ICANN近日将更改DNS信任密钥中的密钥对
再过不久,最重要的网络密钥之一将会首次被更改。互联网域名管理机构 ICANN 近日将会更改域名系统 DNS(也叫作互联网的“号码簿”)中,信任密钥长链中的第一个密钥对。这个密钥对保证了当一个网络用户试图访问一个网页时,他可以准确地被引到这个网页地址。如果没有这个密钥对,用户可能会被引导到一个黑客制作的诈骗网址上,比如窃取信息的钓鱼网站。
ICANN 的研究副主席 Matt Larson 说:“ICANN 想要在对这个密钥的运作上变得非常透明,因为获得社会对其的信任十分重要。”
DNS 将易于记忆的域名(如 Google.com)翻译成他们的数字化 IP 地址,这样计算机便可以由此访问该网址。但是DNS的建立并未考虑安全性。Larson 解释道:“最初建立域名系统的时候,网络还是一个相对友好的地方,所以当时并没有过多地考虑到安全性。”结果,安全性的缺乏导致了所谓的域名服务器缓存污染(DNS cache pollution)和域名服务器欺骗(DNS spoofing)问题——当一个服务器在互联网“号码薄”中查找时,被强制跳转到一个错误的 IP 地址,流量也因此被引到其他的地方,比如一个黑客控制的恶意网站。
为了解决这个问题,很多域名使用了 DNS 安全扩展(DNSSEC)。在DNSSEC下,加密密钥保证了DNS数据拥有正确的来源。如果在传输过程中有不可靠的信息出现,并且加密签名没有出现,浏览器会自动挑转到一个错误提示而不是被引到一个错误的网站。但是 DNSSEC 不为网页上的数据加密,只是另用户知晓正在访问的网站是否合法,因为前者是 SSL 或 TLS 等网络协议的工作。
在 2010 年,ICANN 与其他一些组织引进了 DNSSEC 来保护互联网的 DNS 顶层,即 DNS 根区域。密钥的层级控制了 DNSSEC 认证的过程,密钥的不同部分负责系统的不同阶段。根区域的顶层部分由 ICANN 管理,控制不同顶级域名的算子(比如 .com),其他部分则管理者个体域名(比如 MyWebsite.com)。
“如果你拥有了这个密钥,你将可以改变巨量网络流量的方向。”
在这个结构中,每个组织拥有自己的密钥来制作签名,并且必须对其下实体签署这个密钥。所以,对于 MyWebsite.com, .com 会签署 MyWebsite.com 的密钥,同时根区域会签署 .com 的密钥。当访问一个网页时,在计算机加载网页之前,这个信息检查过程几乎可以一瞬间完成。
并不是所有人都使用 DNSSEC,但是使用人数在逐年上升:康卡斯特公司(Comcast)在 2012 年为其客户开放了 DNSSEC,2013年,谷歌自己的 DNS 服务器开始全力支持 DNSSEC。
这个链系顶层的密钥对,或者说是根区域的签名密钥,就是文章开头所说的 ICANN 要首次更改的密钥。
Larson 说:“如果你拥有了这个密钥,并且创造出你自己的根区域版本,你就可以重新引导巨量网络流量的方向。我们想要更改这个密钥,以保证网络安全能‘免疫’。”这就像是为了以防数据被攻击,我们会更改密码,经常更改密码是一个标准的安全惯则。
互联网结构委员会(IAB)的主席 Andrew Sullivan 说,目前存在一种逻辑可能 ,即某些人在我们不知道的情况下破坏网络安全密钥。但他也强调,我们也没有理由相信这个密钥已经泄露了。
确实,ICANN使用了一些特别的安全措施,并且认为其潜在的威胁可能是国家层面的。在其季度会议上,全世界所谓的“密码主管”在通过物理和数字安全区域后,聚集到同一个密钥管理设备中。
在 DNS 安全领域走在前列的知名安全专家 Dan Kaminsky 说:“为根区域提供一个体量更大的密钥十分关键,我不想看到任何阻止它的事情发生。”另一个导致更改密钥的原因在于体量的增大,从 1024 比特增加到2048比特。随着时间的推移,计算能力逐渐增强,破坏密钥的可能虽低,却也在上升中。
ICANN 希望在一个较为稳定的时间做出这个更改,而不是贸然行动,以免密钥失去抵抗力。
Larson 说:“我们希望一切恢复正常,没有任何紧急事件发生的时候再启动这个程序。”这样一来,就算是以后忽然不小心被一个演员掌管了这个密钥,至少 ICANN 会比他更加懂得这个过程是如何运行的。
今年 10 月,ICANN 会在位于美国东海岸的一个超级安全密钥管理设备中产生一个新的加密密钥对。密钥对的一半将是私密的,归由 ICANN 保管,另一半则对外公开。互联网服务供应者、硬件制造商和 Linux 开发者需要密钥的公开部分来使他们的软件恰当地连接到网站。
在 2017 年第一季度,将会有两名 ICANN 的员工把加密密钥文件的副本存储在一个智能卡上,并乘坐公共交通工具运送到美国西海岸。最终,密钥的公开部分将分发到世界各个组织手中。
总之,这个更正过程会持续大约两年。Larson 说 DNS 的新密钥会在 2017 年 7 月 11 日首次出现。在 2017 年 10 月,新密钥就可以用了制作签名。
及时的将这个更改信息宣传出去是一个主要问题。虽然很多大的组织会持续关注这个即将到来的改变。但是正如 Sullivan 所说,可能还会有一些硬件会因这个改变而被搁置,比如路由器或者防火墙设备,它们可能会错过这个更正,因而必须进行手动更新。
对媒体发声是一种传播信息的方式,但是对密钥更改的公开化也引发了网络基础设施建设中非常重要的问题:信任。Sullivan 说:“因为互联网是社交网络的网络,它都是自发的。人们如果不能从中获取一些价值的话,他们根本就不会使用它。”DNSSEC和其他认证也许看上去是完完全全地技术解决办法,但说到底,他们还是依赖于人类信任的脆弱性而建立的系统。
而实际上,没有人可以确切地知道 ICANN 的密钥是否会被泄露。
“信任是转瞬即逝的。”Larson 如是说。
本文转自d1net(转载)
ICANN近日将更改DNS信任密钥中的密钥对相关推荐
- DNS解析过程中不得不知道的那些事
DNS解析过程中不得不知道的那些事 0x01 定义 0x02 域名结构 0x03 DNS查询方式 1.从查询方式分类 2.从查询内容: 0x04 常见的DNS资源记录 1.A/AAAA记录 2.CNA ...
