根密鑰儀式的舉行機(jī)制是什么?帶有神秘色彩的重啟根密鑰系統(tǒng)的7人需要做什么?頂級(jí)域名是否可被移除?
TCRs的來源
1983年,保羅·莫卡派喬斯(Paul Mockapetris)在南加州大學(xué)信息科學(xué)學(xué)院提出了關(guān)于DNS 體系結(jié)構(gòu)的RFC882和883,本質(zhì)上就是我們今天所使用的域名系統(tǒng)(DNS)。從那以后,DNS成為互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施之一。
與很多其它互聯(lián)網(wǎng)協(xié)議一樣,它的初始設(shè)計(jì)場(chǎng)景為可信環(huán)境,并沒有過多考慮安全問題,因此在發(fā)展過程中出現(xiàn)多種針對(duì)DNS的攻擊,其中最難以解決的兩種安全問題為欺騙攻擊以及緩存污染問題。
鑒于對(duì)DNS安全性的考慮,上世紀(jì)90年代后期,IETF成立了工作組專門研究DNSSEC安全擴(kuò)展協(xié)議(DNS Security Extensions),利用經(jīng)典的加密算法和簽名機(jī)制,完善了原有DNS體系的不足之處。
簡(jiǎn)單地說,基于安全環(huán)境設(shè)計(jì)的原有的DNS協(xié)議采用明文傳輸,中間人可以輕易截取DNS報(bào)文并進(jìn)行篡改。DNSSEC則引入公開密鑰技術(shù),依靠數(shù)字簽名保證DNS應(yīng)答報(bào)文的真實(shí)性和完整性。其工作機(jī)制是這樣:權(quán)威域名服務(wù)器用自己的私有密鑰對(duì)資源記錄(Resource Record, RR)進(jìn)行簽名,解析服務(wù)器用權(quán)威服務(wù)器的公開密鑰對(duì)收到的應(yīng)答信息進(jìn)行驗(yàn)證。如果驗(yàn)證失敗,表明這一報(bào)文可能是假冒的,或者在傳輸過程、緩存過程中被篡改了。
互聯(lián)網(wǎng)之父Vint Cerf就是DNSSEC技術(shù)部署的積極推動(dòng)者之一。在推動(dòng)的過程中,ICANN有一些考慮,那就是如何建設(shè)DNSSEC信任錨點(diǎn),讓DNSSEC根服務(wù)器的密鑰管理更加安全可信。DNSSEC根密鑰是全球互聯(lián)網(wǎng)DNSSEC信任的錨點(diǎn),所有的DNS解析器必須設(shè)置這個(gè)錨點(diǎn)才能正確解析DNSSEC數(shù)據(jù)包。根密鑰必須獲得全球互聯(lián)網(wǎng)社群的信任。由此,ICANN引入了TCRs(互聯(lián)網(wǎng)信任社群代表)體系。
TCRs主要宗旨是維護(hù)根域名系統(tǒng)的正常運(yùn)轉(zhuǎn)。為了保證該組織的獨(dú)立性,人員的選擇有一些前提條件:首先從身份上看,TCRs不從PTI(公共技術(shù)標(biāo)識(shí)機(jī)構(gòu),前身是互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)IANA)、ICANN(互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu))或VeriSign(威瑞信公司,管理2臺(tái)根服務(wù)器)的直屬人員中選擇。其次是考慮到代表們所處地理等綜合因素。此外,TCRs的選擇也會(huì)綜合其在IETF等相關(guān)工作及貢獻(xiàn)考慮。
舉行第一次根密鑰儀式的美國(guó)弗吉尼亞州的Culpepe
ICANN第一次DNSSEC根密鑰生成儀式會(huì)議于2010年6月16日在美國(guó)弗吉尼亞州的Culpeper(庫(kù)爾佩珀)召開。
ICANN推選出的21位TCRs聚集在此,見證了互聯(lián)網(wǎng)歷史上第一個(gè)根密鑰簽署儀式。儀式上,Vint Cerf博士總結(jié)說,根密鑰的生成和WWW出現(xiàn)的意義一樣重大,它的出現(xiàn)會(huì)讓互聯(lián)網(wǎng)更安全。
