本文来自微信民众号：把科学带回家（ID：steamforkids），泉源：Icann 等，编译：七君，头图泉源：UNsplash

你晓得，你在输入一个网站的网址的时刻，不会翻开新鲜的垂纶网站，是靠谁吗？

实在，是靠一个每3个月就要召开一次的互联网神奇典礼，和七剑——7把密钥。 

从2010年最先，每隔3个月，这个被叫做密钥典礼（key ceremony），或许根区密钥署名密钥典礼（Root Signing Ceremony）的神奇集会就会在美国东部或许西部召开一次。

而列入这个典礼的，是一些手持互联网“钥匙”的神奇人。

这些神奇人群集起来，就可以或许掏出七剑（7张智能卡），而这七剑就可以或许招呼出一把威力伟大的互联网大剑——掌控着互联网全网“号码本”的主密钥（master key）。

这把大剑，守御着互联网的一个中心体系——DNS，也就是域名体系（详细来说，他们掌握着域名体系平安扩大（DNSSEC））。

DNS 相称因而互联网的黄页、号码本或花名册，内里记录着分歧网站的网址和它对应的 IP 地点，比如环球科学的网址 www.huanqiukexue.com 和它对应的响应IP 123.56.147.167。

当你在浏览器里输入网址时，就要靠 DNS 帮你查找准确的 IP，从而翻开准确的网页。若是没有 DNS，那末想要接见任何一个网址的话，就要背诵这个网址的IP，相称贫苦。

那末，若是有暴徒有意把网址对应的 IP 地点乱改，导航到奇新鲜怪的垂纶网站上该如何办？

这就须要有牢靠的方法来防备暴徒改动 DNS 体系了，这就是天生主密钥的密钥典礼降生的缘由。

主密钥是一串代码，叫做根区密钥署名密钥（root key-signing key），用它可以或许接见储存着悉数互联网域名的数据库，也就是环球网址的“黄页”——互联网号码分派局（Internet Assigned Numbers Authority，IANA）。

那末，互联网号码分派局是谁管的呢？

互联网号码分派局，归一个比较大的非赢利构造管，它就是互联网称号与数字地点分派机构（ICANN）。

ICANN 的副主席 Matt Larson 曾透露表现，“若是你拿到了主密钥，你就可以或许发生你自身的根域，你就可以或许掌握他人可以或许接见甚么网站了。”

也就是说，若是你能集齐七剑，招呼出大剑，你就可以或许号林武林，唯你独尊。以是这把主密钥，基本上可以或许在互联网兵器谱上排得上前三甲了。

如许凶猛的“兵器”，交给谁生怕都邑让他人不平。因而在2016年，美国当局将 DNS 数据库，也就是互联网号码分派局的掌握权转让给了 ICANN，让它从名义上脱离了美国当局的掌握。

然则，如果 ICANN 自身就是坏蛋如何办，如何能置信它呢？

ICANN 是一个在美国的非盈利机构，自称不从属于任何小我、当局或构造。

然则，照样有不少人对 ICANN 不太宁神。因而，ICANN 偶然会在自身的网站上直播这个典礼，向环球的人证实他们真的有仔细在做哦。

我们来看看这个典礼的详细历程吧。

2014年的某一天，一些神奇人群集到了美国加州洛杉矶西南部的埃尔塞贡多（El Segundo）的一栋普普通通的大楼里，这个处所离洛杉矶国际机场也许几千米。他们将要召开密钥典礼。

这些人来自环球各地，有瑞典人、俄国人、西班牙人、葡萄牙人。而这些密钥持有者晤面召开密钥典礼，就是为了招呼大剑，从而确认天下的网址“黄页”——DNS 是实在的，没有被坏蛋悛改。

