負(fù)責(zé)管理互聯(lián)網(wǎng)的非盈利組織ICANN正在全面部署DNSSEC（域名系統(tǒng)安全擴(kuò)展)，它為用戶DNS查詢的每一步增加一個(gè)數(shù)字簽名驗(yàn)證，以防止第三方偽造DNS數(shù)據(jù)。上月DNS Root Zone完成了數(shù)字簽名，這是部署DNSSEC的重要一環(huán)。

DNS是一個(gè)巨大無(wú)比的網(wǎng)絡(luò)地圖，導(dǎo)引沖浪者的航線，而DNSSEC則相當(dāng)于燈塔，保證航行的安全，那么ICANN如何確保燈塔的安全呢？如果 DNSSEC因?yàn)槲锢砉羧绾吮蚓W(wǎng)絡(luò)攻擊而癱瘓（這不太可能，因?yàn)樗４嬖诿绹?guó)東西海岸兩個(gè)高度安全的獨(dú)立設(shè)施內(nèi)），誰(shuí)能重建DNSSEC？ICANN 或許是受到了《指環(huán)王》的啟發(fā)，它制定一項(xiàng)計(jì)劃——當(dāng)DNSSEC崩潰，分布在全世界的7個(gè)人將拿著密鑰，來(lái)到美國(guó)的一個(gè)秘密數(shù)據(jù)中心合作解開(kāi) DNSSEC的根密鑰，重建DNSSEC——如果他們也遭遇不幸，那么我們將要回到舊的DNS時(shí)代。

7個(gè)人只需5位就能破解根密鑰——這種加密方法被稱為 Shamir's Secret Sharing——密鑰被分成幾部分，每一部分都獨(dú)一無(wú)二，其中幾部分或全部聯(lián)合起來(lái)就能解密密鑰。7位被授予重任的人是各大洲的代表：他們分別是美國(guó)的 Dan Kaminsky，加拿大的Norm Ritchie，英國(guó)的Paul Kane，另外四個(gè)人分別來(lái)自中國(guó)、非洲的布基納法索、和南美特立尼達(dá)多巴哥，以及捷克共和國(guó)。密鑰其實(shí)是兩個(gè)相同的智能卡，被密封在透明的塑料袋內(nèi)。

【編輯推薦】

1. 真互聯(lián)網(wǎng)之王：DNSSEC七巨頭擁重啟權(quán)