编辑精选 : 你能安心上网,靠的是这7把守护互联网的钥匙(组图) - 澳纽网


Save on your hotel - hotelscombined.com.tw

你能安心上网,靠的是这7把守护互联网的钥匙(组图)




来源: (把科学带回家)    2019/4/15 19:39:41
分享内容取自各大媒体, 观点仅供参考, 不代表本网立场!
你知道,你在输入一个网站的网址的时候,不会打开奇怪的钓鱼网站,是靠谁吗?

其实,是靠一个每3个月就要召开一次的互联网神秘仪式,以及七剑——7把密钥。 



从2010年开始,每隔3个月,这个被叫做密钥仪式(key ceremony),或者根区密钥签名密钥仪式(Root Signing Ceremony)的神秘会议就会在美国东部或者西部召开一次。



而参加这个仪式的,是一些手持互联网“钥匙”的神秘人。



这些神秘人聚集起来,就可以取出七剑(7张智能卡),而这七剑就可以召唤出一把威力巨大的互联网大剑——掌控者互联网全网“号码本”的主密钥(master key)。



这把大剑,守卫着互联网的一个核心系统——DNS,也就是域名系统(具体来说,他们控制着域名系统安全扩展(DNSSEC))。

DNS 相当于是互联网的黄页、号码本或花名册,里面记录着不同网站的网址以及它对应的 IP 地址,比如环球科学的网址 www.huanqiukexue.com 和它对应的响应IP 123.56.147.167。



当你在浏览器里输入网址时,就要靠 DNS 帮你查找正确的 IP,从而打开正确的网页。如果没有 DNS,那么想要访问任何一个网址的话,就要背诵这个网址的IP,相当麻烦。

那么,如果有坏人故意把网址对应的 IP 地址乱改,导航到奇奇怪怪的钓鱼网站上该怎么办?

这就需要有可靠的方法来防止坏人篡改 DNS 系统了,这就是生成主密钥的密钥仪式诞生的原因。

主密钥是一串代码,叫做根区密钥签名密钥(root key-signing key),用它可以访问储存着整个互联网域名的数据库,也就是全世界网址的“黄页”——互联网号码分配局(Internet Assigned Numbers Authority,IANA)。



那么,互联网号码分配局是谁管的呢?

互联网号码分配局,归一个比较大的非赢利组织管,它就是互联网名称与数字地址分配机构(ICANN)。



ICANN 的副主席 Matt Larson 曾表示,“如果你拿到了主密钥,你就可以产生你自己的根域,你就可以控制别人能够访问什么网站了。”

也就是说,如果你能集齐七剑,召唤出大剑,你就可以号令武林,唯你独尊。所以这把主密钥,基本上可以在互联网兵器谱上排得上前三甲了。

这样厉害的“武器”,交给谁恐怕都会让别人不服。因此在2016年,美国政府将 DNS 数据库,也就是互联网号码分配局的控制权转让给了 ICANN,让它从名义上脱离了美国政府的控制。

可是,要是 ICANN 自己就是坏蛋怎么办,怎么能相信它呢?

ICANN 是一个在美国的非盈利机构,自称不从属于任何个人、政府或组织。

但是,还是有不少人对 ICANN 不太放心。因此,ICANN 有时会在自己的网站上直播这个仪式,向全世界的人证明他们真的有认真在做哦。

我们来看看这个仪式的具体过程吧。

2014年的某一天,一些神秘人聚集到了美国加州洛杉矶西南部的埃尔塞贡多(El Segundo)的一栋普普通通的大楼里,这个地方离洛杉矶国际机场大概几千米。他们将要召开密钥仪式。





这些人来自全球各地,有瑞典人、俄国人、西班牙人、葡萄牙人。而这些密钥持有者见面召开密钥仪式,就是为了召唤大剑,从而确认世界的网址“黄页”——DNS 是真实的,没有被坏蛋改过。



万一哪天 DNS 系统崩塌了,也就是说互联网的黄页被人烧了,那么这些人还可以聚集起来,重建世界的 DNS 系统。

那么,互联网密钥持有者是怎么选出来的呢?

现在 ICANN 一共有21位密钥持有者。其中的20位从第一场仪式开始就一直是 ICANN 的成员。

选择密钥持有者的过程也简单到让人吃惊。

ICANN 在网站上公布了一个招聘启事,宣布一共招募21名密钥持有者,结果有40个人报名。

最后被选中的互联网密钥“护法”都具有网络安全的技术背景,并且为不同的国际机构工作。找全世界各地的护法的目的就是为了让权力分散,不让个人、单个组织或国家控制大剑。

其中一位密钥持有者就是来自中国互联网信息中心(CNNIC)的姚健康。



参加2016年8月密钥仪式的人。

图片来源:ICANN

那个中途退出的密钥持有者是谁呢?

