kok网址入口

互联网技术研究

重启DNS根密钥服务器的七个人

来源:

时(shi)间:2020-09-08

根密钥仪式的(de)举行机制是什么?带有神秘色彩的(de)重启根密钥系(xi)统的(de)7人需要做(zuo)什么?顶级域名是否可被移(yi)除?

  TCRs的来源

  1983年,保(bao)罗·莫(mo)卡(ka)派乔斯(Paul Mockapetris)在南加州大学信息科学学院(yuan)提出了关于DNS 体系结构的RFC882和883,本(ben)质上就是我们今天(tian)所使用(yong)的域名系统(DNS)。从那以后,DNS成为互(hu)联网重要的基础设施之一。

  与很多其它互联网协议一样,它的初始设计场景为可信环境,并没有过多考虑安(an)全(quan)问(wen)题,因此(ci)在发展(zhan)过程中出现多种针对(dui)DNS的攻击,其中最难以(yi)解决的两种安(an)全(quan)问(wen)题为欺骗攻击以(yi)及(ji)缓存污染问(wen)题。

  鉴于(yu)对DNS安全性的考(kao)虑,上世纪90年代后期,IETF成立了工作组专门(men)研究DNSSEC安全扩展协议(DNS Security Extensions),利用经典的加密算法和签名机制,完善了原有DNS体系的不(bu)足之处。

  简单地说(shuo),基于安全环境(jing)设计的(de)原有的(de)DNS协议(yi)采用(yong)明(ming)文传(chuan)输,中间人可以轻(qing)易截取DNS报文并进(jin)行篡(cuan)改。DNSSEC则引入公开密(mi)钥技术,依靠数字签名(ming)保(bao)证(zheng)DNS应答(da)报文的(de)真实性和(he)完整性。其工作机(ji)制是(shi)这样:权(quan)威域名(ming)服(fu)(fu)务(wu)(wu)器(qi)(qi)用(yong)自己的(de)私有密(mi)钥对资(zi)源记录(lu)(Resource Record, RR)进(jin)行签名(ming),解析服(fu)(fu)务(wu)(wu)器(qi)(qi)用(yong)权(quan)威服(fu)(fu)务(wu)(wu)器(qi)(qi)的(de)公开密(mi)钥对收(shou)到(dao)的(de)应答(da)信(xin)息进(jin)行验证(zheng)。如果验证(zheng)失败,表(biao)明(ming)这一(yi)报文可能(neng)是(shi)假冒的(de),或者在传(chuan)输过(guo)程、缓存过(guo)程中被(bei)篡(cuan)改了。

  互(hu)联网之父(fu)Vint Cerf就是DNSSEC技术部署(shu)的(de)积极推(tui)动者之一(yi)。在推(tui)动的(de)过程(cheng)中(zhong),ICANN有一(yi)些考虑,那就是如何(he)建设DNSSEC信(xin)任(ren)(ren)(ren)锚点,让DNSSEC根(gen)服务器的(de)密钥(yao)管理更加安(an)全(quan)可信(xin)。DNSSEC根(gen)密钥(yao)是全(quan)球互(hu)联网DNSSEC信(xin)任(ren)(ren)(ren)的(de)锚点,所有的(de)DNS解析(xi)器必(bi)须设置这个锚点才能正确解析(xi)DNSSEC数据包。根(gen)密钥(yao)必(bi)须获得(de)全(quan)球互(hu)联网社群的(de)信(xin)任(ren)(ren)(ren)。由此,ICANN引入了TCRs(互(hu)联网信(xin)任(ren)(ren)(ren)社群代表)体(ti)系(xi)。

  TCRs主要(yao)宗旨(zhi)是(shi)(shi)维护根(gen)域名系统的正常(chang)运(yun)转。为了保证该组织的独立性,人员的选择有(you)一些前(qian)提条件(jian):首先从身份上看(kan),TCRs不从PTI(公共(gong)技术(shu)标识机构(gou),前(qian)身是(shi)(shi)互(hu)联网数字分(fen)配机构(gou)IANA)、ICANN(互(hu)联网名称与数字地(di)址分(fen)配机构(gou))或VeriSign(威瑞信公司,管理(li)2台根(gen)服务(wu)器(qi))的直属人员中选择。其(qi)次是(shi)(shi)考虑到(dao)代表们所处地(di)理(li)等综合因素。此外,TCRs的选择也会综合其(qi)在IETF等相关工作及(ji)贡(gong)献考虑。


