是公共信息?；旧希魏斡蛎?wù)器都可以成為根域名服務(wù)器，只需告訴它檢索和緩存DNS根區(qū)域的副本。

禁用特定的根域名服務(wù)器沒(méi)有任何效果，因?yàn)楦鶕?jù)設(shè)計(jì)，它們不具有唯一的特權(quán)或擁有唯一的信息。禁用所有根域名服務(wù)器是不可行的，因?yàn)檫@將禁用每個(gè)人的互聯(lián)網(wǎng)，任何人都可以建立新的根域名服務(wù)器。因此，禁用根名稱服務(wù)器作為制裁沒(méi)有任何用處。

收回互聯(lián)網(wǎng)協(xié)議地址使用權(quán)

互聯(lián)網(wǎng)協(xié)議（IP）地址是互聯(lián)網(wǎng)設(shè)備相互查找的數(shù)字標(biāo)識(shí)符，由五個(gè)區(qū)域互聯(lián)網(wǎng)注冊(cè)中心分配，這些注冊(cè)中心共同構(gòu)成了數(shù)字資源組織（NRO）。

Rés eaux IP Europée ns（RIPE）是歐洲、中東和中亞部分地區(qū)的區(qū)域互聯(lián)網(wǎng)注冊(cè)中心，負(fù)責(zé)為俄羅斯實(shí)體分配IP地址。

如果RIPE的成員組織通過(guò)其多利益攸關(guān)方治理進(jìn)程指示RIPE收回IP地址使用權(quán)，它有權(quán)制定政策去收回它向俄羅斯組織分配的IP地址。

這種情況與域名的治理有一些相似之處，但也有明顯的不同。ICANN的權(quán)限只延伸到DNS層次結(jié)構(gòu)中的根級(jí)別，因此ICANN采取的行動(dòng)固有地影響整個(gè)頂級(jí)域，不可能只對(duì)一個(gè)子域而不對(duì)其他子域采取“外科手術(shù)”式的行動(dòng)。

ICANN采取的行動(dòng)固有地影響整個(gè)頂級(jí)域，不可能只對(duì)一個(gè)子域而不對(duì)其他子域采取“外科手術(shù)”式的行動(dòng)。

相比之下，區(qū)域互聯(lián)網(wǎng)注冊(cè)可以影響每個(gè)組織（甚至更細(xì)）的政策。然而，取消IP地址分配并不能阻止它的前持有者繼續(xù)使用它。

事實(shí)上，“IP地址劫持”是互聯(lián)網(wǎng)上一個(gè)比較常見(jiàn)的問(wèn)題。因此，雖然它可以精確地針對(duì)目標(biāo)，但簡(jiǎn)單地取消IP地址分配的使用權(quán)本身并不是一種有效的制裁。

請(qǐng)注意，IP地址撤銷和RPKI認(rèn)證撤銷的過(guò)程將是地址接收者（如俄羅斯軍方）未能向其地區(qū)性互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)（RIR）支付年度登記費(fèi)的正常后果，這實(shí)際上可能是金融和銀行制裁的后果。但這一過(guò)程可能需要數(shù)年時(shí)間。

撤銷IP地址分配的另一個(gè)負(fù)面后果是，撤銷的地址可能隨后被分配給不同的接收者，后者將發(fā)現(xiàn)自己與原始持有者爭(zhēng)奪其使用權(quán)。

控制路由安全認(rèn)證

納博克在信函中沒(méi)有明確要求的一項(xiàng)潛在制裁是控制路由安全認(rèn)證，以產(chǎn)生部分或完全切斷特定網(wǎng)絡(luò)的效果，如俄羅斯軍方或宣傳機(jī)構(gòu)的網(wǎng)絡(luò)。

與域名一樣，存在以加密方式驗(yàn)證IP地址使用合法性的技術(shù)機(jī)制。路由策略規(guī)范語(yǔ)言（RPSL）和路由公鑰基礎(chǔ)設(shè)施（RPKI）是兩種主要的路由機(jī)制。

為了在互聯(lián)網(wǎng)上進(jìn)行通信，IP地址必須通過(guò)路由系統(tǒng)“發(fā)布”，而更大和更安全的網(wǎng)絡(luò)的路由器利用這兩種機(jī)制來(lái)確保無(wú)效的路由不會(huì)被他們的路由器使用。較小和安全性較低的網(wǎng)絡(luò)通常不執(zhí)行這些機(jī)制。

