互聯(lián)網(wǎng)掌鑰騎士派對

在洛杉磯西南郊區(qū)距離LAX國際機場只有一兩英里的地方，20個人聚集在一幢不起眼的房子里，等待著儀式的開啟。外面是陽光燦爛的二月早春，但這些人卻不解風(fēng)情地聚在一個沒有窗戶的餐廳，靠慘白的頂燈提供著僅有的光線。

屋里的人口音紛雜。大多數(shù)人操美式英語，但偶爾也有瑞典語、俄語、西班牙語和葡萄牙語的響動。他們中有男有女，在這里一邊聊天，一邊分享著一個巨大的比薩，在汽水冒著氣泡的時候，角落里一臺電子游戲機不甘寂寞地發(fā)出熱鬧的聲響。

單看這副場景，大概很多人會以為這是一個尋常的辦公室派對，頂多是品位有些怪異罷了。但要來到這里，人們所經(jīng)歷的安保檢查之繁復(fù)，堪比核武器發(fā)射或總統(tǒng)訪問—你就知道這里必定有什么要緊之處。事實上，人們來到這里，是為了一件像是科幻小說或湯姆·克魯斯電影情節(jié)一樣的事情：互聯(lián)網(wǎng)掌鑰騎士派對。

是的，在這個世界上，有一群人掌管著互聯(lián)網(wǎng)的鑰匙，而他們手中的鑰匙合起來就湊成了一個根密鑰，能夠控制互聯(lián)網(wǎng)核心的中央安全。那么，這些鑰匙掌管者的權(quán)力到底有多大？他們能夠關(guān)閉全球互聯(lián)網(wǎng)嗎？或者，要是有人把整個網(wǎng)絡(luò)給弄垮了，他們能用鑰匙重新開啟嗎？

掌管互聯(lián)網(wǎng)的七把鑰匙

自從2010年以來，鑰匙掌管者們每年進行四次聚會，兩次在美國東海岸，另外兩次在美國西海岸。外界想要見識這些聚會并不容易，但上個月，英國《衛(wèi)報》記者詹姆斯·貝爾成功獲得邀請，才得以給我們披露這些聚會的內(nèi)情。

鑰匙掌管者們都是來自世界各地的安全專家，各自都在互聯(lián)網(wǎng)安全上有豐富的經(jīng)驗，雇主亦是不同的國際機構(gòu)。他們被選中的理由，一是專業(yè)上的靠譜程度，二是彼此在地理上分隔很遠(yuǎn)—沒有哪一個國家可以擁有多個鑰匙掌管者。不過，不管他們就住在洛杉磯還是住在日本東京，來參加聚會的費用一律自付，由其本人或是他所服務(wù)的雇主承擔(dān)。

這些人控制著的是互聯(lián)網(wǎng)的核心系統(tǒng)：域名系統(tǒng)，人們往往更熟悉它的簡稱—DNS。

DNS是互聯(lián)網(wǎng)版本的黃頁電話簿，它將容易被人類記住的網(wǎng)址映射到可以被機器讀取的IP數(shù)串上，從而能夠讓人更方便地訪問互聯(lián)網(wǎng)。比如說，《衛(wèi)報》網(wǎng)站的IP地址是77.91.251.10，這串?dāng)?shù)字很不方便人類記憶，但依靠DNS的幫助，人們就可以用guardian.co.uk這個容易記住的網(wǎng)址去進行訪問了。

為什么要有這些鑰匙掌管者存在呢？根密鑰又是用來干什么的呢？原來，這是為了讓整個域名系統(tǒng)更安全：每一次這些鑰匙掌管者聚集在一起，他們都會驗證DNS系統(tǒng)的每一次接入是否真實可靠。這也是避免虛假網(wǎng)站域名的擴散，因為有些釣魚網(wǎng)站會騙取DNS的信任，將域名引導(dǎo)至一個虛假的惡意網(wǎng)站上，從而侵入用戶的電腦或者盜取他們的金融信息。

全球共有14個這樣的“掌鑰騎士”，他們手中各有一把傳統(tǒng)的金屬鑰匙，可以打開一個對應(yīng)的保險箱，里面放著的是一張智能卡。這些智能卡能夠激活主機，從而創(chuàng)建出一個新的根密鑰。為了不把雞蛋放在同一個籃子里，這14個人被分為兩批，其中7個去參加?xùn)|海岸的聚會，另外7個則參加西海岸的聚會。除此之外，他們還有7個候補“掌鑰騎士”以防萬一，這7個候補者手里就沒有實體的金屬鑰匙了，他們所擁有的，是含有密碼殘片的智能卡，合在一起能重新建造一個備用的根密鑰生成器。