万一哪天 DNS 体系崩塌了，也就是说互联网的黄页被人烧了，那末这些人还可以或许群集起来，重修天下的 DNS 体系。

那末，互联网密钥持有者是如何选出来的呢？

如今 ICANN 一共有21位密钥持有者。个中的20位从第一场典礼最先就一直是 ICANN 的成员。

挑选密钥持有者的历程也简朴到让人受惊。

ICANN 在网站上宣告了一个招聘启事，宣告一共招募21名密钥持有者，效果有40小我报名。

末了被选中的互联网密钥“护法”都具有收集平安的手艺配景，并且为分歧的国际机构事情。找环球各地的护法的目标就是为了让权益分散，不让小我、单个构造或国度掌握大剑。

个中一名密钥持有者就是来自中国互联网信息中心（CNNIC）的姚康健。

列入2016年8月密钥典礼的人。图片泉源：ICANN

谁人半途退出的密钥持有者是谁呢？

这小我一点也不简朴，由于他是互联网之父之一——文顿·瑟夫（Vint Cerf）。

瑟夫大爷已奔8了，不做互联网护法后，他变成了教主——谷歌的首席互联网传教士（Chief Internet Evangelist）。(☉д⊙)

这21个密钥持有者被分为两波，14个是主要密钥持有者，他们每小我手里有一把传统的物理钥匙，可以或许翻开一个保险箱，保险箱里就藏着智能卡，用这些智能卡可以或许启动一台能发生主密钥的机械，也就是招呼大剑。以是下文就叫他们护法。

14个是主要密钥持有者各有一把传统的物理钥匙，可以或许翻开一个保险箱，保险箱里有一张智能卡，用这些智能卡可以或许启动一台能发生主密钥的机械。@Laurence Mathieu /  the Guardian

其他的人是后备密钥持有者。他们每人也有一张智能卡，每张智能卡里有一部分代码，这些人的代码合起来，就可以或许制作一个备用密钥天生器（replacement key-generating machine）。

每一年，这些后备的影军人都要拍一张自身和当天报纸的合影，然后发给 ICANN，证实我还在世，人在卡在。

典礼就在这个数据中心举行。

进入这个处所要阅历层层安检，和007影戏差不多。

典礼最先时，人人先要经由过程一扇平安门，这扇门须要一个暗码、一张智能卡，另有手部的生物辨认能力翻开。

进去今后，就来到了一个“老鼠笼”里。在这个老鼠笼里，每次只要一扇门能翻开。

这个老鼠笼的出口须要别的一套智能卡、指模，另有暗码能力开启。

进入典礼的房间越发庞杂，每次只能进入几个。ICANN 的高等项目经理Richard Lamb 扫描了虹膜今后，让一切人进入会场地点的房间。

Richard Lamb

介入典礼的，除护法，另有一些见证者，他们是悉数典礼的眼见证人。这些眼见者中，一些也是平安专家，一些则是生手，比如来自管帐审计公司普华永道的审计员。

进去今后，就会给人人一份典礼流程，内里记录着典礼包罗的一百多个顺序。悉数典礼历程还会被录影，偶然会在 ICANN 网站上直播。

典礼的细节固然须要严厉不泄露，因而典礼会场上没有任何电子旌旗灯号可以或许自在相差。保安、清洁工和闲杂人等都没法进入典礼会场。

以是，典礼会场是护法亲身扫除的。此次，来自瑞典的护法 Anne-Marie Eklund Löwinder 就在典礼前一天客串了清洁工，给这里吸尘。

会场有点像病院的候诊大厅，内里有2排金属凳子，中心一个桌子。会场里还放着一些摄像机，它们卖力拍摄集会内容。

房间的一边另有一个2.4米*2.4米的安保笼子，安保笼子里是2个保险箱。保险箱里存放着智能卡，用智能卡就可以或许启动发生主密钥的机械。

此次的典礼掌管人是 ICANN 的手艺主管 Francisco Arias。

起首，Arias 和4位护法（典礼须要最少3位护法列入）进入安保笼子，去取放在保险箱里的智能卡。

智能卡放在一个安保袋子里。

此次预会的护法是来自葡萄牙的 João Damas，为一家平安剖析公司事情的美国人 Edward Lewis，另有为拉美和加勒比海供应互联网注册效劳的公司 Lacnic 事情的乌拉圭人 Carlos Martinez。

