重啟DNS根金鑰伺服器的七個人

根金鑰儀式的舉行機制是什麼？帶有神秘色彩的重啟根金鑰系統的7人需要做什麼？頂級域名是否可被移除?

TCRs的來源

1983年，保羅·莫卡派喬斯（Paul Mockapetris）在南加州大學資訊科學學院提出了關於DNS 體系結構的RFC882和883，本質上就是我們今天所使用的域名系統（DNS）。從那以後，DNS成為網際網路重要的基礎設施之一。

與很多其它網際網路協議一樣，它的初始設計場景為可信環境，並沒有過多考慮安全問題，因此在發展過程中出現多種針對DNS的攻擊，其中最難以解決的兩種安全問題為欺騙攻擊以及快取汙染問題。

鑑於對DNS安全性的考慮，上世紀90年代後期，IETF成立了工作組專門研究DNSSEC安全擴充套件協議（DNS Security Extensions），利用經典的加密演算法和簽名機制，完善了原有DNS體系的不足之處。

簡單地說，

基於安全環境設計的原有的DNS協議採用明文傳輸，中間人可以輕易擷取DNS報文並進行篡改

。DSNSEC則引入公開金鑰技術，依靠數字簽名保證DNS應答報文的真實性和完整性。其工作機制是這樣：權威域名伺服器用自己的私有金鑰對資源記錄（Resource Record， RR）進行簽名，解析伺服器用權威伺服器的公開金鑰對收到的應答資訊進行驗證。如果驗證失敗，表明這一報文可能是假冒的，或者在傳輸過程、快取過程中被篡改了。

網際網路之父Vint Cerf就是DNSSEC技術部署的積極推動者之一。在推動的過程中，ICANN有一些考慮，那就是如何建設DNSSEC信任錨點，讓DNSSEC根伺服器的金鑰管理更加安全可信。DNSSEC根金鑰是全球網際網路DNSSEC信任的錨點，所有的DNS解析器必須設定這個錨點才能正確解析DNSSEC資料包。根金鑰必須獲得全球網際網路社群的信任。由此，ICANN引入了TCRs（網際網路信任社群代表）體系。

TCRs主要宗旨是維護根域名系統的正常運轉

。為了保證該組織的獨立性，人員的選擇有一些前提條件：首先從身份上看，TCRs不從PTI（公共技術標識機構，前身是網際網路數字分配機構IANA）、ICANN（網際網路名稱與數字地址分配機構）或VeriSign（威瑞信公司，管理2臺根伺服器）的直屬人員中選擇。其次是考慮到代表們所處地理等綜合因素。此外，TCRs的選擇也會綜合其在IETF等相關工作及貢獻考慮。

舉行第一次根金鑰儀式的美國弗吉尼亞州

ICANN第一次DNSSEC根金鑰生成儀式會議於2010年6月16日在美國弗吉尼亞州的Culpeper（庫爾佩珀）召開。

ICANN推選出的21位TCRs聚集在此，見證了網際網路歷史上第一個根金鑰簽署儀式。儀式上，Vint Cerf博士總結說，根金鑰的生成和WWW出現的意義一樣重大，它的出現會讓網際網路更安全。

第一次DNSSEC根金鑰生成儀式參與人員的

TCRs的自願和公益

DNSSEC的根金鑰儲存在兩個資料中心，其中之一在西海岸，另外一個在東海岸，兩者互為備份。

21位TCRs中，其中7位所持的金鑰屬於西海岸資料中心，另外7位所持的金鑰屬於東海岸資料中心。按照根金鑰輪轉機制，每年舉行4次金鑰簽署儀式，分別在每個季度舉行。舉行地點在東西海岸間輪轉。屆時，7位金鑰持有人中應至少有5位參與現場的金鑰簽署儀式，以向全球表示金鑰的安全和可信。

21位TCRs中剩餘的7位則是“恢復金鑰持有人RKSH（Recovery Key share holder）”，來自中國的姚健康博士是其中之一 。

7位恢復金鑰持有人

有一種說法是，這7人擔當共同重啟網際網路的重責。姚健康博士表示，媒體經常用“7把鑰匙可以掌控網際網路”，“開啟網際網路，需要7把鑰匙”等標題，實際上比較準確的說法是重啟的是根金鑰系統。重啟根金鑰系統的設計是2010年ICANN提出的，其目的是以防止網際網路根域名系統基礎設施遭受毀滅性災難，比如發生意外、戰爭、災難等突發極端事件，導致東西海岸的兩個資料中心都遭到損傷不能正常工作等意外情況發生， ICANN將召集他們中的至少5位就能恢復根金鑰——這種加密方法被稱為Shamir‘s Secret Sharing——金鑰被分成幾部分，每一部分都獨一無二，其中幾部分或全部聯合起來就能解密金鑰。

