你知道，你在输入一个网站的网址的时候，不会打开奇怪的钓鱼网站，是靠谁吗？

其实，是靠一个每3个月就要召开一次的互联网神秘仪式，以及七剑——7把密钥。 



从2010年开始，每隔3个月，这个被叫做密钥仪式（key ceremony），或者根区密钥签名密钥仪式（Root Signing Ceremony）的神秘会议就会在美国东部或者西部召开一次。



而参加这个仪式的，是一些手持互联网“钥匙”的神秘人。



这些神秘人聚集起来，就可以取出七剑（7张智能卡），而这七剑就可以召唤出一把威力巨大的互联网大剑——掌控者互联网全网“号码本”的主密钥（master key）。



这把大剑，守卫着互联网的一个核心系统——DNS，也就是域名系统（具体来说，他们控制着域名系统安全扩展（DNSSEC））。

DNS 相当于是互联网的黄页、号码本或花名册，里面记录着不同网站的网址以及它对应的 IP 地址，比如环球科学的网址 www.huanqiukexue.com 和它对应的响应IP 123.56.147.167。



当你在浏览器里输入网址时，就要靠 DNS 帮你查找正确的 IP，从而打开正确的网页。如果没有 DNS，那么想要访问任何一个网址的话，就要背诵这个网址的IP，相当麻烦。

那么，如果有坏人故意把网址对应的 IP 地址乱改，导航到奇奇怪怪的钓鱼网站上该怎么办？

这就需要有可靠的方法来防止坏人篡改 DNS 系统了，这就是生成主密钥的密钥仪式诞生的原因。

主密钥是一串代码，叫做根区密钥签名密钥（root key-signing key），用它可以访问储存着整个互联网域名的数据库，也就是全世界网址的“黄页”——互联网号码分配局（Internet Assigned Numbers Authority，IANA）。



那么，互联网号码分配局是谁管的呢？

互联网号码分配局，归一个比较大的非赢利组织管，它就是互联网名称与数字地址分配机构（ICANN）。



ICANN 的副主席 Matt Larson 曾表示，“如果你拿到了主密钥，你就可以产生你自己的根域，你就可以控制别人能够访问什么网站了。”

也就是说，如果你能集齐七剑，召唤出大剑，你就可以号令武林，唯你独尊。所以这把主密钥，基本上可以在互联网兵器谱上排得上前三甲了。

这样厉害的“武器”，交给谁恐怕都会让别人不服。因此在2016年，美国政府将 DNS 数据库，也就是互联网号码分配局的控制权转让给了 ICANN，让它从名义上脱离了美国政府的控制。

可是，要是 ICANN 自己就是坏蛋怎么办，怎么能相信它呢？

ICANN 是一个在美国的非盈利机构，自称不从属于任何个人、政府或组织。

但是，还是有不少人对 ICANN 不太放心。因此，ICANN 有时会在自己的网站上直播这个仪式，向全世界的人证明他们真的有认真在做哦。

我们来看看这个仪式的具体过程吧。

2014年的某一天，一些神秘人聚集到了美国加州洛杉矶西南部的埃尔塞贡多（El Segundo）的一栋普普通通的大楼里，这个地方离洛杉矶国际机场大概几千米。他们将要召开密钥仪式。





这些人来自全球各地，有瑞典人、俄国人、西班牙人、葡萄牙人。而这些密钥持有者见面召开密钥仪式，就是为了召唤大剑，从而确认世界的网址“黄页”——DNS 是真实的，没有被坏蛋改过。



万一哪天 DNS 系统崩塌了，也就是说互联网的黄页被人烧了，那么这些人还可以聚集起来，重建世界的 DNS 系统。

那么，互联网密钥持有者是怎么选出来的呢？

现在 ICANN 一共有21位密钥持有者。其中的20位从第一场仪式开始就一直是 ICANN 的成员。

选择密钥持有者的过程也简单到让人吃惊。

ICANN 在网站上公布了一个招聘启事，宣布一共招募21名密钥持有者，结果有40个人报名。

最后被选中的互联网密钥“护法”都具有网络安全的技术背景，并且为不同的国际机构工作。找全世界各地的护法的目的就是为了让权力分散，不让个人、单个组织或国家控制大剑。

其中一位密钥持有者就是来自中国互联网信息中心（CNNIC）的姚健康。



参加2016年8月密钥仪式的人。

图片来源：ICANN

那个中途退出的密钥持有者是谁呢？

这个人一点也不简单，因为他是互联网之父之一——文顿·瑟夫（Vint Cerf）。

瑟夫大爷已经奔8了，不做互联网护法后，他变成了教主——谷歌的首席互联网传教士（Chief Internet Evangelist）。(☉д⊙)

这21个密钥持有者被分为两波，14个是主要密钥持有者，他们每个人手里有一把传统的物理钥匙，可以打开一个保险箱，保险箱里就藏着智能卡，用这些智能卡可以启动一台能产生主密钥的机器，也就是召唤大剑。所以下文就叫他们护法。



14个是主要密钥持有者各有一把传统的物理钥匙，可以打开一个保险箱，保险箱里有一张智能卡，用这些智能卡可以启动一台能产生主密钥的机器。

@Laurence Mathieu /  the Guardian

其余的人是后备密钥持有者。他们每人也有一张智能卡，每张智能卡里有一部分代码，这些人的代码合起来，就可以建造一个备用密钥生成器（replacement key-generating machine）。

