2
再過不久,最重要的網絡密鑰之一將會首次被更改。
互聯網域名管理機構 ICANN 近日將會更改域名系統 DNS(也叫作互聯網的“號碼簿”)中,信任密鑰長鏈中的第一個密鑰對。
這個密鑰對保證了當一個網絡用戶試圖訪問一個網頁時,他可以準確地被引到這個網頁地址。如果沒有這個密鑰對,用戶可能會被引導到一個黑客制作的詐騙網址上,比如竊取信息的釣魚網站。
ICANN 的研究副主席 Matt Larson 說:“ICANN 想要在對這個密鑰的運作上變得非常透明,因為獲得社會對其的信任十分重要。”
圖為 ICANN 研究副主席 Matt Larson,攝影:Kim Davies/Flickr
DNS 將易于記憶的域名(如 Google.com)翻譯成他們的數字化 IP 地址,這樣計算機便可以由此訪問該網址。但是DNS的建立并未考慮安全性。Larson 解釋道:“最初建立域名系統的時候,網絡還是一個相對友好的地方,所以當時并沒有過多地考慮到安全性。”結果,安全性的缺乏導致了所謂的域名服務器緩存污染(DNS cache pollution)和域名服務器欺騙(DNS spoofing)問題——當一個服務器在互聯網“號碼薄”中查找時,被強制跳轉到一個錯誤的 IP 地址,流量也因此被引到其他的地方,比如一個黑客控制的惡意網站。
為了解決這個問題,很多域名使用了 DNS 安全擴展(DNSSEC)。在DNSSEC下,加密密鑰保證了DNS數據擁有正確的來源。如果在傳輸過程中有不可靠的信息出現,并且加密簽名沒有出現,瀏覽器會自動挑轉到一個錯誤提示而不是被引到一個錯誤的網站。但是 DNSSEC 不為網頁上的數據加密,只是另用戶知曉正在訪問的網站是否合法,因為前者是 SSL 或 TLS 等網絡協議的工作。
在 2010 年,ICANN 與其他一些組織引進了 DNSSEC 來保護互聯網的 DNS 頂層,即 DNS 根區域。密鑰的層級控制了 DNSSEC 認證的過程,密鑰的不同部分負責系統的不同階段。根區域的頂層部分由 ICANN 管理,控制不同頂級域名的算子(比如 .com),其他部分則管理者個體域名(比如 MyWebsite.com)。
“如果你擁有了這個密鑰,你將可以改變巨量網絡流量的方向。”
在這個結構中,每個組織擁有自己的密鑰來制作簽名,并且必須對其下實體簽署這個密鑰。所以,對于 MyWebsite.com, .com 會簽署 MyWebsite.com 的密鑰,同時根區域會簽署 .com 的密鑰。當訪問一個網頁時,在計算機加載網頁之前,這個信息檢查過程幾乎可以一瞬間完成。
并不是所有人都使用 DNSSEC,但是使用人數在逐年上升:康卡斯特公司(Comcast)在 2012 年為其客戶開放了 DNSSEC,2013年,谷歌自己的 DNS 服務器開始全力支持 DNSSEC。
這個鏈系頂層的密鑰對,或者說是根區域的簽名密鑰,就是文章開頭所說的 ICANN 要首次更改的密鑰。
Larson 說:“如果你擁有了這個密鑰,并且創造出你自己的根區域版本,你就可以重新引導巨量網絡流量的方向。我們想要更改這個密鑰,以保證網絡安全能‘免疫’。”這就像是為了以防數據被攻擊,我們會更改密碼,經常更改密碼是一個標準的安全慣則。
互聯網結構委員會(IAB)的主席 Andrew Sullivan 說,目前存在一種邏輯可能 ,即某些人在我們不知道的情況下破壞網絡安全密鑰。但他也強調,我們也沒有理由相信這個密鑰已經泄露了。
確實,ICANN使用了一些特別的安全措施,并且認為其潛在的威脅可能是國家層面的。在其季度會議上,全世界所謂的“密碼主管”在通過物理和數字安全區域后,聚集到同一個密鑰管理設備中。
在 DNS 安全領域走在前列的知名安全專家 Dan Kaminsky 說:“為根區域提供一個體量更大的密鑰十分關鍵,我不想看到任何阻止它的事情發生。”另一個導致更改密鑰的原因在于體量的增大,從 1024 比特增加到2048比特。隨著時間的推移,計算能力逐漸增強,破壞密鑰的可能雖低,卻也在上升中。
ICANN 希望在一個較為穩定的時間做出這個更改,而不是貿然行動,以免密鑰失去抵抗力。
Larson 說:“我們希望一切恢復正常,沒有任何緊急事件發生的時候再啟動這個程序。”這樣一來,就算是以后忽然不小心被一個演員掌管了這個密鑰,至少 ICANN 會比他更加懂得這個過程是如何運行的。
今年 10 月,ICANN 會在位于美國東海岸的一個超級安全密鑰管理設備中產生一個新的加密密鑰對。密鑰對的一半將是私密的,歸由 ICANN 保管,另一半則對外公開。互聯網服務供應者、硬件制造商和 Linux 開發者需要密鑰的公開部分來使他們的軟件恰當地連接到網站。
在 2017 年第一季度,將會有兩名 ICANN 的員工把加密密鑰文件的副本存儲在一個智能卡上,并乘坐公共交通工具運送到美國西海岸。最終,密鑰的公開部分將分發到世界各個組織手中。
總之,這個更正過程會持續大約兩年。Larson 說 DNS 的新密鑰會在 2017 年 7 月 11 日首次出現。在 2017 年 10 月,新密鑰就可以用了制作簽名。
及時的將這個更改信息宣傳出去是一個主要問題。雖然很多大的組織會持續關注這個即將到來的改變。但是正如 Sullivan 所說,可能還會有一些硬件會因這個改變而被擱置,比如路由器或者防火墻設備,它們可能會錯過這個更正,因而必須進行手動更新。
對媒體發聲是一種傳播信息的方式,但是對密鑰更改的公開化也引發了網絡基礎設施建設中非常重要的問題:信任。Sullivan 說:“因為互聯網是社交網絡的網絡,它都是自發的。人們如果不能從中獲取一些價值的話,他們根本就不會使用它。”DNSSEC和其他認證也許看上去是完完全全地技術解決辦法,但說到底,他們還是依賴于人類信任的脆弱性而建立的系統。
而實際上,沒有人可以確切地知道 ICANN 的密鑰是否會被泄露。
“信任是轉瞬即逝的。”Larson 如是說。
via motherboard
推薦閱讀:
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