每年，這些鑰匙持有者都需要與一張當(dāng)天的報紙以及他們的鑰匙合影，然后將這張照片發(fā)送給DNS的管理機構(gòu)，也就是互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)（簡稱ICANN），以證明一切都順利。

繁復(fù)的安檢過程

掌鑰騎士們的派對由ICANN組織籌辦，當(dāng)然，一切都得非常謹(jǐn)慎，所以安檢的嚴(yán)密程度也到了令人瞠目的地步。

簡單來說，如果你要想抵達餐廳，你必須經(jīng)過一道需要密碼驗證的門，刷一遍智能卡，再通過掌紋掃描核對。這三道工序結(jié)束之后，你就進入一個“過渡室”，這個房間里的出口和入口無法同時開啟。然后，你要再刷一次智能卡、掃描掌紋再輸入一次密碼，這樣才能離開“過渡室”到達目的地。

從前在美國國務(wù)院工作的里克·蘭伯也出現(xiàn)在了這里，他穿著一身西裝，戴著黑框眼鏡，看起來頗有書生氣。他承認(rèn)自己專門為了今天的派對特地打扮了下。蘭伯現(xiàn)在是ICANN的高級項目經(jīng)理，他說，他負(fù)責(zé)的工作是建造一個新版的安全驗證系統(tǒng)。那樣的系統(tǒng)可能會更深遠(yuǎn)地影響互聯(lián)網(wǎng)。他舉了個例子，如果根密鑰今天在這里被偷了，結(jié)果也不會是災(zāi)難性的—有些用戶會收到安全警告，有些網(wǎng)站可能打不開，但不會更嚴(yán)重了。當(dāng)然，壞人們用偷來的根密鑰做點壞事，比如制造一堆虛假釣魚網(wǎng)站騙取用戶信息什么的就在所難免。

然而，在三五年之后，當(dāng)新版系統(tǒng)投入完全使用的時候，根密鑰的重要程度就大幅度提升了。一旦根密鑰失竊或者遭到損壞，整個網(wǎng)絡(luò)都會被界定為不可信任，服務(wù)器連接全部失效，而掌鑰騎士們需要聚集在一起重啟網(wǎng)絡(luò)，花費數(shù)周乃至數(shù)月的時間重新構(gòu)造整個互聯(lián)網(wǎng)的框架。

回到舉行儀式的房間，那里的安保級別比餐廳更高。沒有人能帶任何電子產(chǎn)品入場，保安和清潔工當(dāng)然更不允許進入。事實上，為了保證這間屋子的整潔，有個東海岸的掌鑰騎士、來自瑞典的安妮-瑪麗·愛科倫德·洛溫德女士在頭一天先抵達會場，拿著一個20美元的吸塵器自己進行清潔打掃。

每個與會的人士都拿到了一份詳細(xì)的日程表，上面記錄了超過100項活動，所有的一切都以GMT時間進行標(biāo)注。在打印這些文件之前，一屋子的科技能手們竟然還在安裝打印機時為難了一會兒，這感覺是如此詭秘：令人瞠目的科技手段，加上戲劇化的安檢措施，又有不合時宜的笨拙，從某種程度上來說，就像是互聯(lián)網(wǎng)本身。

在午餐時間過后，GMT時間21點14分，16個男士和4位女士踏入儀式會場。在這里的有鑰匙掌管者，也有若干見證人，以確保沒有人能夠?；ㄕ蟹梁ヂ?lián)網(wǎng)安全。見證人中有些是安全專家，另外一些則是《衛(wèi)報》記者這樣的外行人。在最后一道關(guān)卡，蘭伯手持一個先進的虹膜掃描儀，再次確認(rèn)大家的身份。

“請看向攝像機鏡頭，”儀器的電子聲音說，“請將眼睛再靠近一點……很抱歉，我們無法核實您的身份。”

蘭伯嘆了口氣，再試一次。

“謝謝，您的身份已核實?！?/p>

小小的恐慌

ICANN技術(shù)服務(wù)總監(jiān)弗朗西斯科·阿里亞斯是這次儀式的主持人，這是他第一次擔(dān)當(dāng)這個工作，從他不住偷瞄行程表的眼神里就能看出他的緊張情緒。

一開始，一切都還進行得很順利。每次儀式并不需要七名鑰匙掌管者到場，只需要最少三人即可，而這次來了四個。于是阿里亞斯和這四個掌鑰騎士一起進入安全屋，取出了他們各自的智能卡片。這四個鑰匙掌管者都是男人，都穿著襯衫和牛仔褲，分別是在西班牙工作的葡萄牙人若奧·丹瑪斯、在互聯(lián)網(wǎng)安保公司工作的美國人愛德華·劉易斯、在LACNIC（拉丁美洲及加勒比地區(qū)互聯(lián)網(wǎng)地址注冊管理機構(gòu)）工作的烏拉圭人卡洛斯·馬丁內(nèi)斯和來自俄羅斯的德米特里·布科夫。

