根(gen)密鑰儀式的(de)舉行機制是什么？帶有神秘色彩(cai)的重啟根密(mi)鑰系統的7人(ren)需要做什么(me)？頂級域名是(shi)否可被移除(chu)？

　　TCRs的來源

　　1983年，保羅·莫卡(ka)派喬斯(Paul Mockapetris)在南加州大(da)學信息科學學院提(ti)出了關于DNS 體系(xi)結構的RFC882和883，本(ben)質上就是我(wo)們今天所使用的域(yu)名系統(DNS)。從那(na)以后，DNS成為互(hu)聯網重要的(de)基礎設施之(zhi)一。

　　與很多其(qi)它互聯網協(協)議一樣，它的(de)初始設(設)計場景為可(ke)信環境，并沒(沒)有過多考慮(慮)安全問題，因(yin)此在發展過(過)程中出現多種(種)針對DNS的攻擊，其中最(zui)難以解決的(de)兩種安全問題為欺騙攻(gong)擊以及緩存(cun)污染問題。

　　鑒(鑒)于對DNS安全性(xing)的考慮，上世紀(紀)90年代(dai)后期，IETF成立了(le)工作組專門(門)研究DNSSEC安全擴(擴)展協議（DNS Security Extensions），利用(yong)經典的加密(mi)算法和簽名(ming)機制，完善了(le)原有DNS體系(xi)的不足之處。

　　簡單地說，基(ji)于安全環境(jing)設計的原有(you)的DNS協議采用(yong)明文傳輸，中(zhong)間人可以輕(輕)易截取DNS報文并進行(xing)篡改。DNSSEC則引入(ru)公開密鑰技(ji)術，依靠數字簽名保證DNS應答報文的真(zhen)實性和完整(zheng)性。其工作機制是這(這)樣：權威域名服(fu)務器用自己(ji)的私有密鑰對資源記錄(Resource Record, RR)進行簽名，解(jie)析服務器用(yong)權威服務器(qi)的公開(開)密鑰對收到(dao)的應答信息(xi)進行驗證。如(ru)果驗證失敗，表明這一報文可能是假(jia)冒的，或者在(zai)傳輸過(過)程、緩存過程(cheng)中被篡改了。

　　互(hu)聯網之父Vint Cerf就是DNSSEC技術(術)部署的積極推動者(zhe)之一。在推動的過程中，ICANN有(you)一些考(kao)慮，那就是如(ru)何建設DNSSEC信任(ren)錨點，讓DNSSEC根服(fu)務器的密鑰管理更加安(an)全可信。DNSSEC根密(mi)鑰是全球互(hu)聯網DNSSEC信(xin)任的錨點，所(suo)有的DNS解析器(qi)必須設置這(這)個錨點才能正(zheng)確解析DNSSEC數據包。根(gen)密鑰必須獲得全球(qiu)互聯網(網)社群的信任(ren)。由此，ICANN引入了(le)TCRs（互聯網信任(ren)社群代表）體(體)系。

　　TCRs主要宗旨(zhi)是維護根域(yu)名系統的正(zheng)常運轉。為了保證該組織的獨立(li)性，人員的選(選)擇有一些前(qian)提條件：首先(xian)從身份上看，TCRs不(bu)從PTI（公共技術(術)標識機構，前身是互(hu)聯網數字分(fen)配機構IANA）、ICANN（互聯網(網)名(ming)稱與數字地址分配(pei)機構）或VeriSign(威瑞(rui)信公司，管理(li)2臺根服務器(qi))的直屬人員中選擇。其次是考慮(慮)到代表們所(suo)處地理等綜(綜)合因素。此外(wai)，TCRs的選擇也會綜(綜)合其在IETF等相(xiang)關工作(zuo)及貢獻考慮(慮)。

舉行第(di)一次(ci)根密(mi)鑰儀式的美(mei)國弗吉尼亞州的Culpepe

　　ICANN第一次(ci)DNSSEC根密鑰生成(cheng)儀式會議于2010年6月16日(ri)在美國弗吉(ji)尼亞州的Culpeper（庫爾佩珀）召開(開)。

　　ICANN推選出的21位(wei)TCRs聚集在此，見證(證)了互聯網(網)歷史上第(di)一個根密鑰簽署儀式。儀(儀)式上，Vint Cerf博士總結說，根密鑰的生成和WWW出(chu)現的意義一(yi)樣重大，它的(de)出現會讓互聯網更(geng)安全。

