集齐7把钥匙,掌控全球互联网DNS

很少有人知道,庞大的互联网系统背后隐藏着一个神秘的组织,这个神秘组织的成员是来自世界各地的网络安全专家,他们手中的钥匙可以组合成控制DNS系统的主钥匙,可以影响整个互联网的运作。如今卫报记者詹姆斯·波尔(James Ball)就有机会加入这些钥匙持有者,近距离观摩一次安保程度极高的神秘仪式。

这是一处平凡无奇的工业园区,位于洛杉矶西南郊,离洛杉矶国际机场仅有一两英里的车程,而有20个人正等在一个没有窗户的餐厅里,等着一个特定仪式的召开。外面是二月鲜有的温暖阳光,而在室内,则只有卤素灯泡放射出的幽暗灯光。

餐厅里的男男女女一边吃着披萨喝着苏打水,一边用各种不同的语言交流——大部分是美式英语,但还是可以听到瑞典语、俄语、西班牙语和葡萄牙语。而在角落里,一台街机响着轻轻的音乐散发出各种闪光。

这种场景或许在很多办公室里也能看到,但室内的这些人必须要经历异常严苛的安检过程,这样的流程一般都用于保护核弹发射密码或者总统级别的高管访问。这听起来像是科幻小说或者是汤姆-克鲁斯主演的间谍电影,但这却发生在当下。这里的人来自世界各地,他们每个人都拥有一枚钥匙,把这些钥匙拼在一起就会组成一把主钥匙,就可以控制网络核心的中安安全措施。这些钥匙持有者的能力也引发了不少猜测:他们的钥匙能关闭整个互联网吗?或者如果有人关闭互联网,他们能够用钥匙重启互联网吗?

钥匙持有者的职责

从2010年开始,这些钥匙持有者每年进行四次会面,两次在美国东海岸,两次在美国西海岸。这些钥匙持有者来自世界各地,是一群被精心选出的网络安全专家。他们都有着很长的互联网安全工作背景,都曾为不同的互联网机构工作过。选择他们不仅因为他们经验丰富,也因为他们来自不同的国家——任何一个国家都不允许拥有过多的钥匙。他们集会的旅行之处要么是自己承担,要么由他们的雇主来承担。

这些人控制的是整个互联网的核心系统:域名解析系统(简称DNS)。这好比是互联网版本的电话簿——每个网站都与一系列的数字一一对应,而那串数字被称为IP地址。没有域名,用户就需要输入一长串的数字才能访问网站。例如用户要访问卫报网站,就必须输入"77.91.251.10"而不是theguardian.com。

每个钥匙持有者都拥有一把金属钥匙 用于打开放有智能卡的保险箱

这把主钥匙的出现也是为了让域名系统和互联网更加安全。每次这些钥匙持有者会面,他们都会验证DNS系统的每一次接入是否是真实的。这也是避免虚假网站域名的扩散,这些网站可能会让用户登录一些恶意网站,从而侵入用户的电脑或者盗取他们的信用卡信息。

钥匙持有者的人数

东海岸和西海岸的聚会每次都会有7名钥匙持有者参加,此外还有7名世界各地的专家拥有备用权限。如果有灾难性的意外发生,他们可以用这权限来重新构建这个系统。这14位钥匙持有者都拥有一把金属钥匙,可以打开一个保险箱,而保险箱内则放着一张智能卡。这张智能卡可以激活一台机器,创造出一枚新的主钥匙。后备钥匙持有者则有些不一样,他们拥有的智能卡含有一些密码残片,拥有建立一台替换用的钥匙生成机器。每年,这些钥匙持有者都需要与一张当天的报纸以及他们的钥匙合影,然后将这张照片发送给DNS的管理机构:互联网名称与数字地址分配机构(简称ICANN),以确切一切都顺利。

集会的严密安保程序

和国家政府或者一些互联网公司相比,ICANN在保证互联网安全方面起着更大的作用。不过时至今日,这个有些过分被夸大的仪式可以在ICANN网站上直播看到,以证明该机构对于所要承担的责任有多严肃。

要进入集会所在的餐厅,你需要通过一道有着个人身份号码、智能卡和手部识别三重保障的大门。之后你进入一个被称为“捕人陷阱”的隔间,这里你还需要通过一道同样有着三重保障的大门才能进入休息室。

