论文部分内容阅读
在洛杉矶西南郊区距离LAX国际机场只有一两英里的地方,20个人聚集在一幢不起眼的房子里,等待着仪式的开启。外面是阳光灿烂的二月早春,但这些人却不解风情地聚在一个没有窗户的餐厅,靠惨白的顶灯提供着仅有的光线。
屋里的人口音纷杂。大多数人操美式英语,但偶尔也有瑞典语、俄语、西班牙语和葡萄牙语的响动。他们中有男有女,在这里一边聊天,一边分享着一个巨大的比萨,在汽水冒着气泡的时候,角落里一台电子游戏机不甘寂寞地发出热闹的声响。
单看这副场景,大概很多人会以为这是一个寻常的办公室派对,顶多是品位有些怪异罢了。但要来到这里,人们所经历的安保检查之繁复,堪比核武器发射或总统访问—你就知道这里必定有什么要紧之处。事实上,人们来到这里,是为了一件像是科幻小说或汤姆·克鲁斯电影情节一样的事情:互联网掌钥骑士派对。
是的,在这个世界上,有一群人掌管着互联网的钥匙,而他们手中的钥匙合起来就凑成了一个根密钥,能够控制互联网核心的中央安全。那么,这些钥匙掌管者的权力到底有多大?他们能够关闭全球互联网吗?或者,要是有人把整个网络给弄垮了,他们能用钥匙重新开启吗?
掌管互联网的七把钥匙
自从2010年以来,钥匙掌管者们每年进行四次聚会,两次在美国东海岸,另外两次在美国西海岸。外界想要见识这些聚会并不容易,但上个月,英国《卫报》记者詹姆斯·贝尔成功获得邀请,才得以给我们披露这些聚会的内情。
钥匙掌管者们都是来自世界各地的安全专家,各自都在互联网安全上有丰富的经验,雇主亦是不同的国际机构。他们被选中的理由,一是专业上的靠谱程度,二是彼此在地理上分隔很远—没有哪一个国家可以拥有多个钥匙掌管者。不过,不管他们就住在洛杉矶还是住在日本东京,来参加聚会的费用一律自付,由其本人或是他所服务的雇主承担。
这些人控制着的是互联网的核心系统:域名系统,人们往往更熟悉它的简称—DNS。
DNS是互联网版本的黄页电话簿,它将容易被人类记住的网址映射到可以被机器读取的IP数串上,从而能够让人更方便地访问互联网。比如说,《卫报》网站的IP地址是77.91.251.10,这串数字很不方便人类记忆,但依靠DNS的帮助,人们就可以用guardian.co.uk这个容易记住的网址去进行访问了。
为什么要有这些钥匙掌管者存在呢?根密钥又是用来干什么的呢?原来,这是为了让整个域名系统更安全:每一次这些钥匙掌管者聚集在一起,他们都会验证DNS系统的每一次接入是否真实可靠。这也是避免虚假网站域名的扩散,因为有些钓鱼网站会骗取DNS的信任,将域名引导至一个虚假的恶意网站上,从而侵入用户的电脑或者盗取他们的金融信息。
全球共有14个这样的“掌钥骑士”,他们手中各有一把传统的金属钥匙,可以打开一个对应的保险箱,里面放着的是一张智能卡。这些智能卡能够激活主机,从而创建出一个新的根密钥。为了不把鸡蛋放在同一个篮子里,这14个人被分为两批,其中7个去参加东海岸的聚会,另外7个则参加西海岸的聚会。除此之外,他们还有7个候补“掌钥骑士”以防万一,这7个候补者手里就没有实体的金属钥匙了,他们所拥有的,是含有密码残片的智能卡,合在一起能重新建造一个备用的根密钥生成器。
每年,这些钥匙持有者都需要与一张当天的报纸以及他们的钥匙合影,然后将这张照片发送给DNS的管理机构,也就是互联网名称与数字地址分配机构(简称ICANN),以证明一切都顺利。
繁复的安检过程
掌钥骑士们的派对由ICANN组织筹办,当然,一切都得非常谨慎,所以安检的严密程度也到了令人瞠目的地步。
简单来说,如果你要想抵达餐厅,你必须经过一道需要密码验证的门,刷一遍智能卡,再通过掌纹扫描核对。这三道工序结束之后,你就进入一个“过渡室”,这个房间里的出口和入口无法同时开启。然后,你要再刷一次智能卡、扫描掌纹再输入一次密码,这样才能离开“过渡室”到达目的地。
从前在美国国务院工作的里克·兰伯也出现在了这里,他穿着一身西装,戴着黑框眼镜,看起来颇有书生气。他承认自己专门为了今天的派对特地打扮了下。兰伯现在是ICANN的高级项目经理,他说,他负责的工作是建造一个新版的安全验证系统。那样的系统可能会更深远地影响互联网。他举了个例子,如果根密钥今天在这里被偷了,结果也不会是灾难性的—有些用户会收到安全警告,有些网站可能打不开,但不会更严重了。当然,坏人们用偷来的根密钥做点坏事,比如制造一堆虚假钓鱼网站骗取用户信息什么的就在所难免。
