Logo
ICANN
ICANN
Filtered Search

Are you sure you want to sign out from http://www.icann.org?

If you want to sign out from both http://www.icann.org and ICANN Account, click here.

ICANN 博文

敬请阅读 ICANN 的博文,了解最新政策制定活动和区域事务等等。

互联网密钥和密钥签名仪式:阐释

2023 年 07 月 11 日
作者:
Kim Davies

Kim Davies

VP, IANA Services & President, PTI
Kim Davies joined ICANN in 2005, and serves as the Vice President, IANA Services and President, Public Technical Identifiers. In this role he leads the Internet Assigned Numbers Authority (IANA) functions, which coordinates and manages the Internet's unique identifiers to promote Internet interoperability. His tenure has evolved IANA through the implementation of technical systems, formalizing business processes and quality management practices, and transitioning the functions from a US Government contract to multi-stakeholder oversight.
 
Kim has previously been involved in country-code top-level domain management, cofounding the .au domain manager auDA and representing European country-code managers at CENTR. In Australia, he worked for a major ISP, and established a key Australian Internet exchange point.

如果您听说过“互联网的钥匙”,则这个话题通常与一个非常具体的事物有关——即:用于验证域名系统 (Domain Name System, DNS) 安全性的数字密钥。一把主密钥控制着如此重要的功能,这个概念听起来就像是间谍小说里的情节。许多报道、电视和广播节目都曾以此为主题,重点宣扬七个人持有互联网的钥匙。而这些虚构的描述和一些新闻报道可能言过其实。让我们简单了解一下密钥是什么以及如何管理。

我们所说的密钥是什么?

DNS 在最高层级上使用“根区密钥签名密钥”作为其真实性验证印章。该密钥通常被简称为“密钥签名密钥”、“根密钥”、根“KSK”或 DNS 的“信任锚”。全世界的计算机都可以通过检查这一真实性验证印章是否存在、且未被篡改,以此来证实系统是否正常运行。为了使该系统正常运行,这个印章必须每隔三个月应用于日常运营中使用的其他密钥。

密钥签名密钥存储在何处?

密钥签名密钥存储在两处安全设施中。一个位于加利福尼亚州洛杉矶市 (Los Angeles, California),另一个位于弗吉尼亚州卡尔佩珀市 (Culpeper, Virginia)。这两处设施互为复制设施。

两间设施均设有专门设计的仪式室,用于存放密钥签名密钥。密钥本身则是一份计算机文件,存储在一个名为硬件安全模块 (Hardware Security Module, HSM) 的专用设备中。该设备的设计目的是安全存储密钥,类似于具有额外安全功能的高级计算机硬盘驱动器。

什么是密钥签名仪式?

密钥签名密钥每隔三个月将应用于其他密钥,此时必须证明该密钥签名密钥未被篡改或用于任何其他目的。为了完成这项工作,我们则需要公开举行“密钥签名仪式”。在该仪式上,来自世界各地的专家们将观察密钥签名密钥的使用情况。他们还将检查流程中的每个步骤,以确保准确无误。整个流程都会被录制、直播,并由独立审计师监督。

参与这类仪式的专家们是谁?

专家们是来自世界各地的安全专家和负责密钥签名密钥日常运行的 ICANN 组织的工作人员。大多数非 ICANN 工作人员的专家们则被称为“受托社群代表”,因为他们的工作是在签名流程中代表更广大的技术社群。除了这些专家和其他参与者外,媒体人士和其他能够提高人们对密钥签名仪式的认识的人员也经常参加该流程。

专家们在该仪式中扮演什么角色?

每个人都有着不同角色。为了提高安全性,密钥签名密钥的访问方式被设计成需要多人参与才有效。有些人可以访问用于打开 HSM 的智能卡。有些人则持有存储 HSM 的保险柜的密码。还有些人则拥有进入仪式室的钥匙。而不在现场的一组人员则负责授予专家们进入该设施的权限。每次仪式举办时,至少需要十几人才能打开并激活使用密钥签名密钥所需的所有部件。

仪式是怎样进行的?

