揭秘:持有DNSSEC密钥的7个人如何重启网络

负责管理互联网的非盈利组织ICANN正在全面部署DNSSEC（域名系统安全扩展)，它为用户DNS查询的每一步增加一个数字签名验证，以防止第三方伪造DNS数据。上月DNS Root Zone完成了数字签名，这是部署DNSSEC的重要一环。
DNS是一个巨大无比的网络地图，导引冲浪者的航线，而DNSSEC则相当于灯塔，保证航行的安全，那么ICANN如何确保灯塔的安全呢？如果 DNSSEC因为物理攻击如核爆或网络攻击而瘫痪（这不太可能，因为它保存在美国东西海岸两个高度安全的独立设施内），谁能重建DNSSEC？ICANN 或许是受到了《指环王》的启发，它制定一项计划——当DNSSEC崩溃，分布在全世界的7个人将拿着密钥，来到美国的一个秘密数据中心合作解开 DNSSEC的根密钥，重建DNSSEC——如果他们也遭遇不幸，那么我们将要回到旧的DNS时代。
7个人只需5位就能破解根密钥——这种加密方法被称为 Shamir's Secret Sharing——密钥被分成几部分，每一部分都独一无二，其中几部分或全部联合起来就能解密密钥。7位被授予重任的人是各大洲的代表：他们分别是美国的 Dan Kaminsky，加拿大的Norm Ritchie，英国的Paul Kane，另外四个人分别来自中国、非洲的布基纳法索、和南美特立尼达多巴哥，以及捷克共和国。密钥其实是两个相同的智能卡，被密封在透明的塑料袋内。