<html><body>
<ul>
<p><font size="4" face="Times New Roman">We agree with the RIPE letter and proposals on designing of signing the DNS root zone. We wait with impatience testing activities for DNSSEC</font></ul>
<br>
Best regards,<br>
<br>
Head of Operators' VAS department<br>
OAO "VimpelCom"<br>
Nataliya V. Romashova <br>
loc. 09 53395<br>
tel. +7 495-961-31-86 #53395<br>
tel. +7(495)743-01-70<br>
fax. +7(495)985-95-55<br>
e-mail: rom@beeline.ru<br>
<br>
<img width="16" height="16" src="cid:1__=4CBBFF94DFDD8CD08f9e8a93d@abn.beeline.ru" border="0" alt="Inactive hide details for Dmitry Burkov <dburk@burkov.aha.ru>">Dmitry Burkov <dburk@burkov.aha.ru><br>
<br>
<br>
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr valign="top"><td style="background-image:url(cid:2__=4CBBFF94DFDD8CD08f9e8a93d@abn.beeline.ru); background-repeat: no-repeat; " width="40%">
<ul>
<ul>
<ul>
<ul><b><font size="2">Dmitry Burkov <dburk@burkov.aha.ru></font></b><font size="2"> </font>
<p><font size="2">19.11.2008 17:56</font></ul>
</ul>
</ul>
</ul>
</td><td width="60%">
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr valign="top"><td width="1%"><img width="73" height="1" src="cid:3__=4CBBFF94DFDD8CD08f9e8a93d@abn.beeline.ru" border="0" alt=""><br>
<div align="right"><font size="2">Кому</font></div></td><td width="100%"><img width="1" height="1" src="cid:3__=4CBBFF94DFDD8CD08f9e8a93d@abn.beeline.ru" border="0" alt=""><br>
<font size="2">rom@beeline.ru</font></td></tr>
<tr valign="top"><td width="1%"><img width="73" height="1" src="cid:3__=4CBBFF94DFDD8CD08f9e8a93d@abn.beeline.ru" border="0" alt=""><br>
<div align="right"><font size="2">Копия</font></div></td><td width="100%"><img width="1" height="1" src="cid:3__=4CBBFF94DFDD8CD08f9e8a93d@abn.beeline.ru" border="0" alt=""><br>
</td></tr>
<tr valign="top"><td width="1%"><img width="73" height="1" src="cid:3__=4CBBFF94DFDD8CD08f9e8a93d@abn.beeline.ru" border="0" alt=""><br>
<div align="right"><font size="2">Тема</font></div></td><td width="100%"><img width="1" height="1" src="cid:3__=4CBBFF94DFDD8CD08f9e8a93d@abn.beeline.ru" border="0" alt=""><br>
<font size="2">[Fwd: [regional-russia] RIPE statement to NTIA - need your action - corrected]</font></td></tr>
</table>
<table border="0" cellspacing="0" cellpadding="0">
<tr valign="top"><td width="58"><img width="1" height="1" src="cid:3__=4CBBFF94DFDD8CD08f9e8a93d@abn.beeline.ru" border="0" alt=""></td><td width="336"><img width="1" height="1" src="cid:3__=4CBBFF94DFDD8CD08f9e8a93d@abn.beeline.ru" border="0" alt=""></td></tr>
</table>
</td></tr>
</table>
<br>
<tt><br>
</tt><font color="#800080"><br>
----- Сообщение от 'Dmitry Burkov <dburk@burkov.aha.ru>' на 'Wed, 19 Nov 2008 13:18:37 +0300' -----</font>
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr valign="top"><td width="10%" valign="middle"><div align="right"><b><font size="4">Кому:</font></b></div></td><td width="90%" valign="middle"><font size="4">regional-russia@ripe.net</font></td></tr>
<tr valign="top"><td width="10%" valign="middle"><div align="right"><b><font size="4">Тема:</font></b></div></td><td width="90%" valign="middle"><font size="4">[regional-russia] RIPE statement to NTIA - need your action - corrected</font></td></tr>
</table>
<tt>Уважаемые коллеги,<br>
<br>
прошу прощения - в первом письме слетела кодировка - второе застряло на <br>
модераторе<br>
<br>
9 октября USG DoC NTIA объявила о консультациях по внедрению DNSSEC.<br>
</tt><tt><a href="http://www.ntia.doc.gov/DNS/DNSSEC.html">http://www.ntia.doc.gov/DNS/DNSSEC.html</a></tt><tt><br>
(рекомендую прочитать и комментарии)<br>
<br>
Все это может иметь последствия для нас.<br>
<br>
За последние недели это широко обсуждалось в RIPE коммьюнити -<br>
как в DNS WG, так и на последнем RIPE митинге.<br>
<br>
В результате был подготовлен следующий комментарий-заявление в адрес<br>
NTIA.<br>
На мой взгляд он получился сбалансированным и отражает и наши интересы и <br>
потенциальные болячки.<br>
<br>
Сейчас заканчивается финальное обсуждение-принятие этого заявления<br>
в ripe-list@ripe.net<br>
<br>
Предлагаю вам высказать в этот список вашу точку зрения - поддерживаете <br>
или нет.<br>
<br>
Дмитрий Бурков<br>
