本篇文章2179字,读完约5分钟
很快,最重要的网络密钥之一将首次被改变。
互联网域名管理机构Icann最近将改变域名系统dns(也称为互联网的“目录”)的长可信密钥链中的第一个密钥对。
该密钥对确保当网络用户试图访问网页时,他可以被准确地引导到该网页的地址。如果没有这个密钥对,用户可能会被引导到黑客创建的欺诈网站,例如窃取信息的网络钓鱼网站。
icann研究副总裁马特拉尔森(Matt larson)表示:“icann希望这款密钥的操作非常透明,因为获得社会信任非常重要。”
图为互联网名称与地址分配机构研究副总裁马特·拉森,照片:金·戴维斯/弗利克
Dns将容易记住的域名(如谷歌)翻译成数字ip地址,这样计算机就可以访问该网址。然而,dns的建立并不考虑安全性。拉森解释说:“当域名系统第一次建立时,网络还是一个相对友好的地方,所以当时没有考虑太多的安全问题。”结果,缺乏安全性导致了所谓的dns缓存污染和dns欺骗——当服务器在互联网目录中搜索时,它被迫跳转到错误的ip地址,并且流量被引导到其他地方,例如黑客控制的恶意网站。
为了解决这个问题,许多域名使用dns安全扩展(dnssec)。在dnssec下,加密密钥确保dns数据有正确的来源。如果在传输过程中出现不可靠的信息,并且加密的签名没有出现,浏览器将自动转向错误提示,而不是被引向错误的网站。然而,dnssec并不对网页上的数据进行加密,而只是让用户知道他们访问的网站是否合法,因为前者是ssl或tls等网络协议的产物。
2010年,icann和其他组织引入了dnssec来保护互联网的dns顶层,即dns根区域。密钥的级别控制着dnssec认证的过程,密钥的不同部分负责系统的不同阶段。根区域的顶级部分由icann管理,ICANN控制不同顶级域名(如)的运营商,而另一部分管理单个域名(如my网站)。
“如果你有这个钥匙,你将能够改变巨大的网络流量的方向。”
在这种结构中,每个组织都有自己的密钥来进行签名,并且必须将该密钥签名给其下属实体。因此,对于我的网站,我的网站的密钥将被签名,根区域将签名的密钥。当访问网页时,这种信息检查过程可以在计算机加载网页之前几乎立即完成。
并非所有人都使用dnssec,但用户数量逐年增加:康卡斯特在2012年为其客户开通了dnssec,2013年,谷歌自己的dns服务器开始完全支持dnssec。
在这个链的顶层的密钥对,或者根区域的签名密钥,是icann将在文章开头第一次改变的密钥。
shutterstock
拉森说:“如果你有这个密钥并创建你自己版本的根区域,你可以重定向大量的网络流量。我们希望改变这一关键,以确保网络安全可以“免疫。”这就像更改密码以防止数据被攻击。频繁更改密码是标准的安全做法。
互联网架构委员会(iab)主席安德鲁·沙利文(Andrew sullivan)表示,有些人在我们不知情的情况下破解网络安全密钥,这是合乎逻辑的。但他也强调,我们没有理由相信这把钥匙已经泄露。
事实上,icann已经采取了一些特殊的安全措施,并认为其潜在威胁可能在国家层面。在季度会议上,世界各地的所谓“密码管理员”在通过物理和数字安全区域后,聚集在同一个密钥管理设备中。
站在dns安全前沿的著名安全专家Dan kaminsky说:“为根区域提供更大的密钥是非常重要的。我不想看到任何东西阻止它。”改变密钥的另一个原因是音量从1024位增加到2048位。随着时间的推移,计算能力逐渐增强,破解密钥的可能性很低,但也在上升。
Icann希望在相对稳定的时间内做出这一改变,而不是鲁莽行事,以免失去关键阻力。
拉森说:“我们希望一切恢复正常,并在没有紧急情况时启动这个项目。”这样,即使将来有一个演员偶然接管了这把钥匙,icann至少会比他更清楚这个过程是如何运作的。
今年10月,icann将在位于美国东海岸的超级安全密钥管理设备中生成一个新的加密密钥对。密钥对的一半将是私有的,由icann保管,而另一半将是公开的。互联网服务提供商、硬件制造商和linux开发者需要密钥的公共部分来将他们的软件正确地连接到网站。
在2017年第一季度,icann的两名员工将在智能卡上存储一份加密密钥文件的副本,并通过公共交通将其运送到美国西海岸。最终,密钥的公共部分将被分发给世界各地的组织。
总之,这一修正过程将持续大约两年。拉森说,新的域名系统密钥将于2017年7月11日首次出现。2017年10月,新密钥可用于制作签名。
及时公布这一变化信息是一个重大问题。尽管许多大型组织将继续关注这一即将到来的变化。然而,正如沙利文所说,可能有一些硬件会因为这种变化而被搁置,例如路由器或防火墙设备,它们可能会错过这种修正,必须手动更新。
与媒体对话是传播信息的一种方式,但关键变化的宣传也引发了网络基础设施建设中一个非常重要的问题:信任。沙利文说:“因为互联网是一个社会网络的网络,它是自发的。如果人们不能从中获得一些价值,他们就根本不会使用它。”Dnssec和其他认证似乎是完整的技术解决方案,但归根结底,它们仍然是建立在人类信任脆弱基础上的系统。
事实上,没有人能确切知道icann的密钥是否会被泄露。
“信任转瞬即逝。”拉森是这么说的。
via母板
推荐阅读:
我们的互联网没有根基