然而,在三五年之后,当新版系统投入完全使用的时候,根密钥的重要程度就大幅度提升了。一旦根密钥失窃或者遭到损坏,整个网络都会被界定为不可信任,服务器连接全部失效,而掌钥骑士们需要聚集在一起重启网络,花费数周乃至数月的时间重新构造整个互联网的框架。
回到举行仪式的房间,那里的安保级别比餐厅更高。没有人能带任何电子产品入场,保安和清洁工当然更不允许进入。事实上,为了保证这间屋子的整洁,有个东海岸的掌钥骑士、来自瑞典的安妮-玛丽·爱科伦德·洛温德女士在头一天先抵达会场,拿着一个20美元的吸尘器自己进行清洁打扫。
每个与会的人士都拿到了一份详细的日程表,上面记录了超过100项活动,所有的一切都以GMT时间进行标注。在打印这些文件之前,一屋子的科技能手们竟然还在安装打印机时为难了一会儿,这感觉是如此诡秘:令人瞠目的科技手段,加上戏剧化的安检措施,又有不合时宜的笨拙,从某种程度上来说,就像是互联网本身。
在午餐时间过后,GMT时间21点14分,16个男士和4位女士踏入仪式会场。在这里的有钥匙掌管者,也有若干见证人,以确保没有人能够耍花招妨害互联网安全。见证人中有些是安全专家,另外一些则是《卫报》记者这样的外行人。在最后一道关卡,兰伯手持一个先进的虹膜扫描仪,再次确认大家的身份。 “请看向摄像机镜头,”仪器的电子声音说,“请将眼睛再靠近一点……很抱歉,我们无法核实您的身份。”
兰伯叹了口气,再试一次。
“谢谢,您的身份已核实。”
小小的恐慌
ICANN技术服务总监弗朗西斯科·阿里亚斯是这次仪式的主持人,这是他第一次担当这个工作,从他不住偷瞄行程表的眼神里就能看出他的紧张情绪。
一开始,一切都还进行得很顺利。每次仪式并不需要七名钥匙掌管者到场,只需要最少三人即可,而这次来了四个。于是阿里亚斯和这四个掌钥骑士一起进入安全屋,取出了他们各自的智能卡片。这四个钥匙掌管者都是男人,都穿着衬衫和牛仔裤,分别是在西班牙工作的葡萄牙人若奥·丹玛斯、在互联网安保公司工作的美国人爱德华·刘易斯、在LACNIC(拉丁美洲及加勒比地区互联网地址注册管理机构)工作的乌拉圭人卡洛斯·马丁内斯和来自俄罗斯的德米特里·布科夫。
在全球21个掌钥骑士中,有20个都是从首届开始任职的元勋。最初的选拔过程其实非常低调:ICANN在网站上发布了一个广告,只吸引了40个人提交申请,其中21个人最终获选。自那之后,只有一个钥匙掌管者辞职了,其他20个人工作至今。
说起来,辞职的那位实在是大名鼎鼎,他叫文顿·瑟夫,美国人,因与罗伯特·卡恩设计了TCP/IP协议和互联网基础架构而被共同称为“互联网之父”。瑟夫现在已经70多岁了,以“互联网传道士”的身份依然在谷歌工作。在第一届掌钥骑士大会上,瑟夫还发表了演讲,强调互联网根密钥是多么重要的里程碑式发明。他毫不怀疑,这将在长远的意义上影响互联网的未来。但他毕竟年纪大了,去到不同的地方参加聚会对他来说是一件难事,所以他放弃了自己的掌钥骑士职责。
GMT时间21点29分,事情开始变得有些脱离轨道。有个人在关保险柜门的时候力道用得大了一点,导致自动门锁死,于是仪式主持人和四个钥匙掌管者都被锁在了两米见方的安全屋里。大家安静地恐慌了6分钟,最终想出一个解决办法,那就是拉响警报进行疏散。于是警笛响起,大家都走出会场来到走廊里。
这样的偏差脱离了既定的行程,而根据规定,这些偏差都必须如实记录在案,由在场的每一个人阅读认可后签字确认。不过那都是后来的事情,现在走廊上的大家打开了零食袋,开始吃着小饼干聊起天来。
在这里,《卫报》记者打听到,美国商务部和国土安全部都对这个ICANN的工作保持着密切的关注。在斯诺登爆出NSA监控事件之后, ICANN的不少海外伙伴对于美国政府的探听多少有些敏感,比如说,俄罗斯和巴西总统都曾在公开场合里提出类似的要求,他们的机构也要求ICANN将互联网核心安全纳入联合国监管之下。
至于为什么要让ICANN来负责组织掌钥骑士与根密钥这件事,也是各有各的说法。兰伯坚称“我们是一个在线社区,是广大网友要求ICANN负责的”,而那位来自瑞典的东海岸掌钥骑士爱科伦德·洛温德则有不同意见:“这么说吧,其实主要是美国商务部做出的决定。”她介绍说,虽然欧洲理事会依然对ICANN保持着很高的信心,但他们如今也希望改变这个组织;欧盟最近在呼吁将ICANN全球化,并要求“给出明确的时间表”。