對(duì)集中注冊(cè)中心中的RPSL和RPKI記錄的操作將流經(jīng)使用這些通用路由安全機(jī)制的所有網(wǎng)絡(luò)，其中一些機(jī)制隨后將自動(dòng)停止往返指定網(wǎng)絡(luò)的路由通信，而不會(huì)影響其他“鄰近”的民用網(wǎng)絡(luò)。

對(duì)RPSL和RPKI路由安全認(rèn)證的控制可能是一種有效的制裁措施，因?yàn)樗雌饋?lái)精確、容易快速地實(shí)現(xiàn)和撤銷，并且相當(dāng)有效。

然而，將預(yù)先存在的路由安全機(jī)制用于制裁，可能是相關(guān)網(wǎng)絡(luò)意想不到的，并可能與這些網(wǎng)絡(luò)的業(yè)務(wù)或監(jiān)管要求相沖突，而且，最重要的是，可能出現(xiàn)網(wǎng)絡(luò)完全退出系統(tǒng)的風(fēng)險(xiǎn)。

這種退出不僅會(huì)使這種潛在的制裁在未來(lái)變得不那么有效，而且會(huì)以更大的成本侵蝕整個(gè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全。因此，這構(gòu)成了不可接受的風(fēng)險(xiǎn)。

其他與互聯(lián)網(wǎng)有關(guān)的非技術(shù)制裁

與互聯(lián)網(wǎng)的運(yùn)營(yíng)和治理有關(guān)的其他制裁措施可能值得考慮。例如，不允許受制裁人員參與互聯(lián)網(wǎng)治理、決策或標(biāo)準(zhǔn)化程序。此類非技術(shù)措施不在本文的討論范圍之內(nèi)。

限制名單

網(wǎng)絡(luò)運(yùn)營(yíng)商和DNS解析運(yùn)營(yíng)商已經(jīng)在使用多利益攸關(guān)方管理的名單，類似于金融貸款人使用信用評(píng)分機(jī)構(gòu)的方式，來(lái)確定要在哪些IP地址之間路由和傳遞流量，以及要解析哪些域名。這是一種機(jī)制，通過(guò)它可以將持續(xù)的垃圾郵件發(fā)送者和地址劫持者排除在網(wǎng)絡(luò)之外，并保護(hù)互聯(lián)網(wǎng)用戶免受惡意軟件和網(wǎng)絡(luò)釣魚的攻擊。

傳遞這種限制信息的技術(shù)機(jī)制是成熟的、健壯的、即時(shí)的和全局標(biāo)準(zhǔn)化的。與IP地址和自治系統(tǒng)數(shù)字地址相關(guān)的信息大多通過(guò)BGP傳輸，而與域名相關(guān)的信息大多通過(guò)RPZ傳輸。這兩種機(jī)制基本上由全球所有大型運(yùn)營(yíng)商來(lái)實(shí)現(xiàn)。

限制IP地址和自治系統(tǒng)數(shù)字地址具有撤銷地址塊或控制路由安全認(rèn)證的所有優(yōu)點(diǎn)，而沒(méi)有缺點(diǎn)。它允許網(wǎng)絡(luò)運(yùn)營(yíng)商限制路由接收和通信量通過(guò)，在不同的情況下和應(yīng)對(duì)不同的威脅時(shí)，任何一種方式或兩者都可能是適用的。

域名封鎖清單允許全精度和特異性，這是ICANN采取限制行動(dòng)的問(wèn)題。該系統(tǒng)是選擇性加入、自愿、共識(shí)和自下而上的，所有這些都是互聯(lián)網(wǎng)治理社區(qū)所珍視的價(jià)值觀。然而，與此同時(shí)，它已獲得廣泛的采用。

綜上所述，成熟的封鎖清單方法提供了對(duì)IP路由、流量和域名進(jìn)行制裁的最佳機(jī)制，如果簽署實(shí)體正常實(shí)施，這種機(jī)制沒(méi)有顯著的成本或風(fēng)險(xiǎn)。

因此，對(duì)IP地址、自治系統(tǒng)和域名進(jìn)行限制是有效的，而且不會(huì)帶來(lái)過(guò)于寬泛的固有危險(xiǎn)。一旦決定了，它就很容易被調(diào)用，一旦問(wèn)題解決，同樣也很容易回滾。最重要的是，它沒(méi)有巨大的成本或風(fēng)險(xiǎn)，并且符合互聯(lián)網(wǎng)的多利益攸關(guān)方治理價(jià)值觀和原則。