看起来异常稳的密钥典礼，实在也不乏工资的不测。

比如在此次典礼上，有一小我重重地摔了一下安保笼子的平安门，触发了地动监测仪，致使平安门自动封闭。（真的不是有意的吗？(ㆀ˘･з･˘)）

典礼掌管人和护法们悉数被锁在了放智能卡的安保笼子内里……

惊慌失措了6分钟后，他们想到了解决方法：触发警报器，用紧要撤离的体式格局脱离安保笼。

以是，警报呼啦啦地响起，人人被分散到了走廊里。

到了晚上10点零9分，人人回到了会场。发生主密钥的机械已预备好了，插进去智能卡后，它将会发生一长串加密的暗码，也就是主密钥——大剑。

发生主暗码的机械

若是这个机械掉到地上，或许被重重地 kao 了一拳，那末它就会启动自毁顺序。

如今一切的主要装备都已从保险箱里拿了出来，可以或许进入典礼的第二步：密钥署名（key signing）了。

晚上10点48分，一个灰色的盒子被启动，护法们把各自的智能卡插进去主暗码天生机械。

10点59分，来自美国的平安专家 Alejandro Bolivar 最先念一串听起来很谬妄的乱码“平足包管造砖场……”，这是为了让见证人确认一遍。

见证人确认了这些奇异乖张的代码后，签了字。

晚上11点零2分，在一行代码被输入电脑后，新的经由署名的主密钥——大剑就天生了。

接下来人人花了20分钟把该拔的拔掉，该关的关掉，然后把一个存有主密钥的 USB 交给 ICANN 的工程师 Tomofumi Okubo。

Okubo 会把内里的主密钥发送给 Verisign。Verisign 治理着 DNS 的“根地区”（root zone），上面提到的护法 Alejandro Bolivar 就为这家公司事情。它将会通知那些掌握.com啊，.net啊的效劳器应当如何处置惩罚你输入的网址。

运用3个月后，这个主密钥就会失效，典礼就要重来一次。

接下来，四个护法又回到了适才谁人把他们关住的平安笼子里，把智能卡放归去。典礼就完毕了，人人可以或许进来 happy了。

看完这个和设想有点分歧的密钥典礼，照样让人有点忧郁 DNS 的平安。

幸亏，互联网自身其实不属于任何一小我、机构或当局。

ICANN 在官网上透露表现，互联网包罗很多分歧的体系，而 DNS 只是个中之一。掌握了 DNS 相对没法完整掌握互联网的其他方面。

这就比如，倚天剑屠龙刀虽然可以或许制霸武林，然则武林其实不属于任何一小我，武林盟主也不可。

另外，ICANN 只是确保互联网平安的一环，另有很多构造也承担着守卫互联网的职责，比如互联网工程义务组（the Internet Engineering Task Force），另有万维网同盟（World Wide Web Consortium）。

对了，万维网同盟就是万维网之父——英国计算机科学家蒂姆·伯纳斯-李（Tim Berners-Lee）自己掌管的。这些构造为互联网制订了种种范例，比如收集传输协定（protocols）。

蒂姆·伯纳斯-李

有些小朋友照样不甘心肠想晓得，万一有人把一切护法都干掉，会如何呢？

Lamb 在 ICANN 于2010年6月宣告的视频中说，万一护法们都出了不测，不克不及加入，照样可以或许把暗码箱钻开的。没想到吧。

本文来自微信民众号：把科学带回家（ID：steamforkids），泉源：Icann 等，编译：七君，头图泉源：UNsplash

*文章为作者自力看法，不代表虎嗅网态度

本文由 把科学带回家© 受权 虎嗅网 宣布，并经虎嗅网编纂。转载此文请于文首标明作者姓名，连结文章完整性（包孕虎嗅注及其他作者身份信息），并请附上出处（虎嗅网）及本页链接。原文链接：https://www.huxiu.com/article/294278.html


未依照范例转载者，虎嗅保存追查响应义务的权益
将来眼前，你我还都是孩子，还不去下载 虎嗅App 猛嗅立异！,返回网站首页