在全球21個掌鑰騎士中，有20個都是從首屆開始任職的元勛。最初的選拔過程其實非常低調(diào)：ICANN在網(wǎng)站上發(fā)布了一個廣告，只吸引了40個人提交申請，其中21個人最終獲選。自那之后，只有一個鑰匙掌管者辭職了，其他20個人工作至今。

說起來，辭職的那位實在是大名鼎鼎，他叫文頓·瑟夫，美國人，因與羅伯特·卡恩設(shè)計了TCP/IP協(xié)議和互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)而被共同稱為“互聯(lián)網(wǎng)之父”。瑟夫現(xiàn)在已經(jīng)70多歲了，以“互聯(lián)網(wǎng)傳道士”的身份依然在谷歌工作。在第一屆掌鑰騎士大會上，瑟夫還發(fā)表了演講，強調(diào)互聯(lián)網(wǎng)根密鑰是多么重要的里程碑式發(fā)明。他毫不懷疑，這將在長遠(yuǎn)的意義上影響互聯(lián)網(wǎng)的未來。但他畢竟年紀(jì)大了，去到不同的地方參加聚會對他來說是一件難事，所以他放棄了自己的掌鑰騎士職責(zé)。

GMT時間21點29分，事情開始變得有些脫離軌道。有個人在關(guān)保險柜門的時候力道用得大了一點，導(dǎo)致自動門鎖死，于是儀式主持人和四個鑰匙掌管者都被鎖在了兩米見方的安全屋里。大家安靜地恐慌了6分鐘，最終想出一個解決辦法，那就是拉響警報進行疏散。于是警笛響起，大家都走出會場來到走廊里。

這樣的偏差脫離了既定的行程，而根據(jù)規(guī)定，這些偏差都必須如實記錄在案，由在場的每一個人閱讀認(rèn)可后簽字確認(rèn)。不過那都是后來的事情，現(xiàn)在走廊上的大家打開了零食袋，開始吃著小餅干聊起天來。

在這里，《衛(wèi)報》記者打聽到，美國商務(wù)部和國土安全部都對這個ICANN的工作保持著密切的關(guān)注。在斯諾登爆出NSA監(jiān)控事件之后， ICANN的不少海外伙伴對于美國政府的探聽多少有些敏感，比如說，俄羅斯和巴西總統(tǒng)都曾在公開場合里提出類似的要求，他們的機構(gòu)也要求ICANN將互聯(lián)網(wǎng)核心安全納入聯(lián)合國監(jiān)管之下。

至于為什么要讓ICANN來負(fù)責(zé)組織掌鑰騎士與根密鑰這件事，也是各有各的說法。蘭伯堅稱“我們是一個在線社區(qū)，是廣大網(wǎng)友要求ICANN負(fù)責(zé)的”，而那位來自瑞典的東海岸掌鑰騎士愛科倫德·洛溫德則有不同意見：“這么說吧，其實主要是美國商務(wù)部做出的決定?！彼榻B說，雖然歐洲理事會依然對ICANN保持著很高的信心，但他們?nèi)缃褚蚕Ｍ淖冞@個組織；歐盟最近在呼吁將ICANN全球化，并要求“給出明確的時間表”。

愛科倫德·洛溫德還說，雖然這里的安保措施有時候看起來是夸張了點，但為了保證大家的信任，每一步其實都很重要?！拔覀冞@個系統(tǒng)本來就非常嚴(yán)密，備份還有備份，安全防護外還有安全防護，”她說，“當(dāng)然這里頭也有一些浪漫元素和戲劇成分，因為我本來就是一個浪漫主義者。我必須承認(rèn)，我熱愛互聯(lián)網(wǎng)，這是一種你必須欣賞的工程藝術(shù)。能夠為此做出貢獻，讓互聯(lián)網(wǎng)成為一個更安全的地方，這讓我感覺很棒?！?/p>

她將自己的鑰匙放在哪里呢？她承認(rèn)，她有兩把鑰匙，其中一把放在銀行保險柜里始終沒有拿出來過，而另一把是她每年參加兩次東海岸聚會時使用的，掛在一個長長的金屬鎖鏈上，不用的時候放在一個木制的機巧盒里，而這個機巧盒的鎖很隱蔽，是她那當(dāng)家具設(shè)計師的兒子所特別打造的。

