掌握全球互联网安全钥匙的七个人

在洛杉矶西南部一个四四方方的郊区埃尔塞贡多(El Segundo)的一个不起眼的工业区，距离洛杉矶国际机场只有一两英里，20人在一个没有窗户的食堂里等待开幕式开始。室外，反常温暖的二月，阳光普照；室内，唯一的光线来自卤素灯泡的耀眼光芒。

这里有一种奇怪的口音混合-主要是美国口音，但在房间里可以听到少量的瑞典语、俄语、西班牙语和葡萄牙语，男人和女人(但大部分是男人)边吃意大利香肠披萨，边喝75美分的自动售货机汽水聊天。在角落里，一台小行星游戏机发出刺耳的音乐和闪烁的灯光。

这可能是一个相当典型的办公室场景，如果不是因为这个房间里的每个人都必须完成特殊的安全程序才能到达这里，这种措施通常是为核发射密码或总统访问而保留的。我们都在这里的原因听起来像是科幻小说中的东西，或者是一个新的汤姆·克鲁斯(Tom Cruise)系列的情节：我们即将见证的仪式见证了一群来自世界各地的人聚集在一起，他们每人手持一把互联网的钥匙。它们的密钥一起创建一个主密钥，该主密钥反过来控制网络核心的中央安全措施之一。关于这些密钥持有者力量的传言比比皆是：他们的钥匙能关掉互联网吗？或者，如果有人设法把整个系统弄坏了，他们能重新打开它吗？

自2010年以来，密钥持有者每年会面四次，两次在美国东海岸，两次在西海岸。进入他们的内部密室并非易事，但上个月，我应邀一起观看了仪式，并会见了一些密钥持有者-来自世界各地的精选安全专家小组。他们都有很长的互联网安全背景，并在各种国际机构工作。他们被选中是因为他们的地理分布和他们的经验-任何一个国家都不允许有太多的密钥持有者。他们自费或雇主自费前往参加仪式。

这些男男女女控制的是网络的核心系统：域名系统，或称DNS。这是互联网版的网络电话号码簿--一系列将网址与一系列号码联系起来的注册表，称为IP地址。如果没有这些地址，您将需要知道您想要访问的每个站点的一长串数字。例如，要访问“卫报”，你必须输入77.91.251.10&34；，而不是theGuardian.com。

主密钥是一项新的全球努力的一部分，目的是确保整个域名系统的安全和互联网的安全：每次密钥持有者会面时，他们都会核实这些在线电话簿中的每一个条目都是真实的。这防止了虚假网址的迅速扩散，这些网址可能会将人们引导到恶意网站，用于黑客攻击电脑或窃取信用卡信息。

东海岸和西海岸的仪式各有7个密钥持有者，世界各地还有7个人，如果发生灾难性的事情，他们可以使用最后的措施来重建系统。14个主密钥持有者中的每个人都拥有一把传统的金属钥匙连接到保险箱，保险箱又包含一张智能智能卡，智能卡反过来激活一台机器，该机器创建一个新的主密钥。备份密钥持有者有一些不同的东西：智能卡，其中包含构建新的替换密钥生成机所需的代码片段。这些影子持有者每年都会发送一次运行该系统的组织-互联网名称与数字地址分配公司(Icann)-一张他们与当天报纸和钥匙的合影，以核实一切都很好。

总部位于美国的非营利组织Icann--而不是政府或国际机构--在维护全球互联网安全方面担任着最重要的工作之一，这一事实不可避免地受到了批评。今天的仪式偶尔有些过火(在Icann的网站上直播)是为了证明他们是多么认真地对待这一责任。它是黑客帝国的一部分(技术和安全人员)，也是办公室的两部分(几乎所有其他东西)。

首先：要到达食堂，你必须穿过一扇门，这扇门需要PIN码、个人智能卡和生物识别手部扫描。这会把你带进一个陷阱，一个小房间，一次只能打开一扇门。另一系列智能卡、手印和代码打开了出口。现在你在休息室。

现在，并不是所有的事情都完全按计划进行。前国务院官员里克·兰姆靠在雅达利游戏机旁，身着时髦的西装，戴着黑框眼镜(他承认自己在这一场合穿得很正式)，他告诉某人，现场的一名警卫大声地问他，你的安全密码是9925，对吗？嗯，那是…。他说，翻了翻眼睛。看着我们的方向，他说已经改了。