举行第一次根密钥仪式的美国弗吉尼亚州的Culpepe

  ICANN第一次DNSSEC根(gen)密钥生成仪(yi)式会议于2010年6月16日(ri)在美国弗吉尼亚州的(de)Culpeper(库尔佩珀)召开。

  ICANN推(tui)选出的(de)21位TCRs聚集在(zai)此,见证了互联(lian)网历史上第一个根密(mi)(mi)钥签署仪式(shi)(shi)。仪式(shi)(shi)上,Vint Cerf博(bo)士总结说(shuo),根密(mi)(mi)钥的(de)生(sheng)成和(he)WWW出现的(de)意义一样重大,它的(de)出现会让互联(lian)网更安全。


第一次DNSSEC根密钥生成仪式参与人员的签名(供图:姚健康)

  TCRs的自愿和公益

  DNSSEC的根密钥保存(cun)在(zai)(zai)两个(ge)数据中(zhong)心,其中(zhong)之一在(zai)(zai)西海(hai)岸(an),另外一个(ge)在(zai)(zai)东海(hai)岸(an),两者互为(wei)备份。

  21位(wei)TCRs中(zhong),7位(wei)成员所持的密(mi)(mi)钥属于西海岸数据中(zhong)心(xin),另外7位(wei)所持的密(mi)(mi)钥属于东海岸数据中(zhong)心(xin)。按照根密(mi)(mi)钥轮(lun)转(zhuan)机制,每(mei)年举行4次密(mi)(mi)钥签署(shu)仪式,分(fen)别在每(mei)个季度举行。举行地(di)点(dian)在东西海岸间(jian)轮(lun)转(zhuan)。届时,7位(wei)密(mi)(mi)钥持有人(ren)中(zhong)应至少有5位(wei)参与现场的密(mi)(mi)钥签署(shu)仪式,以向全球表示密(mi)(mi)钥的安(an)全和(he)可信。

  21位(wei)TCRs中剩余的(de)(de)7位(wei)则是“恢复(fu)密钥持有人RKSH(Recovery Key share holder)”,来自中国(guo)的(de)(de)姚(yao)健康博士(shi)是其中之一 。


7位恢复密钥持有人

  有一(yi)种说(shuo)(shuo)法是(shi)(shi),这7人担当共(gong)同重启互(hu)联网的(de)重责。姚健康(kang)博士表示,媒体经(jing)常(chang)用(yong)“7把钥(yao)(yao)(yao)匙可以掌控互(hu)联网”,“开(kai)启互(hu)联网,需要7把钥(yao)(yao)(yao)匙”等(deng)(deng)标(biao)题(ti),实际上比(bi)较准确的(de)说(shuo)(shuo)法是(shi)(shi)重启的(de)是(shi)(shi)根密(mi)(mi)钥(yao)(yao)(yao)系统(tong)。重启根密(mi)(mi)钥(yao)(yao)(yao)系统(tong)的(de)设计是(shi)(shi)2010年ICANN提出的(de),其目的(de)是(shi)(shi)以防止互(hu)联网根域名系统(tong)基础设施(shi)遭受(shou)毁灭性灾(zai)难,比(bi)如发(fa)(fa)生(sheng)意(yi)外(wai)、战争、灾(zai)难等(deng)(deng)突发(fa)(fa)极端事件,导致东西海岸(an)的(de)两个(ge)数据中心(xin)都(dou)遭到损伤不能(neng)(neng)正常(chang)工作等(deng)(deng)意(yi)外(wai)情况发(fa)(fa)生(sheng), ICANN将召集他(ta)们中的(de)至少5位就(jiu)能(neng)(neng)恢复根密(mi)(mi)钥(yao)(yao)(yao)——这种加密(mi)(mi)方法被(bei)称为Shamir's Secret Sharing——密(mi)(mi)钥(yao)(yao)(yao)被(bei)分成几部分,每一(yi)部分都(dou)独一(yi)无二(er),其中几部分或全部联合起来(lai)就(jiu)能(neng)(neng)解密(mi)(mi)密(mi)(mi)钥(yao)(yao)(yao)。

  当然这(zhei)种情况(kuang)的(de)(de)发(fa)生显(xian)而易见(jian)是一种万一的(de)(de)情况(kuang)。ICANN的(de)(de) Lamb表示,只有(you)(you)在极端灾难的(de)(de)情况(kuang)下,恢复(fu)密钥持有(you)(you)人机(ji)制(zhi)才会被启动(dong)。他说:“可能(neng)要等到美国西海岸坠入海中(zhong)(zhong),而东海岸被核弹击中(zhong)(zhong)时,才会给七个(ge)人中(zhong)(zhong)的(de)(de)五个(ge)打电(dian)话(hua)。”