<br>
Это текст с переводом - в конце просто оригинал письма:<br>
<br>
The RIPE community thanks the NTIA for its consultation on proposals<br>
to sign the root and is pleased to offer the following response to<br>
that consultation. We urge the adoption of a solution that leads to<br>
the prompt introduction of a signed root zone. Our community considers<br>
the introduction of a signed root zone to be an essential enabling<br>
step towards widespread deployment of Secure DNS, DNSSEC. This view<br>
is supported by the letter from the RIPE community to ICANN as an<br>
outcome of discussions at the May 2007 RIPE meeting in Tallinn:<br>
</tt><tt><a href="http://www.ripe.net/ripe/wg/dns/icann-root-signing.pdf">http://www.ripe.net/ripe/wg/dns/icann-root-signing.pdf</a></tt><tt>.<br>
<br>
It is to be expected that a community as diverse as RIPE cannot have a<br>
unified set of detailed answers to the NTIA questionnaire. However<br>
several members of the RIPE community will be individually responding<br>
to that questionnaire. We present the following statement as the<br>
consensus view of our community about the principles that should form<br>
the basis of the introduction of a signed DNS root.<br>
Сообщество RIPE благодарит NTIA за организацию консультаций по вопросу <br>
подписания корневой зоны и с радостью предлагает свой ответ. Мы <br>
призываем принять решение о скорейшем подписании корневой зоны. Наше <br>
сообщество считает, что подписание корневой зоны – это необходимый и <br>
своевременный шаг на пути к масштабному вводу DNSSEC как средства защиты <br>
DNS. Эта точка зрения поддержана письмом от участников сообщества RIPE в <br>
адрес ICANN как резальтат дискуссии на встрече RIPE в Таллине, май 2007:<br>
</tt><tt><a href="http://www.ripe.net/ripe/wg/dns/icann-root-signing.pdf">http://www.ripe.net/ripe/wg/dns/icann-root-signing.pdf</a></tt><tt>.<br>
<br>
Ожидается, что сообщество, не менее разнообразное чем RIPE, не может <br>
иметь единой точки зрения в ответах на вопросы, предложенные в <br>
вопроснике NTIA. Ведь все члены RIPE будут отвечать на эти вопросы по <br>
отдельности. Мы предлагаем следующие положения, как собирательное мнение <br>
сообщества (рабочей группы DNS) по поводу основных принципов, которые <br>
должны лечь в основу внедрения подписания корневой зоны.<br>
<br>
1. Secure DNS, DNSSEC, is about data authenticity and integrity and<br>
not about control.<br>
<br>
1. DNSSEC предназначен для обеспечения целостности данных и защиты <br>
подлинности в DNS, а не для контроля.<br>
<br>
2. The introduction of DNSSEC to the root zone must be made in such a<br>
way that it is accepted as a global initiative.<br>
<br>
2. Внедрение DNSSEC в корневой зоне должно быть сделано так, чтобы <br>
оно было принято как глобальная инициатива.<br>
<br>
3. Addition of DNSSEC to the root zone must be done in a way that does<br>
not compromise the security and stability of the Domain Name System.<br>
<br>
3. Внедрение DNSSEC в корневой зоне должно быть произведено таким <br>
образом, чтобы это не привело к нарушению стабильности и безопасности <br>
системы доменных имен (DNS).<br>
<br>
4. When balancing the various concerns about signing the root zone,<br>
the approach must provide an appropriate level of trust and confidence<br>
by offering an optimally secure solution.<br>
<br>
4. Сопоставляя различные варианты подписания корневой зоны необходимо <br>
учитывать, что выбранный путь должен быть максимально безопасным с <br>
технической точки зрения.<br>
<br>
5. Deployment of a signed root should be done in a timely but not<br>
hasty manner.<br>
<br>
5. Подписание корневой зоны должно быть сделано без излишней <br>
торопливости.<br>
<br>
6. Updates from TLD operators relating to DNSSEC should be aligned<br>
with the operational mechanisms for co-ordinating changes to the root<br>
zone.<br>
<br>
6. Для проведения своевременного обслуживания любые изменения, <br>
связанные с DNSSEC, должны быть проведены в соответствии с текущими <br>
процессами, ведущимися по координированию корневой зоны. Однако эти <br>
изменения должны обеспечивать достаточную гибкость процессов в целях их <br>
возможного изменения .<br>
