我们时常会看到有人发布与"控制互联网密钥的七个人"相关的文章。这些文章虽然出于善意,但却是完全不正确的。我们明确表示:没有能控制互联网运行(或不运行)的密钥。
所谓的"互联网密钥"仅与一个功能相关,但即便如此,也只会在极少数情况下使用。明白这些密钥的作用,并了解它们为何不会控制互联网具有非常重要的意义。
首先,人们谈论的密钥只与互联网的一个方面相关,即,域名系统 (DNS) 的数据验证机制,其被称为域名系统安全扩展 (DNSSEC)。该机制基于一个多层级的加密密钥系统,第一层是域名系统的根密钥。ICANN 负责管理域名系统的根区加密密钥。
这些加密密钥存储在两座相距超过 4,000 公里的机密设施中,采用多重实体安保措施加以保护,如大楼保安、摄像头、监控房和保险箱。实体安保的最后一层是一种特殊设备,被称为硬件安全模块 (HSM),真正的加密密钥便存储于此。硬件安全模块能抵御物理篡改,例如,如果有人企图打开设备或将其重摔在地,硬件安全模块便会清除自身存储的所有密钥,以防被窃取。ICANN 的每座机密设施都安装了两台硬件安全模块。
根区加密密钥不能在硬件安全模块之外使用。根据系统的设计要求,要运行硬件安全模块,必须有许多人员在场。其中部分人员是来自全球各地的技术社群成员,他们被称为受托社群代表,其他人则是 ICANN 员工。他们每个人在激活硬件安全模块上都扮演特定角色,这会在定期活动中体现,我们将这类活动称为"密钥仪式。"
但如果某些活动认定硬件安全模块不可运行(如固件出现灾难性漏洞),我们应如何应对?即便是这种极少发生的情况也需要一个恢复计划,因此 ICANN 会采用高度加密的方式对每个根密钥进行备份,并存储在每座机密设施的保险箱里。如果所有四台硬件安全模块均出现问题,ICANN 可以向同一家制造商购买一台新的硬件安全模块,并使用备份密钥恢复根密钥。在这种情况下,根据我们安全政策的规定,恢复 ICANN 持有的备份密钥时,受托社群代表必须在场。
这就是许多文章在谈论"互联网密钥"时出现的误解。每位受托社群代表都持有一个物理密钥(有些是金属卡,有些是智能卡),以便在密钥仪式上使用。物理密钥的类型视受托社群代表的具体职责而定。部分受托社群代表被选为"加密高级职员",负责在常规仪式上激活硬件安全模块。其他受托社群代表被选为"恢复密钥共享持有人",负责在灾难性恢复情况下激活备份密钥。在这两种情况下,受托社群代表持有的物理密钥只能用于激活存储在机密设施中的材料,这不包括根区的加密密钥。受托社群代表没有访问 ICANN 机密设施的权限,因此他们无法使用自己持有的密钥访问受保护的根密钥。如要访问根密钥,所有受托社群代表必须进入机密设施内部,并打开存储备份智能卡的保险箱。除非所有多重实体安保措施全部被攻破,否则只有在计划开展的密钥仪式上才会出现这种情况。
文章中关于密钥的另一个问题是:互联网远不止 DNSSEC 这么简单。互联网包含许多不同的系统,而域名系统只是其中之一。控制互联网某个单一方面的系统(如 DNSSEC)绝对无法完全控制互联网的其他方面。
总之,如果您今后再次读到有关"控制互联网密钥的七个人"的文章时,应明白:虽然受托社群代表会发挥重要作用,但只会在极少数情况下启用这种机制。