第一次DNSSEC根(gen)密鑰生成儀(儀)式參與人員(員)的簽名（供圖：姚健康(kang)）

　　TCRs的自愿和公益

　　DNSSEC的根密鑰保(bao)存在兩個數據中心，其中之(zhi)一在西海岸(an)，另外一個在(zai)東海岸，兩者(zhe)互為備份。

　　21位(wei)TCRs中，7位成員所持的密(mi)鑰屬于西海(hai)岸數據中心(xin)，另外7位所持(chi)的密鑰屬于東(東)海(hai)岸數據中心。按照根(gen)密鑰輪轉機(機)制，每年(nian)舉行4次密鑰簽署儀式，分(fen)別在每個季度(du)舉行。舉行地(di)點在東西海(hai)岸間輪轉。屆時，7位密鑰持(chi)有人中(zhong)應至少有5位(wei)參與現場的(de)密鑰簽署儀(儀)式，以向全球(qiu)表示密鑰的(de)安全和可信(xin)。

　　21位TCRs中剩余的7位則是(shi)“恢復密鑰持(chi)有人RKSH（Recovery Key share holder）”，來自中(zhong)國的姚健康(kang)博士是其中(zhong)之(zhi)一 。

7位恢復密鑰持有人

　　有一(yi)種說法(fa)是，這7人擔當共同重啟互(hu)聯網的重責。姚(yao)健(jian)康博士表示，媒(mei)體經常(chang)用“7把鑰匙可(ke)以掌控互聯網”，“開啟互聯網，需要(yao)7把鑰匙”等標題，實際上比(bi)較準確的說(說)法是重啟的(de)是根密鑰系統(統)。重啟根密鑰系統的設計是2010年ICANN提出的，其目的(de)是以防止互(hu)聯網根域名(ming)系統基礎設(設)施遭受毀滅性災難，比如(ru)發生意外、戰爭、災難(難)等突發極端(duan)事件，導致東(東)西海岸的兩個數據中心(xin)都遭到損傷不能正常工(gong)作等意外情況(況)發生， ICANN將召集他們中(zhong)的至少5位就(jiu)能恢復根密(mi)鑰——這種加密(mi)方法被稱為Shamir's Secret Sharing——密鑰被分成(cheng)幾部分，每一(yi)部分都(dou)獨一無二，其(qi)中幾部分或(huo)全部聯合起(qi)來就能解密(mi)密鑰。

　　當然這(這)種情況的發(發)生顯而易見是一種(種)萬一的情況。ICANN的(de) Lamb表示，只有在(zai)極端災難的(de)情況下，恢復密鑰持有人(ren)機制才會被(bei)啟動。他說：“可(ke)能要等(deng)到美國西海(hai)岸墜入海中(zhong)，而(er)東(東)海岸被核彈擊中時，才(cai)會給七個人(ren)中的五個打(da)電話。”

　　這7個人(ren)不介入具體域名（包(bao)括數據庫）管(guan)理(li)。一般情況下(xia)，他們也并不(bu)需要一定參與每季度一(yi)次的密鑰簽署儀式。但每年，ICANN都會對其(qi)所持有(you)的密鑰（類似(si)于一個IC卡片(pian)）進行年檢。早(zao)期的檢查機(機)制往往是TCRs將所持的裝有(you)密鑰的(de)信封放在當天的新聞報紙上進行拍照(zhao)，以便于證明(ming)密鑰是完整(zheng)和安全的。

　　后(hou)來，有人提出(chu)：既然是可信(xin)任的(de)代表(biao)，為什么還需(xu)要證明是可(ke)信任的？而且(qie)，密鑰拿來拿(na)去，也容易丟(丟)失。自此以后(hou)，ICANN改了規則，只需要持(chi)有者發送承(cheng)諾函件表示(shi)密鑰的安全(quan)和完整即可。

　　從互聯網數字(zi)分配機構IANA的網站上查到，當前TCRs已(yi)從2010年的21位更(geng)新至30位，但據介紹，真正持(chi)有密鑰的是(shi)21位，其他9位作(zuo)為備選密鑰持有人。TCRs也有自己的(de)更新機制，比(bi)如早期互聯網共同發明(ming)人Vint Cerf博士就是(shi)其中一位TCRs，參與(與)多次密鑰生(sheng)成儀式，后來因時間(間)問題，即不能(neng)保證出席足(zu)夠的簽署儀(儀)式而退出，從備選TCRs中(zhong)進行替補。