每年，这些后备的影武士都要拍一张自己和当天报纸的合影，然后发给 ICANN，证明我还活着，人在卡在。

仪式就在这个数据中心进行。




进入这个地方要经历层层安检，和007电影差不多。



仪式开始时，大家先要通过一扇安全门，这扇门需要一个密码、一张智能卡，还有手部的生物识别才能打开。



进去以后，就来到了一个“老鼠笼”里。在这个老鼠笼里，每次只有一扇门能打开。





这个老鼠笼的出口需要另外一套智能卡、手印，还有密码才能开启。



 

进入仪式的房间更加复杂，每次只能进入几个。ICANN 的高级项目经理Richard Lamb 扫描了虹膜以后，让所有人进入会场所在的房间。



Richard Lamb



参与仪式的，除了护法，还有一些见证者，他们是整个仪式的目击证人。这些目击者中，一些也是安全专家，一些则是外行，比如来自会计审计公司普华永道的审计员。



进去以后，就会给大家一份仪式流程，里面记录着仪式包含的一百多个程序。整个仪式过程还会被录影，有时会在 ICANN 网站上直播。





仪式的细节当然需要严格保密，因此仪式会场上没有任何电子信号能够自由出入。保安、清洁工以及闲杂人等都无法进入仪式会场。



所以，仪式会场是护法亲自打扫的。这次，来自瑞典的护法 Anne-Marie Eklund Löwinder 就在仪式前一天客串了清洁工，给这里吸尘。

会场有点像医院的候诊大厅，里面有2排金属凳子，中间一个桌子。会场里还放着一些摄像机，它们负责拍摄会议内容。

房间的一边还有一个2.4米*2.4米的安保笼子，安保笼子里是2个保险箱。保险箱里存放着智能卡，用智能卡就可以启动产生主密钥的机器。




这次的仪式主持人是 ICANN 的技术主管 Francisco Arias。

首先，Arias 和4位护法（仪式需要至少3位护法参加）进入安保笼子，去取放在保险箱里的智能卡。




智能卡放在一个安保袋子里。





这次与会的护法是来自葡萄牙的 João Damas，为一家安全分析公司工作的美国人 Edward Lewis，还有为拉美和加勒比海提供互联网注册服务的公司 Lacnic 工作的乌拉圭人 Carlos Martinez。

看起来非常稳的密钥仪式，其实也不乏人为的意外。

比如在这次仪式上，有一个人重重地摔了一下安保笼子的安全门，触发了地震监测仪，导致安全门自动关闭。（真的不是故意的吗？(ㆀ˘･з･˘)）



仪式主持人和护法们全部被锁在了放智能卡的安保笼子里面…



手忙脚乱了6分钟后，他们想到了解决方法：触发警报器，用紧急撤离的方式离开安保笼。



所以，警报呼啦啦地响起，大家被疏散到了走廊里。







到了晚上10点零9分，大家回到了会场。产生主密钥的机器已经准备好了，插入智能卡后，它将会产生一长串加密的密码，也就是主密钥——大剑。



产生主密码的机器

如果这个机器掉到地上，或者被重重地 kao 了一拳，那么它就会启动自毁程序。



现在所有的重要设备都已经从保险箱里拿了出来，可以进入仪式的第二步：密钥签名（key signing）了。



晚上10点48分，一个灰色的盒子被启动，护法们把各自的智能卡插入主密码生成机器。



10点59分，来自美国的安全专家 Alejandro Bolivar 开始念一串听起来很荒谬的乱码“平足担保造砖场…”，这是为了让见证人确认一遍。



见证人确认了这些古怪的代码后，签了字。

晚上11点零2分，在一行代码被输入电脑后，新的经过签名的主密钥——大剑就生成了。



接下来大家花了20分钟把该拔的拔掉，该关的关掉，然后把一个存有主密钥的 USB 交给 ICANN 的工程师 Tomofumi Okubo。



Okubo 会把里面的主密钥发送给 Verisign。Verisign 管理着 DNS 的“根区域”（root zone），上面提到的护法 Alejandro Bolivar 就为这家公司工作。它将会告诉那些控制.com啊，.net啊的服务器应该怎么处理你输入的网址。

使用3个月后，这个主密钥就会失效，仪式就要重来一次。

接下来，四个护法又回到了刚才那个把他们关住的安全笼子里，把智能卡放回去。仪式就结束了，大家可以出去 happy了。

看完这个和想象有点不同的密钥仪式，还是让人有点担心 DNS 的安全。

好在，互联网本身并不属于任何一个人、机构或政府。

ICANN 在官网上表示，互联网包含许多不同的系统，而 DNS 只是其中之一。控制了 DNS 绝对无法完全控制互联网的其他方面。

这就好比，倚天剑屠龙刀虽然可以制霸武林，但是武林并不属于任何一个人，武林盟主也不行。




此外，ICANN 只是确保互联网安全的一环，还有许多组织也承担着保卫互联网的职责，比如互联网工程任务组（the Internet Engineering Task Force），还有万维网联盟（World Wide Web Consortium）。

对了，万维网联盟就是万维网之父——英国计算机科学家蒂姆·伯纳斯-李（Tim Berners-Lee）本人掌管的。这些组织为互联网制定了各种标准，比如网络传输协议（protocols）。



蒂姆·伯纳斯-李

有些小朋友还是不甘心地想知道，万一有人把所有护法都干掉，会怎样呢？

Lamb 在 ICANN 于2010年6月公布的视频中说，万一护法们都出了意外，不能到场，还是可以把密码箱钻开的。没想到吧。