根密鑰儀式的(de)舉行機制是(shì)什麽？帶有神秘色彩的(de)重啓根密鑰系統的(de)7人(rén)需要(yào / yāo)做什麽？頂級域名是(shì)否可被移除？

　　TCRs的(de)來(lái)源

　　1983年，保羅·莫卡派喬斯(Paul Mockapetris)在(zài)南加州大(dà)學信息科學學院提出(chū)了(le／liǎo)關于(yú)DNS 體系結構的(de)RFC882和(hé / huò)883，本質上(shàng)就(jiù)是(shì)我們今天所使用的(de)域名系統(DNS)。從那以(yǐ)後，DNS成爲(wéi / wèi)互聯網重要(yào / yāo)的(de)基礎設施之(zhī)一(yī / yì ／yí)。

　　與很多其它互聯網協議一(yī / yì ／yí)樣，它的(de)初始設計場景爲(wéi / wèi)可信環境，并沒有過多考慮安全問題，因此在(zài)發展過程中出(chū)現多種針對DNS的(de)攻擊，其中最難以(yǐ)解決的(de)兩種安全問題爲(wéi / wèi)欺騙攻擊以(yǐ)及緩存污染問題。

　　鑒于(yú)對DNS安全性的(de)考慮，上(shàng)世紀90年代後期，IETF成立了(le／liǎo)工作組專門研究DNSSEC安全擴展協議（DNS Security Extensions），利用經典的(de)加密算法和(hé / huò)簽名機制，完善了(le／liǎo)原有DNS體系的(de)不(bù)足之(zhī)處。

　　簡單地(dì / de)說(shuō)，基于(yú)安全環境設計的(de)原有的(de)DNS協議采用明文傳輸，中間人(rén)可以(yǐ)輕易截取DNS報文并進行篡改。DNSSEC則引入公開密鑰技術，依靠數字簽名保證DNS應答報文的(de)真實性和(hé / huò)完整性。其工作機制是(shì)這(zhè)樣：權威域名服務器用自己的(de)私有密鑰對資源記錄(Resource Record, RR)進行簽名，解析服務器用權威服務器的(de)公開密鑰對收到(dào)的(de)應答信息進行驗證。如果驗證失敗，表明這(zhè)一(yī / yì ／yí)報文可能是(shì)假冒的(de)，或者在(zài)傳輸過程、緩存過程中被篡改了(le／liǎo)。

　　互聯網之(zhī)父Vint Cerf就(jiù)是(shì)DNSSEC技術部署的(de)積極推動者之(zhī)一(yī / yì ／yí)。在(zài)推動的(de)過程中，ICANN有一(yī / yì ／yí)些考慮，那就(jiù)是(shì)如何建設DNSSEC信任錨點，讓DNSSEC根服務器的(de)密鑰管理更加安全可信。DNSSEC根密鑰是(shì)全球互聯網DNSSEC信任的(de)錨點，所有的(de)DNS解析器必須設置這(zhè)個(gè)錨點才能正确解析DNSSEC數據包。根密鑰必須獲得全球互聯網社群的(de)信任。由此，ICANN引入了(le／liǎo)TCRs（互聯網信任社群代表）體系。

　　TCRs主要(yào / yāo)宗旨是(shì)維護根域名系統的(de)正常運轉。爲(wéi / wèi)了(le／liǎo)保證該組織的(de)獨立性，人(rén)員的(de)選擇有一(yī / yì ／yí)些前提條件：首先從身份上(shàng)看，TCRs不(bù)從PTI（公共技術标識機構，前身是(shì)互聯網數字分配機構IANA）、ICANN（互聯網名稱與數字地(dì / de)址分配機構）或VeriSign(威瑞信公司，管理2台根服務器)的(de)直屬人(rén)員中選擇。其次是(shì)考慮到(dào)代表們所處地(dì / de)理等綜合因素。此外，TCRs的(de)選擇也(yě)會綜合其在(zài)IETF等相關工作及貢獻考慮。