爱科伦德·洛温德还说,虽然这里的安保措施有时候看起来是夸张了点,但为了保证大家的信任,每一步其实都很重要。“我们这个系统本来就非常严密,备份还有备份,安全防护外还有安全防护,”她说,“当然这里头也有一些浪漫元素和戏剧成分,因为我本来就是一个浪漫主义者。我必须承认,我热爱互联网,这是一种你必须欣赏的工程艺术。能够为此做出贡献,让互联网成为一个更安全的地方,这让我感觉很棒。”
她将自己的钥匙放在哪里呢?她承认,她有两把钥匙,其中一把放在银行保险柜里始终没有拿出来过,而另一把是她每年参加两次东海岸聚会时使用的,挂在一个长长的金属锁链上,不用的时候放在一个木制的机巧盒里,而这个机巧盒的锁很隐蔽,是她那当家具设计师的儿子所特别打造的。
技术与政治的秀场
GMT时间22点09分,仪式终于再度开始,所有人又回到会场,按照原本的行程继续进行仪式。那台用来生成根密钥的神秘主机已经架设好,一旦由智能卡片激活,它就会生成一个长长的安全密钥。这台主机当然也是安全至上,据说,万一要是摔在地上,甚至是被用力敲了一下,它都会立刻自毁。
现在进行的是仪式的第二部分:密钥签名。第一步是很简单的,拿出笔记本,然后开机。有些人目不转睛地盯着这一切发生,大概出于见证某种重要事情的使命感;另一些人则显得有些不耐烦,看看表,又跟旁边的人轻声说几句小话。
22点40分,一个U盘出现在台面上,每一个都准备要在仪式结束的时候,将签好名的密钥实时加载到互联网上,换而言之,就是将相关的代码添加到DNS服务器上,让他们能够继续安全地给诸多.com、.net、和.org等等域名指路。
还有一个步骤,就是密钥确认,这是要确保大家现在所知的根密钥都是同样的。在这个过程里,阿里亚斯会念一串64位的字符串,所有人比对着他们自己的纸条,用点头确认无错。
22点48分,密钥生成器开始启动。每个钥匙掌管者都将自己的智能卡片插入机器。然后22点59分,重头戏终于来了。美国安全专家亚历桑德罗·玻利瓦尔上台,宣读由现有根密钥所生成的一串无意义词组串,以“平足、保证书、砖厂”开头,念了差不多有一分钟,由“……黑杰克、懒汉”结尾。这个词组串与见证人此前拿到的备忘录上记载的一致,于是大家也都点头表示没有差错,然后签名确认。
23点02分,一串简短的代码输入笔记本,几秒钟后,新的密钥已经签名完成,会场里响起了小小的掌声。
经过20分钟的关机工序之后,记录着新密钥的U盘被交给ICANN工作人员大久保知史手里。其后,大久保会通过安全渠道将这个U盘交给Verisign公司(负责运营DNS系统核心区块的安全公司),而这个签名密钥会实时加载到互联网上。它会在4月1日正式生效,有效期三个月,到7月1日的时候,它会过期,而错误信息会开始在互联网上出现。
现在我们有一个新的问题:这样的仪式真的有必要吗?大费周章搞这么多安全检查是一种切实需要还是为了作秀?美国密码学家布鲁斯·施奈尔说,答案可能两者兼备,“有很多必要性,也有不少不得不为之的作秀成分,”他说,“整个过程涵括技术和政治两面,所以非常复杂……我认为这个体系设计得很不错。”那么,这个体系能经得起NSA泄密事件的风波余震吗?施奈尔迟疑了一下,说,“现在我们还不知道”。
回到仪式的现场,四个钥匙掌管者现在要将智能卡片放回去,直到下一次大会,都不会再有人碰触它们。这时候已是GMT时间23点32分,摄影机忠实地记录着他们将智能卡片放入各自保险箱的过程,他们的动作都颇有仪式感,但在场者却并非都如此肃穆。“有点儿像教会仪式,又有点儿像棒球赛,我都不知道要说什么才好了,”ICANN公关人员琳恩·利平斯基说,“我都开始犯困了。”
GMT时间0点06分,所有人都来到这里至少五个小时了,进行视频直播的摄影机也终于关机。兰伯问,到底有多少人在线观看了这个仪式。
系统管理员回话:“最高共有12个人同时在线。”
工作已经完成,大家准备离开。
“等等,”大久保说,“还有一个问题……有谁要一起来吃晚餐么?”
不少人举起手来。现在,互联网又能保证三个月的安全了,那些掌钥骑士依次离开这密闭的屋子,投入到洛杉矶早春的灿烂阳光里。