- 在“DNS管理器”中手工增加DNS主机(A)或者别名(CNAME)记录时,出现被拒绝的错误...
问题现象: AD域控制器操作系统为Win2008R2,在"DNS管理器"中手工增加DNS主机(A)或者别名(CNAME)记录时,出现被拒绝的错误.但是将客户端加入域后,在" ...
- jvm默认的初始化参数_您是否应该信任JVM中的默认设置?
jvm默认的初始化参数 如今,JVM被认为是智能的. 预期配置不多-只需设置要在启动脚本中使用的最大堆,您就可以进行了. 所有其他默认设置都很好. 大概我们当中有些人误以为. 实际上,在运行时期间发生 ...
- 您是否应该信任JVM中的默认设置?
如今,JVM被认为是智能的. 预期不会进行太多配置–只需设置要在启动脚本中使用的最大堆,您就可以进行了. 所有其他默认设置都很好. 大概我们当中有些人误以为. 实际上,在运行时期间发生了很多事情,无法 ...
- 【BlackHat】亚马逊和谷歌修复DNS即平台中的严重漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 在2021年美国黑帽大会上,云安全公司 Wiz 的两名安全研究员Shir Tamari 和 AmiLuttwak 披露了影响DNS托管服务 ...
- ipad iphone开发_如何在iPhone或iPad上更改DNS服务器
ipad iphone开发 Your iPhone or iPad normally uses the DNS servers provided by whatever Wi-Fi network y ...
- DNS解析记录中的CNAME与URL重定向(301/302)区别
DNS解析记录中的CNAME与URL重定向(301/302)区别 CNAME解析: CNAME 被称为规范名字.这种记录允许您将多个名字映射到同一台计算机. 通常用于同时提供WWW和MAIL服务的 ...
- ubuntu虚拟机更改镜像源(中科大或者阿里云镜像源)
ubuntu虚拟机更改镜像源(中科大或者阿里云镜像源)** 1.进入终端后,编辑源列表文件: 输入:sudo vim /etc/apt/sources.list 后输入:i 2.将原来的列表内的所有内 ...
- linux服务器修改dns_更改DNS服务器的终极指南
linux服务器修改dns There are many reasons you might want to use a third-party DNS server, from parental c ...
最新文章
- Kubernetes - - k8s - v1.12.3 动态存储管理GlusterFS及使用Heketi扩容GlusterFS集群
- Smartforms常见的问题
- 实现一个不能被继承的类
- Linux 搭建Sphinx 全文检索引擎
- 五、Hive数据类型和简单使用
- KNN算法的简单实现
- #前端# 解决前端页面滑动不顺畅的问题
- 常见的div盒子居中(上下左右)实现
- spring boot 自定义过滤器链
- (转)超越文艺复兴,Two Sigma成为全球量化基金新霸主
- 数据库锁机制和CAS概念
- 基于Matlab App Designer的语音信号分析与处理(三):App的设计
- JAVA_调用方法_用户输入姓名打印出欢迎词
- php重定向和伪静态,「PHP重定向与伪静态区别」- 海风纷飞Blog
- Wise Force Deleter(电脑文件强制删除软件)官方中文版V1.5.3.54 | 支持强制删除超大文件夹
- java通过freemarker导出包含富文本图片的word文档
- PS不能直接拖入图片的解决办法
- 视频:忆童年有摇杆,《暗黑破坏神3》街机版演示
- 一种三分频电路的实现与仿真
- 网线和WIFI同时使用
热门文章
- 2020新春战疫ctf公益赛——Misc套娃
- java点赞_java实现点赞功能示例
- [CH5202]自然数拆分Lunatic版
- 支持三个cpu的服务器,产品技术-新华三发布搭载英特尔第三代可扩展处理器的H3C UniServer R6900 G5 服务器-新华三集团-H3C...
- 虚拟地址 虚拟内存 物理地址
- 怎样训练左右手协调_教你克服学钢琴时左右手协调的问题
- 基因共表达网络分析java,基因共表达——基因共表达网络分析
- 堡垒主机在信息安全等级保护制度中的探究与应用
- QQ宠物冒险岛全攻略
- 高斯定理下的电场和磁场(详细案例模型分析)