　　成為一名(ming)TCRs，其工作完全出于自(zi)愿、公益。姚健(jian)康介紹說，互(hu)聯網講究多(duo)利益相關方(fang)的參與，鼓勵所有利益相(xiang)關方發言、提出訴求。這樣其他人就(jiu)會知道你在(zai)想什么，你做(zuo)了什么。互聯網的發展正(zheng)是由于廣大(da)技術專家的(de)自愿貢獻，才有今天(tian)的基于開放(fang)技術開放標準的互聯網(網)。在互聯網的(de)環境里，做貢獻是一個關(關)鍵詞。所(suo)以，自愿、公益、貢獻，這也是互(hu)聯網思維，TCRs同(tong)樣如此。

　　移除(chu)一個頂級域(yu)的可能性

　　DNS根(gen)域名服務器(qi)話題最(zui)近幾年一直(zhi)很熱，圍繞其(qi)有諸多討論和擔憂，其中(zhong)一種說法是(shi)，根(gen)服(fu)務器的管理機(機)構可輕(輕)易修改根區文件內容甚至可移(yi)除特定的頂級域名。

　　姚健康(kang)博士表示，頂級域主要有(you)兩種，一種是(shi)國家地區頂級域ccTLD，另(ling)一種通用頂級域gTLD。gTLD，以及近(jin)年來新出現(現)的新通用頂級域new gTLD屬于商(shang)業范疇，和各(ge)國主權無關(關)，因(yin)此由于運營以及(ji)經濟等問題(題)，gTLD的運營權有(you)可(ke)能在不同的(de)運營主體之(zhi)間進行轉換(換)。

　　他介紹說，國家地區(區)頂級域ccTLD屬于(yu)各國的主權相關，因此任(ren)何對ccTLD的重大(da)變動都需要(yao)獲得對應的(de)政府的授權。出(chu)于政治原(yuan)因，不(bu)經ccTLD對應的政府的(de)授權，突然移(yi)除一個ccTLD，其概(gai)率是很小的。“因(yin)為這件事收(shou)益很小，動靜(靜)很大，付(fu)出和得到完(wan)全不成正比(bi)。”

　　而且，ICANN當前的(de)機制是多利(li)益攸關方參與的模式，各(ge)國政府代表(biao)、社群代(dai)表、運營商代(dai)表、域名注冊機構代表等(deng)都積極參與(與)ICANN的相關工作(zuo)，推行從下而(er)上的討論和決(決)策。這(這)種(種)機(機)制(zhi)就產生(sheng)兩種結果，第(di)一，形成一個共識是很慢(man)的，第二，可以(yi)充分吸收各(ge)種社區和利(li)益相關方的意見，很(hen)少會做唐突(tu)的決定。

當前TCRs情況（來源(yuan)：IANA）

　　但，即便(bian)ccTLD頂級域名被(bei)移除了，是否(fou)就意味著是(shi)將其從互(hu)聯網上隔開(開)？

　　事實也并非(fei)如此，正如中(zhong)國工程院吳建平院士所(suo)言，DNS不是互聯網的核按鈕(鈕)。DNS的作用(yong)就像是打電話的電話簿(bu)，方便易記，但(dan)沒有電話本(ben)同樣也可以(yi)打電話，只是(shi)需要記錄相(xiang)關IP地址。互(hu)聯網最基(ji)本的訪問方式(shi)是按IP地址在(zai)訪問，域名解(jie)析最后還是(shi)解析至某一(yi)個IP地址上。

　　然(ran)后是RFC7706在(zai)技術上的支(zhi)持。姚健康(kang)博士表示，根據IETF RFC7706，本(ben)地解析器可(ke)以直接從IANA下(xia)載根區數據在本地運行(xing)，相當于在本地運行(xing)了DNS根服務器(qi)，因此從這些解(jie)析器查詢域(yu)名的DNS數據包就不需要到(dao)外面的根服(fu)務器查詢根區數據了。當前全球(qiu)有1000多臺分布(bu)在世界各地(di)的根域名服(fu)務器，所以一(yi)般情況下，DNS根(gen)解析都是就近查詢本國內的根(gen)服務器，而不(bu)需要遠渡重(zhong)洋去國外查詢。

　　他提到，目前有幾千個頂級域，用戶可以選擇任(ren)一個頂級域(yu)進行注冊域(yu)名。也就是說(說)域名的替代(dai)性很強，相當于某個電話本用不了，可(ke)以換其(qi)他電話本查(cha)找電話號碼(碼)。因此刪除其(qi)中任何一個頂級域都不(bu)會讓任何國家(jia)從互聯網上(shang)消失。

　　“DNS域(yu)名系統當前(qian)已形成了一(yi)套全球互聯網利益攸關(關)方共同維護(護)的自治系統(統)，大家自愿加(jia)入，并且(qie)變得越來越(yue)自治，很難受(shou)某一種意志(zhi)的把控。”姚健(jian)康說。