  这(zhei)7个(ge)(ge)人不介入(ru)具(ju)体域名(包括数据库)管理(li)。一般(ban)情况下,他们也并不需要一定参与每(mei)季度一次的(de)(de)密钥(yao)签署仪式。但(dan)每(mei)年(nian),ICANN都会对其(qi)所持有的(de)(de)密钥(yao)(类(lei)似于一个(ge)(ge)IC卡片)进行(xing)年(nian)检(jian)。早(zao)期的(de)(de)检(jian)查机制往(wang)往(wang)是(shi)TCRs将所持的(de)(de)装有密钥(yao)的(de)(de)信封放(fang)在(zai)当天的(de)(de)新闻报纸(zhi)上(shang)进行(xing)拍(pai)照(zhao),以便于证(zheng)明密钥(yao)是(shi)完(wan)整和安全的(de)(de)。

  后(hou)来,有(you)人(ren)提出:既然(ran)是(shi)可(ke)(ke)信任的代(dai)表(biao),为(wei)什么(me)还需(xu)要(yao)(yao)证明(ming)是(shi)可(ke)(ke)信任的?而(er)且,密(mi)钥拿来拿去(qu),也容易丢失(shi)。自此(ci)以后(hou),ICANN改了规则,只需(xu)要(yao)(yao)持(chi)有(you)者发送承诺函件(jian)表(biao)示(shi)密(mi)钥的安全和完整即可(ke)(ke)。

  从互(hu)联网(wang)数字(zi)分配机(ji)构(gou)IANA的(de)网(wang)站(zhan)上查到(dao),当(dang)前TCRs已从2010年的(de)21位(wei)更(geng)新(xin)至30位(wei),但据(ju)介绍,真正(zheng)持有密(mi)钥的(de)是(shi)21位(wei),其他9位(wei)作为(wei)备选密(mi)钥持有人。TCRs也有自己的(de)更(geng)新(xin)机(ji)制(zhi),比如早(zao)期互(hu)联网(wang)共同发(fa)明人Vint Cerf博士(shi)就是(shi)其中(zhong)一位(wei)TCRs,参与多次密(mi)钥生(sheng)成(cheng)仪式(shi),后来因(yin)时间问(wen)题(ti),即(ji)不能保证出席足(zu)够的(de)签署仪式(shi)而退出,从备选TCRs中(zhong)进行替补(bu)。

  成为一名TCRs,其(qi)工作(zuo)完全出(chu)于自愿、公(gong)益。姚健康介绍(shao)说(shuo),互(hu)联网讲(jiang)究多(duo)利(li)益相(xiang)关(guan)方的参与(yu),鼓励所有(you)利(li)益相(xiang)关(guan)方发言、提(ti)出(chu)诉求。这样其(qi)他人就会知(zhi)道你在想什么,你做(zuo)了什么。互(hu)联网的发展正(zheng)是由于广大技(ji)术专(zhuan)家(jia)的自愿贡献,才有(you)今天的基于开放技(ji)术开放标准的互(hu)联网。在互(hu)联网的环境里,做(zuo)贡献是一个(ge)关(guan)键词。所以,自愿、公(gong)益、贡献,这也是互(hu)联网思维,TCRs同样如(ru)此。

  移除一个顶级域的可能性

  DNS根域(yu)名服务器(qi)话题最近几(ji)年一(yi)直很热,围绕其有诸多讨(tao)论(lun)和(he)担忧,其中一(yi)种说法是,根服务器(qi)的管理机构可(ke)轻易修改(gai)根区文件(jian)内(nei)容甚至可(ke)移(yi)除特定的顶(ding)级域(yu)名。

  姚健(jian)康博士表示,顶级域(yu)主(zhu)要(yao)有两种,一种是国家地区顶级域(yu)ccTLD,另一种通用顶级域(yu)gTLD。gTLD,以及近年来(lai)新出(chu)现的新通用顶级域(yu)new gTLD属于商业范(fan)畴(chou),和各国主(zhu)权(quan)无关(guan),因此由于运(yun)营(ying)以及经济等问题,gTLD的运(yun)营(ying)权(quan)有可能(neng)在不同(tong)的运(yun)营(ying)主(zhu)体之间进行转换。