第一次DNSSEC根密鑰生成儀式參與人員的簽名(供圖:姚健康)
TCRs的自愿和公益
DNSSEC的根密鑰保存在兩個(gè)數(shù)據(jù)中心,其中之一在西海岸,另外一個(gè)在東海岸,兩者互為備份。
21位TCRs中,7位成員所持的密鑰屬于西海岸數(shù)據(jù)中心,另外7位所持的密鑰屬于東海岸數(shù)據(jù)中心。按照根密鑰輪轉(zhuǎn)機(jī)制,每年舉行4次密鑰簽署儀式,分別在每個(gè)季度舉行。舉行地點(diǎn)在東西海岸間輪轉(zhuǎn)。屆時(shí),7位密鑰持有人中應(yīng)至少有5位參與現(xiàn)場(chǎng)的密鑰簽署儀式,以向全球表示密鑰的安全和可信。
21位TCRs中剩余的7位則是“恢復(fù)密鑰持有人RKSH(Recovery Key share holder)”,來自中國(guó)的姚健康博士是其中之一 。
7位恢復(fù)密鑰持有人
有一種說法是,這7人擔(dān)當(dāng)共同重啟互聯(lián)網(wǎng)的重責(zé)。姚健康博士表示,媒體經(jīng)常用“7把鑰匙可以掌控互聯(lián)網(wǎng)”,“開啟互聯(lián)網(wǎng),需要7把鑰匙”等標(biāo)題,實(shí)際上比較準(zhǔn)確的說法是重啟的是根密鑰系統(tǒng)。重啟根密鑰系統(tǒng)的設(shè)計(jì)是2010年ICANN提出的,其目的是以防止互聯(lián)網(wǎng)根域名系統(tǒng)基礎(chǔ)設(shè)施遭受毀滅性災(zāi)難,比如發(fā)生意外、戰(zhàn)爭(zhēng)、災(zāi)難等突發(fā)極端事件,導(dǎo)致東西海岸的兩個(gè)數(shù)據(jù)中心都遭到損傷不能正常工作等意外情況發(fā)生, ICANN將召集他們中的至少5位就能恢復(fù)根密鑰——這種加密方法被稱為Shamir's Secret Sharing——密鑰被分成幾部分,每一部分都獨(dú)一無二,其中幾部分或全部聯(lián)合起來就能解密密鑰。
當(dāng)然這種情況的發(fā)生顯而易見是一種萬一的情況。ICANN的 Lamb表示,只有在極端災(zāi)難的情況下,恢復(fù)密鑰持有人機(jī)制才會(huì)被啟動(dòng)。他說:“可能要等到美國(guó)西海岸墜入海中,而東海岸被核彈擊中時(shí),才會(huì)給七個(gè)人中的五個(gè)打電話。”
這7個(gè)人不介入具體域名(包括數(shù)據(jù)庫(kù))管理。一般情況下,他們也并不需要一定參與每季度一次的密鑰簽署儀式。但每年,ICANN都會(huì)對(duì)其所持有的密鑰(類似于一個(gè)IC卡片)進(jìn)行年檢。早期的檢查機(jī)制往往是TCRs將所持的裝有密鑰的信封放在當(dāng)天的新聞報(bào)紙上進(jìn)行拍照,以便于證明密鑰是完整和安全的。
后來,有人提出:既然是可信任的代表,為什么還需要證明是可信任的?而且,密鑰拿來拿去,也容易丟失。自此以后,ICANN改了規(guī)則,只需要持有者發(fā)送承諾函件表示密鑰的安全和完整即可。
從互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)IANA的網(wǎng)站上查到,當(dāng)前TCRs已從2010年的21位更新至30位,但據(jù)介紹,真正持有密鑰的是21位,其他9位作為備選密鑰持有人。TCRs也有自己的更新機(jī)制,比如早期互聯(lián)網(wǎng)共同發(fā)明人Vint Cerf博士就是其中一位TCRs,參與多次密鑰生成儀式,后來因時(shí)間問題,即不能保證出席足夠的簽署儀式而退出,從備選TCRs中進(jìn)行替補(bǔ)。
成為一名TCRs,其工作完全出于自愿、公益。姚健康介紹說,互聯(lián)網(wǎng)講究多利益相關(guān)方的參與,鼓勵(lì)所有利益相關(guān)方發(fā)言、提出訴求。這樣其他人就會(huì)知道你在想什么,你做了什么?;ヂ?lián)網(wǎng)的發(fā)展正是由于廣大技術(shù)專家的自愿貢獻(xiàn),才有今天的基于開放技術(shù)開放標(biāo)準(zhǔn)的互聯(lián)網(wǎng)。在互聯(lián)網(wǎng)的環(huán)境里,做貢獻(xiàn)是一個(gè)關(guān)鍵詞。所以,自愿、公益、貢獻(xiàn),這也是互聯(lián)網(wǎng)思維,TCRs同樣如此。