舉行第一(yī / yì ／yí)次根密鑰儀式的(de)美國(guó)弗吉尼亞州的(de)Culpepe

　　ICANN第一(yī / yì ／yí)次DNSSEC根密鑰生成儀式會議于(yú)2010年6月16日在(zài)美國(guó)弗吉尼亞州的(de)Culpeper（庫爾佩珀）召開。

　　ICANN推選出(chū)的(de)21位TCRs聚集在(zài)此，見證了(le／liǎo)互聯網曆史上(shàng)第一(yī / yì ／yí)個(gè)根密鑰簽署儀式。儀式上(shàng)，Vint Cerf博士總結說(shuō)，根密鑰的(de)生成和(hé / huò)WWW出(chū)現的(de)意義一(yī / yì ／yí)樣重大(dà)，它的(de)出(chū)現會讓互聯網更安全。

第一(yī / yì ／yí)次DNSSEC根密鑰生成儀式參與人(rén)員的(de)簽名（供圖：姚健康）

　　TCRs的(de)自願和(hé / huò)公益

　　DNSSEC的(de)根密鑰保存在(zài)兩個(gè)數據中心，其中之(zhī)一(yī / yì ／yí)在(zài)西海岸，另外一(yī / yì ／yí)個(gè)在(zài)東海岸，兩者互爲(wéi / wèi)備份。

　　21位TCRs中，7位成員所持的(de)密鑰屬于(yú)西海岸數據中心，另外7位所持的(de)密鑰屬于(yú)東海岸數據中心。按照根密鑰輪轉機制，每年舉行4次密鑰簽署儀式，分别在(zài)每個(gè)季度舉行。舉行地(dì / de)點在(zài)東西海岸間輪轉。屆時(shí)，7位密鑰持有人(rén)中應至少有5位參與現場的(de)密鑰簽署儀式，以(yǐ)向全球表示密鑰的(de)安全和(hé / huò)可信。

　　21位TCRs中剩餘的(de)7位則是(shì)“恢複密鑰持有人(rén)RKSH（Recovery Key share holder）”，來(lái)自中國(guó)的(de)姚健康博士是(shì)其中之(zhī)一(yī / yì ／yí) 。

7位恢複密鑰持有人(rén)

　　有一(yī / yì ／yí)種說(shuō)法是(shì)，這(zhè)7人(rén)擔當共同重啓互聯網的(de)重責。姚健康博士表示，媒體經常用“7把鑰匙可以(yǐ)掌控互聯網”，“開啓互聯網，需要(yào / yāo)7把鑰匙”等标題，實際上(shàng)比較準确的(de)說(shuō)法是(shì)重啓的(de)是(shì)根密鑰系統。重啓根密鑰系統的(de)設計是(shì)2010年ICANN提出(chū)的(de)，其目的(de)是(shì)以(yǐ)防止互聯網根域名系統基礎設施遭受毀滅性災難，比如發生意外、戰争、災難等突發極端事件，導緻東西海岸的(de)兩個(gè)數據中心都遭到(dào)損傷不(bù)能正常工作等意外情況發生， ICANN将召集他(tā)們中的(de)至少5位就(jiù)能恢複根密鑰——這(zhè)種加密方法被稱爲(wéi / wèi)Shamir's Secret Sharing——密鑰被分成幾部分，每一(yī / yì ／yí)部分都獨一(yī / yì ／yí)無二，其中幾部分或全部聯合起來(lái)就(jiù)能解密密鑰。

　　當然這(zhè)種情況的(de)發生顯而(ér)易見是(shì)一(yī / yì ／yí)種萬一(yī / yì ／yí)的(de)情況。ICANN的(de) Lamb表示，隻有在(zài)極端災難的(de)情況下，恢複密鑰持有人(rén)機制才會被啓動。他(tā)說(shuō)：“可能要(yào / yāo)等到(dào)美國(guó)西海岸墜入海中，而(ér)東海岸被核彈擊中時(shí)，才會給七個(gè)人(rén)中的(de)五個(gè)打電話。”