<br>
<br>
7. If any procedural changes are introduced by the deployment of<br>
DNSSEC they should provide sufficient flexibility to allow for the<br>
roles and processes as well as the entities holding those roles to be<br>
changed after suitable consultations have taken place.<br>
<br>
<br>
7. Если в следствии внедрения DNSSEC будут изменены процедуры, эти <br>
изменения должны обеспечить достаточную гибкость, чтобы после <br>
соответствующих консультаций провести изменения не только в ролях и <br>
процессах, но и в субъектах, за которыми эти роли закреплены.<br>
<br>
8. Policies and processes for signing the root zone must be<br>
transparent and trustworthy, making it straightforward for TLDs to<br>
supply keys and credentials so the delegations for those TLDs can<br>
benefit from a common DNSSEC trust anchor, the signed root.<br>
<br>
8. Политики и процессы подписания корневой зоны должны быть <br>
прозрачными и вызывающими доверие, стимулируя домены верхнего уровня <br>
предоставить ключи и полномочия , для того чтобы делегирования для <br>
доменов верхнего уровня могли бы принести пользу от наличия общей точки <br>
доверия DNSSEC , подписанной корневой зоной.<br>
<br>
9. There is no technical justification to create a new organisation to<br>
oversee the process of signing of the root.<br>
<br>
9. Не существует никаких технических обоснований для создания новой <br>
организации по контролю подписания корневой зоны.<br>
<br>
10. No data should be moved between organisations without appropriate<br>
authenticity and integrity checking, particularly the flow of keying<br>
material between a TLD operator and the entity that signs the root.<br>
<br>
<br>
10. Данные не должны передаваться между организациями без <br>
соответствующей проверки на подлинность и целостность.<br>
<br>
11. The public part of the key signing key must be distributed as<br>
widely as possible.<br>
<br>
11. Публичная часть ключа должна быть распространена настолько <br>
широко, насколько это возможно.<br>
<br>
12. The organisation that generates the root zone file must sign the<br>
file and therefore hold the private part of the zone signing key.<br>
<br>
<br>
12. Организация, которая генерирует файл корневой зоны, должна <br>
подписывать файл и хранить закрытую часть ключа (закрытый ключ) подписи <br>
зоны.<br>
<br>
13. Changes to the entities and roles in the signing process must not<br>
necessarily require a change of keys.<br>
<br>
13. Смена организаций и изменения ролей процесса подписания не <br>
обязательно должны требовать смены ключей.<br>
<br>
<br>
<br>
Оригинал<br>
<br>
Subject:<br>
Call for Support: RIPE response to the US NTIA's NoI<br>
From:<br>
Peter Koch <pk@DENIC.DE><br>
Date:<br>
Fri, 14 Nov 2008 23:59:09 +0100<br>
To:<br>
ripe-list@ripe.net<br>
<br>
Dear RIPE Community,<br>
<br>
as mentioned in my email sent on Monday, the DNS working group has come<br>
up with a response to the US NTIA's Notice of Inquiry (NoI) regarding<br>
the introduction of DNSSEC for the DNS root zone (for details see<br>
<</tt><tt><a href="http://www.ntia.doc.gov/DNS/DNSSEC.html">http://www.ntia.doc.gov/DNS/DNSSEC.html</a></tt><tt>>).<br>
<br>
The text below reflects the consensus of the DNS working group.<br>
<br>
As a follow up to our earlier efforts (see below), the DNS WG suggests that<br>
the response to the NTIA come from the broader RIPE community. So, this is<br>
the DNS WG's request for your support and endorsement of the proposal.<br>
<br>
Please read the text and voice your support or opposition. As mentioned<br>
earlier, we will have to meet an external deadline. Therefore, we are not<br>
looking for editorial suggestions. Regrettably, it is impractical to further<br>
refine or reword the text, since that would require more editing cycles and<br>
new consensus calls, which time won't permit.<br>
The WG chairs' collective and the RIPE Chair have agreed that it needs<br>
a binary decision on the proposal as presented here.<br>
<br>
It is possible that the text doesn't represent the optimum for everyone.<br>
Still, please consider whether you can support it as a community statement.<br>