移除一個(gè)頂級(jí)域的可能性
DNS根域名服務(wù)器話題最近幾年一直很熱,圍繞其有諸多討論和擔(dān)憂,其中一種說法是,根服務(wù)器的管理機(jī)構(gòu)可輕易修改根區(qū)文件內(nèi)容甚至可移除特定的頂級(jí)域名。
姚健康博士表示,頂級(jí)域主要有兩種,一種是國(guó)家地區(qū)頂級(jí)域ccTLD,另一種通用頂級(jí)域gTLD。gTLD,以及近年來新出現(xiàn)的新通用頂級(jí)域new gTLD屬于商業(yè)范疇,和各國(guó)主權(quán)無關(guān),因此由于運(yùn)營(yíng)以及經(jīng)濟(jì)等問題,gTLD的運(yùn)營(yíng)權(quán)有可能在不同的運(yùn)營(yíng)主體之間進(jìn)行轉(zhuǎn)換。
他介紹說,國(guó)家地區(qū)頂級(jí)域ccTLD屬于各國(guó)的主權(quán)相關(guān),因此任何對(duì)ccTLD的重大變動(dòng)都需要獲得對(duì)應(yīng)的政府的授權(quán)。出于政治原因,不經(jīng)ccTLD對(duì)應(yīng)的政府的授權(quán),突然移除一個(gè)ccTLD,其概率是很小的。“因?yàn)檫@件事收益很小,動(dòng)靜很大,付出和得到完全不成正比。”
而且,ICANN當(dāng)前的機(jī)制是多利益攸關(guān)方參與的模式,各國(guó)政府代表、社群代表、運(yùn)營(yíng)商代表、域名注冊(cè)機(jī)構(gòu)代表等都積極參與ICANN的相關(guān)工作,推行從下而上的討論和決策。這種機(jī)制就產(chǎn)生兩種結(jié)果,第一,形成一個(gè)共識(shí)是很慢的,第二,可以充分吸收各種社區(qū)和利益相關(guān)方的意見,很少會(huì)做唐突的決定。
當(dāng)前TCRs情況(來源:IANA)
但,即便ccTLD頂級(jí)域名被移除了,是否就意味著是將其從互聯(lián)網(wǎng)上隔開?
事實(shí)也并非如此,正如中國(guó)工程院吳建平院士所言,DNS不是互聯(lián)網(wǎng)的核按鈕。DNS的作用就像是打電話的電話簿,方便易記,但沒有電話本同樣也可以打電話,只是需要記錄相關(guān)IP地址。互聯(lián)網(wǎng)最基本的訪問方式是按IP地址在訪問,域名解析最后還是解析至某一個(gè)IP地址上。
然后是RFC7706在技術(shù)上的支持。姚健康博士表示,根據(jù)IETF RFC7706,本地解析器可以直接從IANA下載根區(qū)數(shù)據(jù)在本地運(yùn)行,相當(dāng)于在本地運(yùn)行了DNS根服務(wù)器,因此從這些解析器查詢域名的DNS數(shù)據(jù)包就不需要到外面的根服務(wù)器查詢根區(qū)數(shù)據(jù)了。當(dāng)前全球有1000多臺(tái)分布在世界各地的根域名服務(wù)器,所以一般情況下,DNS根解析都是就近查詢本國(guó)內(nèi)的根服務(wù)器,而不需要遠(yuǎn)渡重洋去國(guó)外查詢。
他提到,目前有幾千個(gè)頂級(jí)域,用戶可以選擇任一個(gè)頂級(jí)域進(jìn)行注冊(cè)域名。也就是說域名的替代性很強(qiáng),相當(dāng)于某個(gè)電話本用不了,可以換其他電話本查找電話號(hào)碼。因此刪除其中任何一個(gè)頂級(jí)域都不會(huì)讓任何國(guó)家從互聯(lián)網(wǎng)上消失。
“DNS域名系統(tǒng)當(dāng)前已形成了一套全球互聯(lián)網(wǎng)利益攸關(guān)方共同維護(hù)的自治系統(tǒng),大家自愿加入,并且變得越來越自治,很難受某一種意志的把控。”姚健康說。