ICANN 公告

敬请阅读 ICANN 的公告,了解最新政策制定活动和区域事务等等。

互联网名称与数字地址分配机构 (ICANN) 今日宣布启动 2015 年度根区密钥签名密钥硬件安全模块更替项目

2015 年 03 月 23 日

本部分内容不仅提供联合国六种官方语言版本,还提供以下语言版本

互联网名称与数字地址分配机构 (ICANN) 今日宣布启动 2015 年度根区密钥签名密钥硬件安全模块更替项目。有关本项目的概述和相关信息请参见下文。

概述

为了安全维护根区密钥签名密钥 (KSK),ICANN 采用了一些特殊设备,即硬件安全模块 (HSM)。这些 HSM 储存了根区 KSK 的私人密钥资料,但这些模块所使用的电池寿命是有限的。目前这些电池运转良好,离报废时间还有 10 年,且生产商还对电池使用的前五年提供质保服务。鉴于现有设备已运转了五年,出于谨慎考量,ICANN 计划在 2015 年间更替现有设备。

背景

域名系统安全扩展 (DNSSEC) 使得软件可以验证域名系统 (DNS) 数据并未在互联网传输的过程中被更改。这是通过对域名系统各个层级进行公共密钥加密以形成源于根区的信任链而实现的。

ICANN 为了配合其作为 IANA 职能运营商的职责,现承担运营根区密钥签名密钥的责任,执行安全生成并储存根区 KSK 的任务。ICANN 使用 HSM 来存储 KSK。HSM 是一批获得安全加密的处理器,用以管理加密密钥、执行加密运营,并运用防伪机制对私人密钥资料提供实体保护。ICANN 下设的每家 ICANN 安全密钥管理设施 (KMF) ——分别位于美国东海岸和西海岸——均配有两套完全相同的 HSM。若一套 HSM 或一家 KMF 发生故障,则可使用其他冗余设备和另一地区的设施。除此之外,进一步恢复流程的详情则记录在《KSK 灾难恢复和业务连续性计划》一文中。

与其他电子设备不同的是,HSM 的电池通常采取电池组的形式,且无法进行单独更换。这类 HSM 的电池寿命为自生产日期后 10 年,生产商对电池开始使用后的五年期间提供质保服务。

更替流程

目前正在运营的 HSM 是在 2010 年投入使用的。随着质保期即将到期,出于对电池预期寿命的保守考虑,ICANN 有意在 2015 年间投入使用新的 HSM。现有 HSM 的存储内容将被导入进新的 HSM,而新的设备则将同现有设备一样发挥同等作用。这一流程应在 KMF 的季度活动,即大家熟知的密钥签名仪式中进行。在 2015 年间的定期密钥签名仪式上,活动内容将包含新 HSM 的调试运营。

ICANN 计划将在现有的四套 HSM 的基础上,额外添加四套 HSM,以确保新的 HSM 能与于 2010 年投产使用的 HSM 同时运营一段时间。这一阶段将作为过渡期,以确保 KSK 运营的安全性和可用性。

一旦相关方认为新的 HSM 运转无误,且 KSK 的运营连续性不会受到影响,则可以遵循最新行业规格,设计一套安全方案对现有模块停运并销毁。

主要风险

以下清单描述了目前发现的主要风险及其对应的缓和措施:

风险: 因电池故障导致四套 HSM 均无法执行加密运营工作,从而影响到运营连续性。

缓和措施: 目前拥有四套相同的 HSM,并额外配有备用设备,随时可以通过灾难恢复流程激活。若一套 HSM 的电池发生故障,可以方便地使用其他三套 HSM 的冗余信息进行弥补。电池预期寿命约为 10 年,目前每套电池组均工作良好。尽管如此,鉴于所有电池组的出厂日期类似,则很有可能所有 HSM 的电池会在同一时期出现故障。为了维护运营连续性,缓和所有 HSM 同时停运的风险,我们经考虑后决定采取谨慎措施,在 2015 年对 HSM 进行更替,并配有来自不同批次和生产日期的电池。

风险: 新生产的 HSM 可能在首次启动后无法正常运行。

缓和措施: 在安装新 HSM 的过程中,需要在仪式举行前对新的设备进行验收测试,从而在仪式举行时,正式投入运营新设备。新 HSM 投入使用后的一段时期内,现有的 HSM 还将继续置于安全设施中,以确保新 HSM 出现故障后能够有更多的补救方案。

风险:所有新生产的 HSM 均有同样的缺陷。

缓和措施: 如果四套 HSM 全部产于同一批次,则它们有可能拥有同样的缺陷(例如:电池构成问题),这可能会影响到设备冗余性。为了缓和这一风险,ICANN 已与生产商合作,确保新的 HSM 均拥有不同的出厂日期,且其内置电池也源于不同的生产批次。

常见问题与解答

问题 1:为什么要更替 HSM,而不是仅仅只更换电池呢?

回答 1:尽管可以对 HSM 更换电池,但这些设备必须被送往至生产商处更换。ICANN 将更替 HSM,而不是更替电池,以确保加密密钥资料不会离开安全的密钥管理设施所在地。

问题 2:这一项目如何将未来对根区 KSK 的轮转系统纳入进来?

回答 2:本项目区别于"轮转系统",即使用新的根区 KSK 来代替现有的根区 KSK。在轮转系统中涉及到的 HSM 问题将由根区 KSK 轮转系统设计团队进行考量。

区别 HSM 更替项目和根区 KSK 轮转系统有利于给予轮转系统设计团队充足的时间来制定他们的方案,而不会受到因 HSM 更替所带来的运营压力的影响。

问题 3:选取用于更替的 HSM 的过程中,需要考虑哪些方面?

回答 3:ICANN 从生产目前在用 HSM 的生产商处购置了最新出产的 HSM 型号,即 AEP Keyper Plus。根据 IANA 职能合同中对根区 KSK 规定的要求,上述型号已经获得了《FIPS 140-2 等级 4 安全认证》。这一型号允许将老款型号内的根区 KSK 导入到新款中,无需重新生成根区 KSK。ICANN 选取这一新款 HSM 型号,而没有选择目前在用的 HSM 型号,是因为生产商对新款产品提供的产品生命周期支持服务要更加到位。

问题 4:在更替 HSM 的过程中,需要多少值得信赖的社群代表?

回答 4:ICANN 确定至少需要三名值得信赖的社群代表将现有设备的根区 KSK 导出后再导入进新款设备。这一流程并不需要生成新的"SO"和"OP"卡,鉴于此,全体负责加密的高级职员无需全部在场。现有的恢复密钥共享持有人的资质将继续沿用至新的 HSM。

ICANN 简介

ICANN 的使命在于确保全球互联网的稳定、安全与统一。在互联网上寻找另一个人的信息,您必须在您的电脑中键入一个地址——可以是一个名称或是一串数字。这一地址必须是独一无二的,只有这样电脑之间才能互相识别。ICANN 则负责协调这些分布在全球各地的唯一标识符。如果缺乏这样的协调,我们全球统一的互联网也将不复存在。ICANN 成立于 1998 年。它是一家非营利性的公益型企业,其参与人员来自全球各地,均致力于确保互联网的安全性、稳定性和互用性。该组织旨在促进互联网唯一标识符之间的竞争,并为其制定政策。ICANN 不负责互联网的内容管理。无法阻止垃圾邮件,也并不负责处理互联网的接入事务。但该组织通过对互联网域名系统的协调,对互联网的发展和演进有着重要的影响。如需了解更多信息,请参见:www.icann.org.