互聯(lián)網(wǎng)域名解析系統(tǒng)DNS加密鑰，安全大進(jìn)展

Win7之家（ afsion.com.cn）：互聯(lián)網(wǎng)域名解析系統(tǒng)DNS加密鑰，安全大進(jìn)展

北京時間6月18日，為互聯(lián)網(wǎng)域名系統(tǒng)擰緊安全螺釘?shù)膲粝朐谏现苋�又向現(xiàn)實邁進(jìn)了一步，這一天，互聯(lián)網(wǎng)的政策制定者們在北弗吉尼亞州舉行了一個簡單而又隆重的儀式，生成并儲存了第一個將用于互聯(lián)網(wǎng)根域安全的密鑰。

這次的密鑰發(fā)布儀式是互聯(lián)網(wǎng)根域DNS安全擴(kuò)展（DNSSEC）研發(fā)進(jìn)程的最終步驟之一。DNSSEC是互聯(lián)網(wǎng)防范欺詐性攻擊的一個新的標(biāo)準(zhǔn)，允許Web網(wǎng)站利用數(shù)字簽名和公共密鑰驗證域名及對應(yīng)的IP地址。

“密鑰發(fā)布儀式將生成主根密鑰，該密鑰可為所有的其他密鑰提供簽名，”VeriSign的CTOKenSilva解釋道。VeriSign運(yùn)營著13臺互聯(lián)網(wǎng)根服務(wù)器中的兩臺，主要提供.com和.net頂級域名的注冊服務(wù)。“在實際推出DNSSEC之前一個月首先生成一個有法律效力的密鑰十分必要，這樣我們就可以對其進(jìn)行測試了。”

DNSSEC計劃在整個互聯(lián)網(wǎng)基礎(chǔ)設(shè)施架構(gòu)中進(jìn)行部署，從位于DNS層級架構(gòu)頂端的根服務(wù)器開始，先到運(yùn)行.com、.net以及其他頂級域名的服務(wù)器，然后再到為諸多網(wǎng)站提供緩存內(nèi)容服務(wù)的服務(wù)器。

一旦被廣泛部署，DNSSEC將能有效地防止緩存投毒攻擊，后者是將互聯(lián)網(wǎng)流量從合法網(wǎng)站重定向到?jīng)]有網(wǎng)站運(yùn)營者或用戶不知道的仿冒網(wǎng)站。緩存投毒攻擊是DNS中一個會產(chǎn)生嚴(yán)重后果的漏洞，由安全研究人員DanKaminsky在2008年公開披露。

周三的密鑰發(fā)布儀式由ICANN主辦，地點(diǎn)是在弗吉尼亞州卡爾佩帕市的一個安全的數(shù)據(jù)中心內(nèi)。7月中還將在洛杉磯再舉辦一次類似的密鑰發(fā)布儀式。

密鑰發(fā)布儀式主要是向互聯(lián)網(wǎng)工程設(shè)計社區(qū)說明如何安全地為根域生成和儲存密鑰的步驟。與會者包括ICANN工作人員和世界各地的DNS專家。密鑰生成和儲存的整個流程都是經(jīng)過公證的。

“來自世界各地的專家都將參與為DNS頂級域名創(chuàng)建密鑰的流程，”互聯(lián)網(wǎng)安全專家兼Shinkuro公司的CEOSteveCroker說。“他們是目擊證人，同時監(jiān)督整個流程是在公平和嚴(yán)格合規(guī)的情形下進(jìn)行的。”

這兩次密鑰發(fā)布儀式皆屬于大規(guī)模部署DNSSEC之前的最后步驟，第二次發(fā)布儀式計劃于7月15日舉行。

而從現(xiàn)在到7月15日，根服務(wù)器運(yùn)營商們將對DNSSEC進(jìn)行附加測試。

“我們將盡可能多地測試我們可能想到的各種情形，”Silva說。“我們將會對密鑰長度、密鑰倒轉(zhuǎn)、密鑰過期以及所有其他可能出現(xiàn)的問題進(jìn)行系列測試。我們要測試系統(tǒng)的響應(yīng)，看看我們的監(jiān)控和探測能否捕捉到所有這些情況。”