4月24~26日,互联网名称与数字地址分配机构(ICANN)第53次互联网域名系统(DNS)根密钥签名密钥(Key Signing Key,KSK)会议在美国库尔佩珀召开。会议期间,来自世界各地的互联网技术专家共同探讨互联网安全核心议题,参与新一轮根密钥生成工作,领取新的根密钥分片卡。
本次密钥签名仪式在ICANN东海岸数据中心举行。在此期间,生成了新的根密钥,并进行了各种类密钥的分配和密钥机的复制备份,一部分密钥存放在东海岸数据中心,一部分由密钥持有人带回,另一部分由ICANN的三个职员分乘三架不同飞机带回西海岸洛杉矶数据中心保存。
在本次会议上,传说中“重启互联网”的7位根密钥恢复密钥分片卡持有人在2010年之后再次在线下聚首。中国互联网络信息中心(CNNIC)的姚健康博士作为7位DNS根密钥签名密钥分片卡持有人之一,受邀参加了会议。
重启根密钥系统的设计于2010年提出,其目的是防止互联网根域名系统基础设施遭受毁灭性灾难。姚健康博士表示,对于7位DNS根密钥签名密钥分片卡持有人,媒体经常用“7把钥匙可以掌控互联网”“开启互联网,需要7把钥匙”等标题来形容;实际上比较准确的说法是,7位专家重启的是根密钥系统。根据设计,在互联网根域名系统遇到极端灾难时,7位根密钥恢复密钥持有人共同恢复根密钥,以维护全球互联网的安全与稳定。
在本次会议上,传说中“重启互联网”的7位根密钥恢复密钥分片卡持有人在2010年之后再次在线下聚首。中国互联网络信息中心(CNNIC)的姚健康博士作为7位DNS根密钥签名密钥分片卡持有人之一,受邀参加了会议。
重启根密钥系统的设计于2010年提出,其目的是防止互联网根域名系统基础设施遭受毁灭性灾难。姚健康博士表示,对于7位DNS根密钥签名密钥分片卡持有人,媒体经常用“7把钥匙可以掌控互联网”“开启互联网,需要7把钥匙”等标题来形容;实际上比较准确的说法是,7位专家重启的是根密钥系统。根据设计,在互联网根域名系统遇到极端灾难时,7位根密钥恢复密钥持有人共同恢复根密钥,以维护全球互联网的安全与稳定。
DNS 是互联网的地址簿,帮助用户更方便地使用互联网。用户不必为访问每个网站或应用程序输入复杂的数字定位,而是可以使用直观的域名来浏览互联网、发送电子邮件等等。
域名系统安全扩展协议(DNSSEC)是一种用于增强DNS安全性的扩展协议,通过数字签名技术,为域名解析提供了验证机制,确保用户访问的域名地址真实可信,防止DNS缓存投毒等攻击。根密钥是整个DNSSEC体系的基石与核心,其保护和管理工作至关重要。
DNS根密钥签名仪式通常一年举行四次,每个季度一次。如果没有KSK仪式和它所启用的DNSSEC技术,DNS的安全性就会降低,且互联网用户将更易受到各种形式的安全攻击。
在KSK仪式中,由ICANN选中的来自全球的数名受托社群代表(Trusted Community Representatives,TCRs)被要求前往位于美国的一个特定安全区域,一起在仪式现场见证根区KSK密钥的使用情况。该仪式将生成为期数月的加密签名,以保护全球DNS的运营。TCRs社群成员是位于全球各地、背景多样的专家,以帮助将风险降至最低;他们只在举行仪式时聚在一起。
(责编:项阳)
(整理自CNNIC、ICANN、IANA)