每场仪式需要三到八个小时。该仪式则按照严格、精确的程序逐步推进,每一步都要经过细致核对和验证。这需要花费大量时间。

为什么必须确保正确处理密钥呢?

只有在确保该密钥签名密钥未被他人复制或拷贝的情况下,该密钥才有价值。要做到这一点,我们必须证明密钥签名密钥仅在这些季度仪式中用于正当目的。如果存在以未经授权的方式使用密钥签名密钥的风险,则无法保证密钥未被复制,其真实性验证印章也将失效。

确保密钥安全的主要组件有哪些?

这方面需要考虑三件重要事项:

  1. 本流程中最重要的原则是保护“监管链”。与警察在犯罪现场收集证据一样,这涉及存储所有组件以使用密钥签名密钥,以证明其未被篡改以供将来使用。通过在防篡改袋中对所有组件进行标记和装袋,并在每次打开或移动袋子时进行视频记录,我们可以清楚地知道每个组件从创建到不再需要的整个过程。如果某个袋子丢失或以未经授权的方式打开,就能很明显的发现。袋内物品就会被视为已遭损坏,不能再被信任。
  2. 该设施的出入受到多层物理安全控制。这些防篡改袋存放在保险柜中,保险柜存放在铁笼中,铁笼则设在安全的仪式室中,而该仪式室则处于高度安全的设施之中。每层安全措施都需要一位或多位不同的人员才可访问。只有在一场密钥签名仪式上,所有这些人才能聚在一起,取出这些防篡改袋。此外,该设施还安装了一系列传感器,用于探测未经授权的访问,并由现场武装警卫和远程技术专家进行全天候监控。
  3. 硬件安全模块。该设备存储着包含密钥签名密钥的实际数字文件。它就像一个极其专业的硬盘驱动器,具有特殊的保护功能,在未经授权使用时可以自行损毁。如果有人试图将其打开、摇晃或不慎坠落,它就会自行破坏所存数据。如果您在没有所有必要专家在场的情况下试图使用它,它也将无法运行。

那么“互联网的七把钥匙”又是什么呢?

大约有 50 名不同专家直接参与密钥签名仪式。其中 21 位从全球互联网社群中挑选而出。他们被分为三组,每组七人。每组都有不同的角色。由于我们需要这些组员参与密钥签名仪式,并以此作为密钥签名密钥安全保护的一部分,因此人们通常将这个概念简称为互联网的七把钥匙,或控制着互联网的七个人。但这种说法掩盖了该流程的真正复杂性,即该流程涉及多层重叠控制。完整设计方案要求远远不止七个人或七把钥匙来访问或使用根区密钥签名密钥。

具体情况比此处描述的更复杂吗?

本文只是对一个复杂问题的精简描述。根区密钥签名密钥位于分层公钥基础设施的最高层级,该基础设施包含其他机构运营的许多相互关联的不同密钥。重要的是要知道,靠这些密钥所支持的域名系统安全扩展 (Domain Name System Security Extensions, DNSSEC) 技术只是增强互联网运行安全性的大型技术工具箱中的一种工具而已。

而负责管理这一切工作的正式文件名为:《DNSSEC 实践声明 (DNSSEC Practice Statement)》。该文件与我们谈到的密钥签名仪式存档录像和其他事项共同发布在此处:https://iana.org/dnssec

Authors

Kim Davies

Kim Davies

VP, IANA Services & President, PTI
Kim Davies

Kim Davies

VP, IANA Services & President, PTI
Kim Davies joined ICANN in 2005, and serves as the Vice President, IANA Services and President, Public Technical Identifiers. In this role he leads the Internet Assigned Numbers Authority (IANA) functions, which coordinates and manages the Internet's unique identifiers to promote Internet interoperability. His tenure has evolved IANA through the implementation of technical systems, formalizing business processes and quality management practices, and transitioning the functions from a US Government contract to multi-stakeholder oversight.
 
Kim has previously been involved in country-code top-level domain management, cofounding the .au domain manager auDA and representing European country-code managers at CENTR. In Australia, he worked for a major ISP, and established a key Australian Internet exchange point.

您还可能喜欢