带领卫报记者进入集会地点的是瑞克·兰姆(Rick Lamb),兰姆曾经是美国国务院高管,现在则是ICANN的资深项目经理。他的责任是推动一个更新的互联网安全系统。现在如果一枚主要是丢失或者被偷,后果将会是灾难性的:有些用户会收到安全警告,有些网络则会出现问题。一旦更新更安全的系统构建完毕(预计在未来三到五年内完成),问题就会小得多。每个服务器依然还在那里,不会出现连锁反应。

钥匙持有者如何被选出

钥匙持有者的选举过程很低调。在ICANN网站上登出了一则广告,最终21个职位仅仅收获了40份申请。最初21人的20人目前都还在任,仅有一人进行了更替:被称为互联网之父的温特·瑟夫(Vint Cerf)已经70多岁,他目前被谷歌聘请为顾问。

钥匙持有者中的一位来自俄罗斯,名叫迪米特里·布克夫(Dmitry Burkov),他是多家互联网民间组织的成员,也是一位著名的安全专家。而另一位钥匙持有者,来自瑞典的安妮·玛丽·埃克伦德·罗文德(Anne Marie Eklund Lowinder)很早就来到这里打扫卫生,等候其他成员到来。此外还有来自葡萄牙的若昂·达马斯(João Damas),美国的爱德华·刘易斯(Edward Lewis),乌拉圭的卡洛斯·马丁内斯(Carlos Martinez)等等,都是著名的网络安全专家。

在集会地点等候的共有16男4女,除了钥匙持有者之外,还有一些见证人。这些见证人中既有安全专家,也有行外人,甚至还有来自普华永道的审计师。

之后进行的整个仪式非常复杂,有兴趣的同学可以上卫报网站查看现场视频。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-03-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

“商贸信”病毒重新活跃 四天狂发20万钓鱼邮件

12月上旬在全球范围大范围爆发的“商贸信”病毒近日再度复苏。根据腾讯安全御见情报中心检测发现,自12月11日起,“商贸信”病毒开始重新活跃,并在国内地区呈现爆发...

39710
来自专栏CIT极客

极客周刊丨腾讯喜得fuckqq.com,外涵段子已上线,美团用户信息遭泄...

3455
来自专栏域名资讯

kiwi.com500多万被收购背后揭秘

百度旗下“奇艺网”的官方域名,也就是今天红得发紫的视频门户网站——爱奇艺的前身,原因当年蔡文胜以水果“奇异果”为基础注册qiyi.com。

3610
来自专栏小俊博客

我国首个IPv6公共DNS正式发布

下一代互联网国家工程中心正式宣布推出IPv6公共DNS:240c::6666。通过免费提供性能优异的公共DNS服务,为广大IPv6互联网用户打造安全、稳定、高速...

3022
来自专栏大数据文摘

从《2015年中国互联网安全报告》看安全趋势发展(下载)

1895
来自专栏腾讯数据中心

从设备占地空间和用电效率看“市电+HVDC”与“2N UPS”供电架构差异

在某种意义上,数据中心的空间即成本;电费则是运营时期成本的大头。今天,我们将从设备占地空间+运营期间的用电效率两个角度,将“市电+HVDC”与传统UPS供电架构...

4529
来自专栏软件开发

你不知道网络安全有多严峻

随着大数据、AI(人工智能)与互联网络的高速发展新的网络安全问题变得越来越严峻,自己身边时不时总有人被网络诈骗,为了更少的人被攻击写了这些文字。

3183
来自专栏程序员互动联盟

黑客拿个人隐私数据干什么?

当黑客攻击网站系统, 偷走个人隐私数据, 对您的网站或者其他受害者来说风险着什么? 你的名字和邮件地址对网络犯罪者来说有什么价值?为此 CIO.com针对个人隐...

3864
来自专栏漏斗社区

专属|微信支付被曝漏洞

据外媒报道,一款针对比特币用户的恶意软件已经感染了230万个目标用户,该软件可以控制windows剪贴板以替换其中内容。恶意软件被称为“剪贴板劫机者”,将会秘密...

1412
来自专栏玉树芝兰

勒索蠕虫爆发背后

2017年5月12日晚8时,勒索蠕虫爆发,很多人中招。大家口耳相传时,说什么都无所谓,毕竟大众不是专业技术人士。但是一些有知名度的自媒体,未弄清楚事实便以讹传讹...

1054

扫码关注云+社区

领取腾讯云代金券