技術(shù)與政治的秀場

GMT時間22點09分，儀式終于再度開始，所有人又回到會場，按照原本的行程繼續(xù)進行儀式。那臺用來生成根密鑰的神秘主機已經(jīng)架設(shè)好，一旦由智能卡片激活，它就會生成一個長長的安全密鑰。這臺主機當(dāng)然也是安全至上，據(jù)說，萬一要是摔在地上，甚至是被用力敲了一下，它都會立刻自毀。

現(xiàn)在進行的是儀式的第二部分：密鑰簽名。第一步是很簡單的，拿出筆記本，然后開機。有些人目不轉(zhuǎn)睛地盯著這一切發(fā)生，大概出于見證某種重要事情的使命感；另一些人則顯得有些不耐煩，看看表，又跟旁邊的人輕聲說幾句小話。

22點40分，一個U盤出現(xiàn)在臺面上，每一個都準(zhǔn)備要在儀式結(jié)束的時候，將簽好名的密鑰實時加載到互聯(lián)網(wǎng)上，換而言之，就是將相關(guān)的代碼添加到DNS服務(wù)器上，讓他們能夠繼續(xù)安全地給諸多.com、.net、和.org等等域名指路。

還有一個步驟，就是密鑰確認(rèn)，這是要確保大家現(xiàn)在所知的根密鑰都是同樣的。在這個過程里，阿里亞斯會念一串64位的字符串，所有人比對著他們自己的紙條，用點頭確認(rèn)無錯。

22點48分，密鑰生成器開始啟動。每個鑰匙掌管者都將自己的智能卡片插入機器。然后22點59分，重頭戲終于來了。美國安全專家亞歷桑德羅·玻利瓦爾上臺，宣讀由現(xiàn)有根密鑰所生成的一串無意義詞組串，以“平足、保證書、磚廠”開頭，念了差不多有一分鐘，由“……黑杰克、懶漢”結(jié)尾。這個詞組串與見證人此前拿到的備忘錄上記載的一致，于是大家也都點頭表示沒有差錯，然后簽名確認(rèn)。

23點02分，一串簡短的代碼輸入筆記本，幾秒鐘后，新的密鑰已經(jīng)簽名完成，會場里響起了小小的掌聲。

經(jīng)過20分鐘的關(guān)機工序之后，記錄著新密鑰的U盤被交給ICANN工作人員大久保知史手里。其后，大久保會通過安全渠道將這個U盤交給Verisign公司（負(fù)責(zé)運營DNS系統(tǒng)核心區(qū)塊的安全公司），而這個簽名密鑰會實時加載到互聯(lián)網(wǎng)上。它會在4月1日正式生效，有效期三個月，到7月1日的時候，它會過期，而錯誤信息會開始在互聯(lián)網(wǎng)上出現(xiàn)。

現(xiàn)在我們有一個新的問題：這樣的儀式真的有必要嗎？大費周章搞這么多安全檢查是一種切實需要還是為了作秀？美國密碼學(xué)家布魯斯·施奈爾說，答案可能兩者兼?zhèn)洌坝泻芏啾匾?，也有不少不得不為之的作秀成分，”他說，“整個過程涵括技術(shù)和政治兩面，所以非常復(fù)雜……我認(rèn)為這個體系設(shè)計得很不錯?！蹦敲矗@個體系能經(jīng)得起NSA泄密事件的風(fēng)波余震嗎？施奈爾遲疑了一下，說，“現(xiàn)在我們還不知道”。

回到儀式的現(xiàn)場，四個鑰匙掌管者現(xiàn)在要將智能卡片放回去，直到下一次大會，都不會再有人碰觸它們。這時候已是GMT時間23點32分，攝影機忠實地記錄著他們將智能卡片放入各自保險箱的過程，他們的動作都頗有儀式感，但在場者卻并非都如此肅穆。“有點兒像教會儀式，又有點兒像棒球賽，我都不知道要說什么才好了，”ICANN公關(guān)人員琳恩·利平斯基說，“我都開始犯困了。”

GMT時間0點06分，所有人都來到這里至少五個小時了，進行視頻直播的攝影機也終于關(guān)機。蘭伯問，到底有多少人在線觀看了這個儀式。

系統(tǒng)管理員回話：“最高共有12個人同時在線。”

工作已經(jīng)完成，大家準(zhǔn)備離開。

“等等，”大久保說，“還有一個問題……有誰要一起來吃晚餐么？”

不少人舉起手來?，F(xiàn)在，互聯(lián)網(wǎng)又能保證三個月的安全了，那些掌鑰騎士依次離開這密閉的屋子，投入到洛杉磯早春的燦爛陽光里。