負責管理互聯(lián)網(wǎng)的非盈利組織ICANN正在全面部署DNSSEC(域名系統(tǒng)安全擴展)��,它為用戶DNS查詢的每一步增加一個數(shù)字簽名驗證���,以防止第三方偽造DNS數(shù)據(jù)�����。上月DNS Root Zone完成了數(shù)字簽名,這是部署DNSSEC的重要一環(huán)����。
DNS是一個巨大無比的網(wǎng)絡(luò)地圖,導(dǎo)引沖浪者的航線�,而DNSSEC則相當于燈塔,保證航行的安全����,那么ICANN如何確保燈塔的安全呢?如果 DNSSEC因為物理攻擊如核爆或網(wǎng)絡(luò)攻擊而癱瘓(這不太可能�,因為它保存在美國東西海岸兩個高度安全的獨立設(shè)施內(nèi)),誰能重建DNSSEC�����?ICANN 或許是受到了《指環(huán)王》的啟發(fā),它制定一項計劃——當DNSSEC崩潰�,分布在全世界的7個人將拿著密鑰,來到美國的一個秘密數(shù)據(jù)中心合作解開 DNSSEC的根密鑰�,重建DNSSEC——如果他們也遭遇不幸,那么我們將要回到舊的DNS時代��。
7個人只需5位就能破解根密鑰——這種加密方法被稱為 Shamir's Secret Sharing——密鑰被分成幾部分��,每一部分都獨一無二�����,其中幾部分或全部聯(lián)合起來就能解密密鑰����。7位被授予重任的人是各大洲的代表:他們分別是美國的 Dan Kaminsky,加拿大的Norm Ritchie�����,英國的Paul Kane����,另外四個人分別來自中國��、非洲的布基納法索�、和南美特立尼達多巴哥�,以及捷克共和國。密鑰其實是兩個相同的智能卡�����,被密封在透明的塑料袋內(nèi)�����。