　　這(zhè)7個(gè)人(rén)不(bù)介入具體域名（包括數據庫）管理。一(yī / yì ／yí)般情況下，他(tā)們也(yě)并不(bù)需要(yào / yāo)一(yī / yì ／yí)定參與每季度一(yī / yì ／yí)次的(de)密鑰簽署儀式。但每年，ICANN都會對其所持有的(de)密鑰（類似于(yú)一(yī / yì ／yí)個(gè)IC卡片）進行年檢。早期的(de)檢查機制往往是(shì)TCRs将所持的(de)裝有密鑰的(de)信封放在(zài)當天的(de)新聞報紙上(shàng)進行拍照，以(yǐ)便于(yú)證明密鑰是(shì)完整和(hé / huò)安全的(de)。

　　後來(lái)，有人(rén)提出(chū)：既然是(shì)可信任的(de)代表，爲(wéi / wèi)什麽還需要(yào / yāo)證明是(shì)可信任的(de)？而(ér)且，密鑰拿來(lái)拿去，也(yě)容易丢失。自此以(yǐ)後，ICANN改了(le／liǎo)規則，隻需要(yào / yāo)持有者發送承諾函件表示密鑰的(de)安全和(hé / huò)完整即可。

　　從互聯網數字分配機構IANA的(de)網站上(shàng)查到(dào)，當前TCRs已從2010年的(de)21位更新至30位，但據介紹，真正持有密鑰的(de)是(shì)21位，其他(tā)9位作爲(wéi / wèi)備選密鑰持有人(rén)。TCRs也(yě)有自己的(de)更新機制，比如早期互聯網共同發明人(rén)Vint Cerf博士就(jiù)是(shì)其中一(yī / yì ／yí)位TCRs，參與多次密鑰生成儀式，後來(lái)因時(shí)間問題，即不(bù)能保證出(chū)席足夠的(de)簽署儀式而(ér)退出(chū)，從備選TCRs中進行替補。

　　成爲(wéi / wèi)一(yī / yì ／yí)名TCRs，其工作完全出(chū)于(yú)自願、公益。姚健康介紹說(shuō)，互聯網講究多利益相關方的(de)參與，鼓勵所有利益相關方發言、提出(chū)訴求。這(zhè)樣其他(tā)人(rén)就(jiù)會知道(dào)你在(zài)想什麽，你做了(le／liǎo)什麽。互聯網的(de)發展正是(shì)由于(yú)廣大(dà)技術專家的(de)自願貢獻，才有今天的(de)基于(yú)開放技術開放标準的(de)互聯網。在(zài)互聯網的(de)環境裏，做貢獻是(shì)一(yī / yì ／yí)個(gè)關鍵詞。所以(yǐ)，自願、公益、貢獻，這(zhè)也(yě)是(shì)互聯網思維，TCRs同樣如此。

　　移除一(yī / yì ／yí)個(gè)頂級域的(de)可能性

　　DNS根域名服務器話題最近幾年一(yī / yì ／yí)直很熱，圍繞其有諸多讨論和(hé / huò)擔憂，其中一(yī / yì ／yí)種說(shuō)法是(shì)，根服務器的(de)管理機構可輕易修改根區文件内容甚至可移除特定的(de)頂級域名。

　　姚健康博士表示，頂級域主要(yào / yāo)有兩種，一(yī / yì ／yí)種是(shì)國(guó)家地(dì / de)區頂級域ccTLD，另一(yī / yì ／yí)種通用頂級域gTLD。gTLD，以(yǐ)及近年來(lái)新出(chū)現的(de)新通用頂級域new gTLD屬于(yú)商業範疇，和(hé / huò)各國(guó)主權無關，因此由于(yú)運營以(yǐ)及經濟等問題，gTLD的(de)運營權有可能在(zài)不(bù)同的(de)運營主體之(zhī)間進行轉換。