  他(ta)介绍说(shuo),国家(jia)地(di)区顶级域ccTLD属于各国的(de)主权(quan)相关,因(yin)此(ci)任何对ccTLD的(de)重大变动都需要(yao)获得对应(ying)的(de)政府(fu)的(de)授权(quan)。出于政治原因(yin),不(bu)经ccTLD对应(ying)的(de)政府(fu)的(de)授权(quan),突然移除一(yi)个ccTLD,其(qi)概率是很(hen)小的(de)。“因(yin)为这件(jian)事收益很(hen)小,动静很(hen)大,付出和得到完全(quan)不(bu)成正(zheng)比。”

  而(er)且(qie),ICANN当前(qian)的(de)(de)机制是多利益攸关方(fang)(fang)参(can)与(yu)(yu)的(de)(de)模式,各(ge)国政府(fu)代表、社群(qun)代表、运营商(shang)代表、域名注册机构(gou)代表等都(dou)积极参(can)与(yu)(yu)ICANN的(de)(de)相关工作,推(tui)行(xing)从下而(er)上的(de)(de)讨论和(he)决策。这种(zhong)机制就产生两(liang)种(zhong)结果,第(di)(di)一(yi),形成一(yi)个共识是很(hen)慢的(de)(de),第(di)(di)二,可以充分吸收(shou)各(ge)种(zhong)社区(qu)和(he)利益相关方(fang)(fang)的(de)(de)意(yi)见,很(hen)少会做唐突的(de)(de)决定。


当前TCRs情况(来源:IANA)

  但,即(ji)便(bian)ccTLD顶级域名被移(yi)除了,是(shi)否就意味着是(shi)将(jiang)其从(cong)互联网上隔开?

  事(shi)实也并非如(ru)此,正如(ru)中国工(gong)程(cheng)院(yuan)吴(wu)建平院(yuan)士所言,DNS不是(shi)互联网的核(he)按钮。DNS的作用(yong)就像(xiang)是(shi)打电话(hua)(hua)的电话(hua)(hua)簿,方便易记(ji),但没(mei)有电话(hua)(hua)本同样也可以(yi)打电话(hua)(hua),只是(shi)需(xu)要记(ji)录(lu)相关(guan)IP地(di)址。互联网最基本的访问(wen)方式(shi)是(shi)按IP地(di)址在访问(wen),域名(ming)解析(xi)最后还(hai)是(shi)解析(xi)至某一个IP地(di)址上。

  然后(hou)是RFC7706在(zai)(zai)(zai)技术上的(de)支持(chi)。姚健康博士表示,根(gen)据IETF RFC7706,本(ben)地(di)解(jie)(jie)析(xi)(xi)器可以直接(jie)从IANA下载根(gen)区数(shu)据在(zai)(zai)(zai)本(ben)地(di)运行(xing),相(xiang)当(dang)于在(zai)(zai)(zai)本(ben)地(di)运行(xing)了DNS根(gen)服务(wu)(wu)器,因此从这些解(jie)(jie)析(xi)(xi)器查(cha)(cha)询(xun)域(yu)名的(de)DNS数(shu)据包就不需要(yao)到外面的(de)根(gen)服务(wu)(wu)器查(cha)(cha)询(xun)根(gen)区数(shu)据了。当(dang)前(qian)全球有(you)1000多台(tai)分布在(zai)(zai)(zai)世界(jie)各地(di)的(de)根(gen)域(yu)名服务(wu)(wu)器,所以一般(ban)情况下,DNS根(gen)解(jie)(jie)析(xi)(xi)都是就近查(cha)(cha)询(xun)本(ben)国内的(de)根(gen)服务(wu)(wu)器,而不需要(yao)远(yuan)渡重(zhong)洋去(qu)国外查(cha)(cha)询(xun)。

  他(ta)提到,目前(qian)有几(ji)千个顶(ding)级(ji)域,用户可(ke)(ke)以选择任一个顶(ding)级(ji)域进(jin)行注册域名(ming)。也(ye)就是说域名(ming)的替代性(xing)很(hen)强,相当于某(mou)个电话(hua)本(ben)(ben)用不(bu)了(le),可(ke)(ke)以换其他(ta)电话(hua)本(ben)(ben)查(cha)找(zhao)电话(hua)号码(ma)。因此(ci)删除其中任何(he)一个顶(ding)级(ji)域都不(bu)会让任何(he)国家从互(hu)联网上消失(shi)。

  “DNS域名(ming)系(xi)统当前(qian)已形成(cheng)了一套全球互(hu)联网(wang)利益攸关方(fang)共同维护(hu)的自治系(xi)统,大家自愿加入,并且变得越来越自治,很(hen)难受某一种意志的把控。”姚健康说(shuo)。