ICANN近日将更改DNS信任密钥中的密钥对

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
简介:

再过不久,最重要的网络密钥之一将会首次被更改。互联网域名管理机构 ICANN 近日将会更改域名系统 DNS(也叫作互联网的“号码簿”)中,信任密钥长链中的第一个密钥对。这个密钥对保证了当一个网络用户试图访问一个网页时,他可以准确地被引到这个网页地址。如果没有这个密钥对,用户可能会被引导到一个黑客制作的诈骗网址上,比如窃取信息的钓鱼网站。

ICANN 的研究副主席 Matt Larson 说:“ICANN 想要在对这个密钥的运作上变得非常透明,因为获得社会对其的信任十分重要。”

DNS 将易于记忆的域名(如 Google.com)翻译成他们的数字化 IP 地址,这样计算机便可以由此访问该网址。但是DNS的建立并未考虑安全性。Larson 解释道:“最初建立域名系统的时候,网络还是一个相对友好的地方,所以当时并没有过多地考虑到安全性。”结果,安全性的缺乏导致了所谓的域名服务器缓存污染(DNS cache pollution)和域名服务器欺骗(DNS spoofing)问题——当一个服务器在互联网“号码薄”中查找时,被强制跳转到一个错误的 IP 地址,流量也因此被引到其他的地方,比如一个黑客控制的恶意网站。

为了解决这个问题,很多域名使用了 DNS 安全扩展(DNSSEC)。在DNSSEC下,加密密钥保证了DNS数据拥有正确的来源。如果在传输过程中有不可靠的信息出现,并且加密签名没有出现,浏览器会自动挑转到一个错误提示而不是被引到一个错误的网站。但是 DNSSEC 不为网页上的数据加密,只是另用户知晓正在访问的网站是否合法,因为前者是 SSL 或 TLS 等网络协议的工作。

在 2010 年,ICANN 与其他一些组织引进了 DNSSEC 来保护互联网的 DNS 顶层,即 DNS 根区域。密钥的层级控制了 DNSSEC 认证的过程,密钥的不同部分负责系统的不同阶段。根区域的顶层部分由 ICANN 管理,控制不同顶级域名的算子(比如 .com),其他部分则管理者个体域名(比如 MyWebsite.com)。

“如果你拥有了这个密钥,你将可以改变巨量网络流量的方向。”

在这个结构中,每个组织拥有自己的密钥来制作签名,并且必须对其下实体签署这个密钥。所以,对于 MyWebsite.com, .com 会签署 MyWebsite.com 的密钥,同时根区域会签署 .com 的密钥。当访问一个网页时,在计算机加载网页之前,这个信息检查过程几乎可以一瞬间完成。

并不是所有人都使用 DNSSEC,但是使用人数在逐年上升:康卡斯特公司(Comcast)在 2012 年为其客户开放了 DNSSEC,2013年,谷歌自己的 DNS 服务器开始全力支持 DNSSEC。

这个链系顶层的密钥对,或者说是根区域的签名密钥,就是文章开头所说的 ICANN 要首次更改的密钥。

Larson 说:“如果你拥有了这个密钥,并且创造出你自己的根区域版本,你就可以重新引导巨量网络流量的方向。我们想要更改这个密钥,以保证网络安全能‘免疫’。”这就像是为了以防数据被攻击,我们会更改密码,经常更改密码是一个标准的安全惯则。

互联网结构委员会(IAB)的主席 Andrew Sullivan 说,目前存在一种逻辑可能 ,即某些人在我们不知道的情况下破坏网络安全密钥。但他也强调,我们也没有理由相信这个密钥已经泄露了。

确实,ICANN使用了一些特别的安全措施,并且认为其潜在的威胁可能是国家层面的。在其季度会议上,全世界所谓的“密码主管”在通过物理和数字安全区域后,聚集到同一个密钥管理设备中。

在 DNS 安全领域走在前列的知名安全专家 Dan Kaminsky 说:“为根区域提供一个体量更大的密钥十分关键,我不想看到任何阻止它的事情发生。”另一个导致更改密钥的原因在于体量的增大,从 1024 比特增加到2048比特。随着时间的推移,计算能力逐渐增强,破坏密钥的可能虽低,却也在上升中。

ICANN 希望在一个较为稳定的时间做出这个更改,而不是贸然行动,以免密钥失去抵抗力。

Larson 说:“我们希望一切恢复正常,没有任何紧急事件发生的时候再启动这个程序。”这样一来,就算是以后忽然不小心被一个演员掌管了这个密钥,至少 ICANN 会比他更加懂得这个过程是如何运行的。

