ICANN 每年会将全球各地的专家们汇聚一堂,举办四次"密钥签名仪式"–这是一项重要的运营事务,是我们维护域名系统 (Domain Name System, DNS) 安全可靠的基础。鉴于"2019 冠状病毒病 (COVID-19)"疫情的大流行和各地因此颁布的"蹲家令"和差旅限制,互联网号码分配机构 (IANA) 团队现已将重点放在如何继续成功执行这项运营事务之上。本周,我们将顺应当前的环境,计划举办一场特殊的密钥签名仪式。
密钥签名仪式属于独特的运营事务,我们将使用加密密钥来维护 DNS 根区的安全。举办这类仪式时,我们读取获得安全保护的根区密钥签名密钥 (KSK)(即保护 DNS 的主密钥),并生成为期三个月的加密签名,用于根区的日常签署。本套体系旨在让社群中背景多样的安全专家们参与进来,我们将他们称为受托社群代表,使其能够访问 KSK。在系统设计时,我们选择了分布在全球各地的社群成员,从而确保风险最小化;他们只在我们举办仪式时聚在一起。
密钥签名仪式的规划早在 6 个月前就开始筹备。我们在 2 月份意识到 COVID-19 可能会影响到预定在 4 月举办的仪式。ICANN 组织评估了其他活动的风险,例如 ICANN67 届会议。鉴于我们需要将来自全球各地的人员聚在一起来举办密钥签名仪式,因而可能带来严重的影响。将各项职责分布在全球各地原本旨在减少正常运营的总体风险,但在 COVID-19 疫情的肆虐之下,举办一次正常的仪式却面临着重大挑战。
我们正在评估仪式运营的多个方面。我们是否能够另选一地举办这次仪式?我们是否能在安排差旅时,最大程度地降低旅客面临的风险?我们是否能将这次仪式延迟至一切恢复正常后举行呢?我们审慎考量了多种方案,并在多个社群论坛中与即将参与仪式的人员、ICANN 组织的工作人员和我们的供应商们进行了探讨。
最终,在 ICANN 董事会批准后,我们决定调整仪式的举办模式,最大程度地降低亲自到场的需求。使用这套替代方案,受托社群代表将无需亲自到场。相反,他们将通过远程方式履行自身的职责。且其他原本需要亲自执行的职责也将采用远程方式进行。我们总共将仅派遣 7 人亲自抵达我们的安全设施,举办这一仪式。这 7 人都将采取全面防护,将 COVID-19 的风险降至最低。所有其他职责都将通过远程的方式执行。
本次仪式中需要使用的、由受托社群代表持有的安全元素现已分别转交给 ICANN 组织中位于洛杉矶地区的不同员工供其保存。我们将使用在线流媒体形式举办一次完全透明的仪式,并将继续鼓励受托社群代表积极通过远程方式参与这一流程。
我们所做出的另一重要调整是将生成为期九个月的签名资料,而不是按常规仅生成三个月的资料。此举将确保我们无需在 2020 年余下时间内再次举办密钥仪式。在 2021 年恢复正常运营方案前,这些额外生成的签名资料将给到我们一定喘息时间。
我们自信已经设计了一套方案,采用所有必要安全保护措施,确保 KSK 全面安全,同时采取必要调整以保证所有人依赖的基础互联网运营不会受到影响。尽管很遗憾我们必须做出这样的调整,但当前维护社群成员和工作人员的健康是我们的头等要务。为了大家的健康福祉,我们必须采取这种形式举办仪式。
我们将在世界协调时 4 月 23 日星期四 17:00 时举办这场新进调整的密钥签名仪式。本仪式将通过在线流媒体进行实况转播,我们诚邀所有人员参与观看。实况转播、仪式文稿和其他资料将发布在以下链接:https://www.iana.org/dnssec/ceremonies/41。
如果您有意了解更多信息,我们最近已经就某些挑战向欧洲网协 (RIPE) 的社群做了一次深度介绍。演讲录音和相关演示稿请参见:https://www.ripe.net/participate/ripe/wg/dns/remote-sessions。
