互聯(lián)網(wǎng)域名解析系統(tǒng)DNS加密鑰，安全大進(jìn)展

Win7之家（ afsion.com.cn）：互聯(lián)網(wǎng)域名解析系統(tǒng)DNS加密鑰，安全大進(jìn)展

北京時(shí)間6月18日，為互聯(lián)網(wǎng)域名系統(tǒng)擰緊安全螺釘?shù)膲?mèng)想在上周三又向現(xiàn)實(shí)邁進(jìn)了一步，這一天，互聯(lián)網(wǎng)的政策制定者們?cè)诒备ゼ�尼亞州舉行了一個(gè)簡(jiǎn)單而又隆重的儀式，生成并儲(chǔ)存了第一個(gè)將用于互聯(lián)網(wǎng)根域安全的密鑰。

這次的密鑰發(fā)布儀式是互聯(lián)網(wǎng)根域DNS安全擴(kuò)展（DNSSEC）研發(fā)進(jìn)程的最終步驟之一。DNSSEC是互聯(lián)網(wǎng)防范欺詐性攻擊的一個(gè)新的標(biāo)準(zhǔn)，允許Web網(wǎng)站利用數(shù)字簽名和公共密鑰驗(yàn)證域名及對(duì)應(yīng)的IP地址。

“密鑰發(fā)布儀式將生成主根密鑰，該密鑰可為所有的其他密鑰提供簽名，”VeriSign的CTOKenSilva解釋道。VeriSign運(yùn)營(yíng)著13臺(tái)互聯(lián)網(wǎng)根服務(wù)器中的兩臺(tái)，主要提供.com和.net頂級(jí)域名的注冊(cè)服務(wù)。“在實(shí)際推出DNSSEC之前一個(gè)月首先生成一個(gè)有法律效力的密鑰十分必要，這樣我們就可以對(duì)其進(jìn)行測(cè)試了。”

DNSSEC計(jì)劃在整個(gè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施架構(gòu)中進(jìn)行部署，從位于DNS層級(jí)架構(gòu)頂端的根服務(wù)器開(kāi)始，先到運(yùn)行.com、.net以及其他頂級(jí)域名的服務(wù)器，然后再到為諸多網(wǎng)站提供緩存內(nèi)容服務(wù)的服務(wù)器。

一旦被廣泛部署，DNSSEC將能有效地防止緩存投毒攻擊，后者是將互聯(lián)網(wǎng)流量從合法網(wǎng)站重定向到?jīng)]有網(wǎng)站運(yùn)營(yíng)者或用戶不知道的仿冒網(wǎng)站。緩存投毒攻擊是DNS中一個(gè)會(huì)產(chǎn)生嚴(yán)重后果的漏洞，由安全研究人員DanKaminsky在2008年公開(kāi)披露。

周三的密鑰發(fā)布儀式由ICANN主辦，地點(diǎn)是在弗吉尼亞州卡爾佩帕市的一個(gè)安全的數(shù)據(jù)中心內(nèi)。7月中還將在洛杉磯再舉辦一次類似的密鑰發(fā)布儀式。

密鑰發(fā)布儀式主要是向互聯(lián)網(wǎng)工程設(shè)計(jì)社區(qū)說(shuō)明如何安全地為根域生成和儲(chǔ)存密鑰的步驟。與會(huì)者包括ICANN工作人員和世界各地的DNS專家。密鑰生成和儲(chǔ)存的整個(gè)流程都是經(jīng)過(guò)公證的。

“來(lái)自世界各地的專家都將參與為DNS頂級(jí)域名創(chuàng)建密鑰的流程，”互聯(lián)網(wǎng)安全專家兼Shinkuro公司的CEOSteveCroker說(shuō)。“他們是目擊證人，同時(shí)監(jiān)督整個(gè)流程是在公平和嚴(yán)格合規(guī)的情形下進(jìn)行的。”

這兩次密鑰發(fā)布儀式皆屬于大規(guī)模部署DNSSEC之前的最后步驟，第二次發(fā)布儀式計(jì)劃于7月15日舉行。

而從現(xiàn)在到7月15日，根服務(wù)器運(yùn)營(yíng)商們將對(duì)DNSSEC進(jìn)行附加測(cè)試。

“我們將盡可能多地測(cè)試我們可能想到的各種情形，”Silva說(shuō)。“我們將會(huì)對(duì)密鑰長(zhǎng)度、密鑰倒轉(zhuǎn)、密鑰過(guò)期以及所有其他可能出現(xiàn)的問(wèn)題進(jìn)行系列測(cè)試。我們要測(cè)試系統(tǒng)的響應(yīng)，看看我們的監(jiān)控和探測(cè)能否捕捉到所有這些情況。”