今年 10 月,ICANN 会在位于美国东海岸的一个超级安全密钥管理设备中产生一个新的加密密钥对。密钥对的一半将是私密的,归由 ICANN 保管,另一半则对外公开。互联网服务供应者、硬件制造商和 Linux 开发者需要密钥的公开部分来使他们的软件恰当地连接到网站。

在 2017 年第一季度,将会有两名 ICANN 的员工把加密密钥文件的副本存储在一个智能卡上,并乘坐公共交通工具运送到美国西海岸。最终,密钥的公开部分将分发到世界各个组织手中。

总之,这个更正过程会持续大约两年。Larson 说 DNS 的新密钥会在 2017 年 7 月 11 日首次出现。在 2017 年 10 月,新密钥就可以用了制作签名。

及时的将这个更改信息宣传出去是一个主要问题。虽然很多大的组织会持续关注这个即将到来的改变。但是正如 Sullivan 所说,可能还会有一些硬件会因这个改变而被搁置,比如路由器或者防火墙设备,它们可能会错过这个更正,因而必须进行手动更新。

对媒体发声是一种传播信息的方式,但是对密钥更改的公开化也引发了网络基础设施建设中非常重要的问题:信任。Sullivan 说:“因为互联网是社交网络的网络,它都是自发的。人们如果不能从中获取一些价值的话,他们根本就不会使用它。”DNSSEC和其他认证也许看上去是完完全全地技术解决办法,但说到底,他们还是依赖于人类信任的脆弱性而建立的系统。

而实际上,没有人可以确切地知道 ICANN 的密钥是否会被泄露。

“信任是转瞬即逝的。”Larson 如是说。

本文转自d1net(转载)

相关文章
|
Web App开发 缓存 网络协议
ICANN敦促业界使用DNSSEC,应对DNS劫持攻击
HTTPS加密可以有效帮助服务器应对DNS欺骗、DNS劫持、ARP攻击等安全威胁。DNS是什么?DNS如何被利用?HTTPS如何防止DNS欺骗?
1674 0
|
安全 网络协议 数据安全/隐私保护
|
3天前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
14 2
|
1月前
|
缓存 Java 程序员
Map - LinkedHashSet&Map源码解析
Map - LinkedHashSet&Map源码解析
66 0
|
1月前
|
算法 Java 容器
Map - HashSet & HashMap 源码解析
Map - HashSet & HashMap 源码解析
52 0
|
1月前
|
存储 Java C++
Collection-PriorityQueue源码解析
Collection-PriorityQueue源码解析
59 0
|
1月前
|
安全 Java 程序员
Collection-Stack&Queue源码解析
Collection-Stack&Queue源码解析
80 0
|
3天前
|
存储 安全 Linux
Golang的GMP调度模型与源码解析
【11月更文挑战第11天】GMP 调度模型是 Go 语言运行时系统的核心部分,用于高效管理和调度大量协程(goroutine)。它通过少量的操作系统线程(M)和逻辑处理器(P)来调度大量的轻量级协程(G),从而实现高性能的并发处理。GMP 模型通过本地队列和全局队列来减少锁竞争,提高调度效率。在 Go 源码中,`runtime.h` 文件定义了关键数据结构,`schedule()` 和 `findrunnable()` 函数实现了核心调度逻辑。通过深入研究 GMP 模型,可以更好地理解 Go 语言的并发机制。
|
16天前
|
消息中间件 缓存 安全
Future与FutureTask源码解析,接口阻塞问题及解决方案
【11月更文挑战第5天】在Java开发中,多线程编程是提高系统并发性能和资源利用率的重要手段。然而,多线程编程也带来了诸如线程安全、死锁、接口阻塞等一系列复杂问题。本文将深度剖析多线程优化技巧、Future与FutureTask的源码、接口阻塞问题及解决方案,并通过具体业务场景和Java代码示例进行实战演示。
36 3
|
1月前
|
存储
让星星⭐月亮告诉你,HashMap的put方法源码解析及其中两种会触发扩容的场景(足够详尽,有问题欢迎指正~)
`HashMap`的`put`方法通过调用`putVal`实现,主要涉及两个场景下的扩容操作:1. 初始化时,链表数组的初始容量设为16,阈值设为12;2. 当存储的元素个数超过阈值时,链表数组的容量和阈值均翻倍。`putVal`方法处理键值对的插入,包括链表和红黑树的转换,确保高效的数据存取。
53 5

相关产品

  • 云解析DNS
  • 推荐镜像

    更多