这个人一点也不简单,因为他是互联网之父之一——文顿·瑟夫(Vint Cerf)。

瑟夫大爷已经奔8了,不做互联网护法后,他变成了教主——谷歌的首席互联网传教士(Chief Internet Evangelist)。(☉д⊙)

这21个密钥持有者被分为两波,14个是主要密钥持有者,他们每个人手里有一把传统的物理钥匙,可以打开一个保险箱,保险箱里就藏着智能卡,用这些智能卡可以启动一台能产生主密钥的机器,也就是召唤大剑。所以下文就叫他们护法。



14个是主要密钥持有者各有一把传统的物理钥匙,可以打开一个保险箱,保险箱里有一张智能卡,用这些智能卡可以启动一台能产生主密钥的机器。

@Laurence Mathieu /  the Guardian

其余的人是后备密钥持有者。他们每人也有一张智能卡,每张智能卡里有一部分代码,这些人的代码合起来,就可以建造一个备用密钥生成器(replacement key-generating machine)。

每年,这些后备的影武士都要拍一张自己和当天报纸的合影,然后发给 ICANN,证明我还活着,人在卡在。

仪式就在这个数据中心进行。




进入这个地方要经历层层安检,和007电影差不多。



仪式开始时,大家先要通过一扇安全门,这扇门需要一个密码、一张智能卡,还有手部的生物识别才能打开。



进去以后,就来到了一个“老鼠笼”里。在这个老鼠笼里,每次只有一扇门能打开。





这个老鼠笼的出口需要另外一套智能卡、手印,还有密码才能开启。



 

进入仪式的房间更加复杂,每次只能进入几个。ICANN 的高级项目经理Richard Lamb 扫描了虹膜以后,让所有人进入会场所在的房间。



Richard Lamb



参与仪式的,除了护法,还有一些见证者,他们是整个仪式的目击证人。这些目击者中,一些也是安全专家,一些则是外行,比如来自会计审计公司普华永道的审计员。



进去以后,就会给大家一份仪式流程,里面记录着仪式包含的一百多个程序。整个仪式过程还会被录影,有时会在 ICANN 网站上直播。





仪式的细节当然需要严格保密,因此仪式会场上没有任何电子信号能够自由出入。保安、清洁工以及闲杂人等都无法进入仪式会场。



所以,仪式会场是护法亲自打扫的。这次,来自瑞典的护法 Anne-Marie Eklund Löwinder 就在仪式前一天客串了清洁工,给这里吸尘。

会场有点像医院的候诊大厅,里面有2排金属凳子,中间一个桌子。会场里还放着一些摄像机,它们负责拍摄会议内容。

房间的一边还有一个2.4米*2.4米的安保笼子,安保笼子里是2个保险箱。保险箱里存放着智能卡,用智能卡就可以启动产生主密钥的机器。




这次的仪式主持人是 ICANN 的技术主管 Francisco Arias。

首先,Arias 和4位护法(仪式需要至少3位护法参加)进入安保笼子,去取放在保险箱里的智能卡。




智能卡放在一个安保袋子里。





这次与会的护法是来自葡萄牙的 João Damas,为一家安全分析公司工作的美国人 Edward Lewis,还有为拉美和加勒比海提供互联网注册服务的公司 Lacnic 工作的乌拉圭人 Carlos Martinez。

看起来非常稳的密钥仪式,其实也不乏人为的意外。

比如在这次仪式上,有一个人重重地摔了一下安保笼子的安全门,触发了地震监测仪,导致安全门自动关闭。(真的不是故意的吗?(ㆀ˘・з・˘))



仪式主持人和护法们全部被锁在了放智能卡的安保笼子里面…



手忙脚乱了6分钟后,他们想到了解决方法:触发警报器,用紧急撤离的方式离开安保笼。



所以,警报呼啦啦地响起,大家被疏散到了走廊里。







到了晚上10点零9分,大家回到了会场。产生主密钥的机器已经准备好了,插入智能卡后,它将会产生一长串加密的密码,也就是主密钥——大剑。



产生主密码的机器

如果这个机器掉到地上,或者被重重地 kao 了一拳,那么它就会启动自毁程序。



现在所有的重要设备都已经从保险箱里拿了出来,可以进入仪式的第二步:密钥签名(key signing)了。



晚上10点48分,一个灰色的盒子被启动,护法们把各自的智能卡插入主密码生成机器。



10点59分,来自美国的安全专家 Alejandro Bolivar 开始念一串听起来很荒谬的乱码“平足担保造砖场…”,这是为了让见证人确认一遍。



见证人确认了这些古怪的代码后,签了字。

晚上11点零2分,在一行代码被输入电脑后,新的经过签名的主密钥——大剑就生成了。



接下来大家花了20分钟把该拔的拔掉,该关的关掉,然后把一个存有主密钥的 USB 交给 ICANN 的工程师 Tomofumi Okubo。



Okubo 会把里面的主密钥发送给 Verisign。Verisign 管理着 DNS 的“根区域”(root zone),上面提到的护法 Alejandro Bolivar 就为这家公司工作。它将会告诉那些控制.com啊,.net啊的服务器应该怎么处理你输入的网址。