當然這種情況的發生顯而易見是一種萬一的情況。ICANN的 Lamb表示，只有在極端災難的情況下，恢復金鑰持有人機制才會被啟動。他說：“可能要等到美國西海岸墜入海中，而東海岸被核彈擊中時，才會給七個人中的五個打電話。”

這7個人不介入具體域名（包括資料庫）管理。一般情況下，他們也並不需要一定參與每季度一次的金鑰簽署儀式。但每年，ICANN都會對其所持有的金鑰（類似於一個IC卡片）進行年檢。早期的檢查機制往往是TCRs將所持的裝有金鑰的信封放在當天的新聞報紙上進行拍照，以便於證明金鑰是完整和安全的。

後來，有人提出：既然是可信任的代表，為什麼還需要證明是可信任的？而且，金鑰拿來拿去，也容易丟失。自此以後，

ICANN改了規則，只需要持有者傳送承諾函件表示金鑰的安全和完整即可。

從網際網路數字分配機構IANA的網站上查到，當前TCRs已從2010年的21位更新至30位，但據介紹，真正持有金鑰的是21位，其他9位作為備選金鑰持有人。TCRs也有自己的更新機制，比如早期網際網路共同發明人Vint Cerf博士就是其中一位TCRs，參與多次金鑰生成儀式，後來因時間問題，即不能保證出席足夠的簽署儀式而退出，從備選TCRs中進行替補。

成為一名TCRs，其工作完全出於自願、公益。姚健康介紹說，網際網路講究多利益相關方的參與，鼓勵所有利益相關方發言、提出訴求。這樣其他人就會知道你在想什麼，你做了什麼。網際網路的發展正是由於廣大技術專家的自願貢獻，才有今天的基於開放技術開放標準的網際網路。在網際網路的環境裡，做貢獻是一個關鍵詞。所以，自願、公益、貢獻，這也是網際網路思維，TCRs同樣如此。

移除一個頂級域的可能性

DNS根域名伺服器話題最近幾年一直很熱，圍繞其有諸多討論和擔憂，其中一種說法是，根伺服器的管理機構可輕易修改根區檔案內容甚至可移除特定的頂級域名。

姚健康博士表示，頂級域主要有兩種，一種是國家地區頂級域ccTLD，另一種通用頂級域gTLD。gTLD，以及近年來新出現的新通用頂級域new gTLD屬於商業範疇，和各國主權無關，因此由於運營以及經濟等問題，gTLD的運營權有可能在不同的運營主體之間進行轉換。

他介紹說，國家地區頂級域ccTLD屬於各國的主權相關，因此

任何對ccTLD的重大變動都需要獲得對應的政府的授權

。出於政治原因，不經ccTLD對應的政府的授權，突然移除一個ccTLD，其機率是很小的。“因為這件事收益很小，動靜很大，付出和得到完全不成正比。”

而且，ICANN當前的機制是多利益攸關方參與的模式，各國政府代表、社群代表、運營商代表、域名註冊機構代表等都積極參與ICANN的相關工作，推行從下而上的討論和決策。這種機制就產生兩種結果，第一，形成一個共識是很慢的，第二，可以充分吸收各種社群和利益相關方的意見，很少會做唐突的決定。

當前TCRs情況（來源：IANA）

但，即便ccTLD頂級域名被移除了，是否就意味著是將其從網際網路上隔開？

事實也並非如此，正如中國工程院吳建平院士所言，

DNS不是網際網路的核按鈕

。DNS的作用就像是打電話的電話簿，方便易記，但沒有電話本同樣也可以打電話，只是需要記錄相關IP地址。網際網路最基本的訪問方式是按IP地址在訪問，域名解析最後還是解析至某一個IP地址上。

然後是RFC7706在技術上的支援。姚健康博士表示，根據IETF RFC7706，本地解析器可以直接從IANA下載根區資料在本地執行，相當於在本地運行了DNS根伺服器，因此從這些解析器查詢域名的DNS資料包就不需要到外面的根伺服器查詢根區資料了。當前全球有1000多臺分佈在世界各地的根域名伺服器，所以一般情況下，DNS根解析都是就近查詢本國內的根伺服器，而不需要遠渡重洋去國外查詢。

他提到，目前有幾千個頂級域，使用者可以選擇任一個頂級域進行註冊域名。也就是說域名的替代性很強，相當於某個電話本用不了，可以換其他電話本查詢電話號碼。因此刪除其中任何一個頂級域都不會讓任何國家從網際網路上消失。

“DNS域名系統當前已形成了一套全球網際網路利益攸關方共同維護的自治系統，大家自願加入，並且變得越來越自治，很難受某一種意志的把控。”姚健康說。