In any case, the NoI is open for anybody, so you might want to send<br>
your individual response and/or contribute to other group efforts, as well.<br>
<br>
Clarifying questions are welcome, probably best asked on the DNS WG mailing<br>
list or to the DNS WG co-chairs <br>
<</tt><tt><a href="http://www.ripe.net/ripe/wg/dns/index.html">http://www.ripe.net/ripe/wg/dns/index.html</a></tt><tt>>.<br>
<br>
Given the 24 Nov deadline and to allow some time for the evalutaion of the<br>
list traffic, you are kindly asked to send your explicit statements to this<br>
list no later than<br>
<br>
Friday, 21 Nov 2008 12:00 UTC.<br>
<br>
Thanks in advance for your consideration!<br>
<br>
-Peter Koch [DNS WG co-chair]<br>
<br>
-----------------------------------------------------------------------------<br>
<br>
#<br>
# $Id: ntia-draft,v 1.9 2008/11/13 20:20:41 jim Exp $<br>
#<br>
<br>
The RIPE community thanks the NTIA for its consultation on proposals<br>
to sign the root and is pleased to offer the following response to<br>
that consultation. We urge the adoption of a solution that leads to<br>
the prompt introduction of a signed root zone. Our community considers<br>
the introduction of a signed root zone to be an essential enabling<br>
step towards widespread deployment of Secure DNS, DNSSEC. This view<br>
is supported by the letter from the RIPE community to ICANN as an<br>
outcome of discussions at the May 2007 RIPE meeting in Tallinn:<br>
</tt><tt><a href="http://www.ripe.net/ripe/wg/dns/icann-root-signing.pdf">http://www.ripe.net/ripe/wg/dns/icann-root-signing.pdf</a></tt><tt>.<br>
<br>
It is to be expected that a community as diverse as RIPE cannot have a<br>
unified set of detailed answers to the NTIA questionnaire. However<br>
several members of the RIPE community will be individually responding<br>
to that questionnaire. We present the following statement as the<br>
consensus view of our community about the principles that should form<br>
the basis of the introduction of a signed DNS root.<br>
<br>
1. Secure DNS, DNSSEC, is about data authenticity and integrity and<br>
not about control.<br>
<br>
2. The introduction of DNSSEC to the root zone must be made in such a<br>
way that it is accepted as a global initiative.<br>
<br>
3. Addition of DNSSEC to the root zone must be done in a way that does<br>
not compromise the security and stability of the Domain Name System.<br>
<br>
4. When balancing the various concerns about signing the root zone,<br>
the approach must provide an appropriate level of trust and confidence<br>
by offering an optimally secure solution.<br>
<br>
5. Deployment of a signed root should be done in a timely but not<br>
hasty manner.<br>
<br>
6. Updates from TLD operators relating to DNSSEC should be aligned<br>
with the operational mechanisms for co-ordinating changes to the root<br>
zone.<br>
<br>
7. If any procedural changes are introduced by the deployment of<br>
DNSSEC they should provide sufficient flexibility to allow for the<br>
roles and processes as well as the entities holding those roles to be<br>
changed after suitable consultations have taken place.<br>
<br>
8. Policies and processes for signing the root zone must be<br>
transparent and trustworthy, making it straightforward for TLDs to<br>
supply keys and credentials so the delegations for those TLDs can<br>
benefit from a common DNSSEC trust anchor, the signed root.<br>
<br>
9. There is no technical justification to create a new organisation to<br>
oversee the process of signing of the root.<br>
<br>
10. No data should be moved between organisations without appropriate<br>
authenticity and integrity checking, particularly the flow of keying<br>
material between a TLD operator and the entity that signs the root.<br>
<br>
11. The public part of the key signing key must be distributed as<br>
widely as possible.<br>
<br>
12. The organisation that generates the root zone file must sign the<br>
file and therefore hold the private part of the zone signing key.<br>
<br>
13. Changes to the entities and roles in the signing process must not<br>
necessarily require a change of keys.<br>
<br>
-----------------------------------------<br>
<br>
</tt><br>
</body></html>