使用3个月后,这个主密钥就会失效,仪式就要重来一次。

接下来,四个护法又回到了刚才那个把他们关住的安全笼子里,把智能卡放回去。仪式就结束了,大家可以出去 happy了。

看完这个和想象有点不同的密钥仪式,还是让人有点担心 DNS 的安全。

好在,互联网本身并不属于任何一个人、机构或政府。

ICANN 在官网上表示,互联网包含许多不同的系统,而 DNS 只是其中之一。控制了 DNS 绝对无法完全控制互联网的其他方面。

这就好比,倚天剑屠龙刀虽然可以制霸武林,但是武林并不属于任何一个人,武林盟主也不行。




此外,ICANN 只是确保互联网安全的一环,还有许多组织也承担着保卫互联网的职责,比如互联网工程任务组(the Internet Engineering Task Force),还有万维网联盟(World Wide Web Consortium)。

对了,万维网联盟就是万维网之父——英国计算机科学家蒂姆·伯纳斯-李(Tim Berners-Lee)本人掌管的。这些组织为互联网制定了各种标准,比如网络传输协议(protocols)。



蒂姆·伯纳斯-李


有些小朋友还是不甘心地想知道,万一有人把所有护法都干掉,会怎样呢?

Lamb 在 ICANN 于2010年6月公布的视频中说,万一护法们都出了意外,不能到场,还是可以把密码箱钻开的。没想到吧。


声明:本网转载注明“来源:XXX”的文章,是出于传递更多信息的目的,并不代表本网赞同其观点或证实其内容的真实性,内容仅供参考。




更多编辑精选新闻
四川宜宾6级地震已致11死,亲历者讲惊魂一刻(图)
2小鸟在电线杆上做不可描述之事 用力过猛惹祸(组图)
承载了第一批网民回忆的那些网站 开始404了(组图)
超算全球500强中国再登顶 中国阵营力压美国(组图)
港媒:北京让步 并非顺民意 实保香港金融地位(图)
港媒:香港议员质疑公安假扮港警执法 警方否认(图)
奢侈品海外代购造假调查:高仿名牌650%暴利(组图)
美国称伊朗参与袭击油轮 美国务卿:考虑对伊动武(图)
油轮遇袭疑团未解之际 英国忙跟风、日本拒盲从(图)
英媒:香港大规模抗议斗争 才刚刚开始(图)
伦敦发生暴力冲突:100多名青年袭击警察 有人持刀(图)
四川省委书记透露:这一史无前例的重磅工程要开工了(图)
白宫发言人桑德斯将离职 做特朗普的代言人有多难?(图)
中英合作大手笔:沪伦通在伦敦启动 意义重大(组图)
最糟糕的时候到来?美就对更多中国产品加税开听证会(图)
特朗普突然会见美国科技巨头 探讨重大议题(图)
中国网红被曝骗遍全澳洲!60多华人中招 不怕报警(图)
中国高校,世界第一!首次打破欧美学校垄断(组图)
加拿大强行作废近2万份移民申请 中国人大受影响(图)
屠呦呦团队研究获得重大突破: 青蒿素再立新功!(图)
李嘉诚放大招: 这四届大学本科生,学费我全包了(图)
香港雨伞革命代表性人物黄之峰周一提前出狱(图)
港人反送中大游行“打倒香港四人帮 林郑不是我老母”
香港爆空前“黑衣大游行” 北京指外国势力操控(图)
全球第一家!台积电官宣2nm工艺:2024年投产(组图)
又中标大单!华为周末刷屏:全球已拿下46个合同!(图)
美官员承认向俄电网植入恶意代码,特朗普怒怼叛国(图)
人工渡劫!今年首例,引雷火箭成功触发闪电!
150架!首次采购商用无人机,这支欧洲军队选了大疆(图)
112岁英最长寿老人去世:永远不要忧虑 每晚喝点酒(图)

更多>>  





浏览微信精选文章,免费公众号推广

感谢您对澳纽网的支持

© 2019 澳纽网 AusNZnet.com