　　他(tā)介紹說(shuō)，國(guó)家地(dì / de)區頂級域ccTLD屬于(yú)各國(guó)的(de)主權相關，因此任何對ccTLD的(de)重大(dà)變動都需要(yào / yāo)獲得對應的(de)政府的(de)授權。出(chū)于(yú)政治原因，不(bù)經ccTLD對應的(de)政府的(de)授權，突然移除一(yī / yì ／yí)個(gè)ccTLD，其概率是(shì)很小的(de)。“因爲(wéi / wèi)這(zhè)件事收益很小，動靜很大(dà)，付出(chū)和(hé / huò)得到(dào)完全不(bù)成正比。”

　　而(ér)且，ICANN當前的(de)機制是(shì)多利益攸關方參與的(de)模式，各國(guó)政府代表、社群代表、運營商代表、域名注冊機構代表等都積極參與ICANN的(de)相關工作，推行從下而(ér)上(shàng)的(de)讨論和(hé / huò)決策。這(zhè)種機制就(jiù)産生兩種結果，第一(yī / yì ／yí)，形成一(yī / yì ／yí)個(gè)共識是(shì)很慢的(de)，第二，可以(yǐ)充分吸收各種社區和(hé / huò)利益相關方的(de)意見，很少會做唐突的(de)決定。

當前TCRs情況（來(lái)源：IANA）

　　但，即便ccTLD頂級域名被移除了(le／liǎo)，是(shì)否就(jiù)意味着是(shì)将其從互聯網上(shàng)隔開？

　　事實也(yě)并非如此，正如中國(guó)工程院吳建平院士所言，DNS不(bù)是(shì)互聯網的(de)核按鈕。DNS的(de)作用就(jiù)像是(shì)打電話的(de)電話簿，方便易記，但沒有電話本同樣也(yě)可以(yǐ)打電話，隻是(shì)需要(yào / yāo)記錄相關IP地(dì / de)址。互聯網最基本的(de)訪問方式是(shì)按IP地(dì / de)址在(zài)訪問，域名解析最後還是(shì)解析至某一(yī / yì ／yí)個(gè)IP地(dì / de)址上(shàng)。

　　然後是(shì)RFC7706在(zài)技術上(shàng)的(de)支持。姚健康博士表示，根據IETF RFC7706，本地(dì / de)解析器可以(yǐ)直接從IANA下載根區數據在(zài)本地(dì / de)運行，相當于(yú)在(zài)本地(dì / de)運行了(le／liǎo)DNS根服務器，因此從這(zhè)些解析器查詢域名的(de)DNS數據包就(jiù)不(bù)需要(yào / yāo)到(dào)外面的(de)根服務器查詢根區數據了(le／liǎo)。當前全球有1000多台分布在(zài)世界各地(dì / de)的(de)根域名服務器，所以(yǐ)一(yī / yì ／yí)般情況下，DNS根解析都是(shì)就(jiù)近查詢本國(guó)内的(de)根服務器，而(ér)不(bù)需要(yào / yāo)遠渡重洋去國(guó)外查詢。

　　他(tā)提到(dào)，目前有幾千個(gè)頂級域，用戶可以(yǐ)選擇任一(yī / yì ／yí)個(gè)頂級域進行注冊域名。也(yě)就(jiù)是(shì)說(shuō)域名的(de)替代性很強，相當于(yú)某個(gè)電話本用不(bù)了(le／liǎo)，可以(yǐ)換其他(tā)電話本查找電話号碼。因此删除其中任何一(yī / yì ／yí)個(gè)頂級域都不(bù)會讓任何國(guó)家從互聯網上(shàng)消失。

　　“DNS域名系統當前已形成了(le／liǎo)一(yī / yì ／yí)套全球互聯網利益攸關方共同維護的(de)自治系統，大(dà)家自願加入，并且變得越來(lái)越自治，很難受某一(yī / yì ／yí)種意志的(de)把控。”姚健康說(shuō)。