兰姆现在是Icann的高级项目经理，帮助推出新的、安全的网络验证系统。这发生得很快，但还没有完全发挥作用。如果今天主密钥丢失或被盗，后果可能不会是灾难性的：一些用户会收到安全警告，一些网络会出现问题，但仅此而已。但是，一旦每个人都转移到新的、更安全的系统(预计在未来三到五年内)，丢失或损坏密钥的影响将会严重得多。虽然每台服务器仍在那里，但没有任何连接：它将全部注册为不值得信任的服务器。整个系统是互联网的支柱，需要在几周或几个月内重建。如果情报机构或黑客-比如美国国家安全局(NSA)或叙利亚电子军(Syrian Electronic Army)-获得了主密钥的副本，会发生什么？他们可能会将特定的目标重定向到旨在利用他们的计算机的虚假网站-尽管Icann和密钥持有者表示这不太可能。

站在兰姆旁边的休息室里，站在兰姆旁边的是德米特里·布尔科夫(Dmitry Burkov)，他是密钥持有者之一，是几个互联网非政府组织董事会中性情直率、身材魁梧的俄罗斯安全专家，他是从莫斯科飞过来参加仪式的。他表示，互联网治理的关键问题永远是信任。不管是什么论坛，归根结底都是信任。考虑到俄罗斯和美国之间的紧张关系，以及俄罗斯呼吁让新的机构负责互联网，他对当前的体系有信心吗？他指着整个房间：他们是Icann最好的部分。我猜他的意思是他喜欢这些人，而不是更广泛的组织，但他不会被进一步吸引。

是时候搬到礼仪室去了，那里已经清理好了，可以存放最敏感的机密信息。任何电信号都不能进出。大楼保安和清洁工都被禁止进入。为了确保房间看起来适合游客，东海岸的钥匙持有者，瑞典的安妮-玛丽·埃克伦德·勒温德(Anne-Marie Eklund Löwinder)在前一天用一台20美元的吸尘器吸尘。

我们即将开始一系列详细的、严密的脚本编写的100多个动作，所有动作都使用格林威治时间的时区记录到分钟，以保持一致性。这些步骤是直接从电影惊悚片(钥匙卡、保险箱组合、安全笼子)中套用的高安全措施的奇怪组合，再加上更平凡的技术细节-设置打印机有点困难-偶尔还会上演一场闹剧。简而言之，就像互联网本身一样。

当我们步入仪式房间时，16名男性和4名女性刚刚过了洛杉矶的午餐时间，格林威治时间21点14分。除了钥匙持有者，这里还有几个目击者，以确保没有人能找到进入互联网的偷偷摸摸的后门。一些人是安全专家，另一些是门外汉，两人是普华永道(Pricewaterhouse Coopers)的审计师(目前全球在线交易额远远超过1万亿美元，关键在商业安全方面发挥着重要作用)。兰姆用先进的虹膜扫描仪让我们都进去。

请把你的眼睛放在中央，细细的自动化声音告诉他。"；请靠近相机…一点。抱歉，我们无法确认您的身份。

我们鱼贯进入一个类似于医生候诊室的空间：两排用螺栓固定的金属座椅正对着一张桌子。不太像医生候诊室的是直播到Icann网站的摄像机网络。房间的一侧是一个保险箱，里面装着两个高度安全的保险箱。

弗朗西斯科·阿里亚斯，Icann'；的技术服务总监，担任今天的管理员。这是他的第一次，他的眼睛经常看着剧本。首先，事情按计划进行。Arias和四个密钥持有者(仪式需要至少三个，而不是所有七个)进入安全笼子取回他们的智能卡，放在防篡改的袋子里。他们是穿着格子衬衫和牛仔裤的中年男子，他们是西班牙的葡萄牙钥匙持有者若昂·达马斯(João Damas)；美国人爱德华·刘易斯(Edward Lewis)，他在一家互联网和安全分析公司工作；乌拉圭人卡洛斯·马丁内斯(Carlos Martinez)，他在拉丁美洲和加勒比海地区的互联网注册机构Lacnic工作。

从第一次颁奖典礼开始，除了一名密钥持有者外，所有人都一直在该组织工作。最初的遴选过程出人意料地低调：Icann的网站上有一则广告，只有40份申请21个职位。自那以后，只有一个密钥持有者辞职：互联网之父之一、现年70多岁的文特·瑟夫(Vint Cerf)，他被谷歌(Google)聘为首席互联网布道者。在弗吉尼亚州库尔佩珀举行的第一次密钥仪式上，瑟夫告诉房间里的人，一个万能钥匙位于网络核心的原则是一个重要的里程碑。他当时说，今天这里发生的事情比看上去要多。我可以预测…。从长远来看，这种层次化的信任结构将应用于许多其他需要强认证的功能。但瑟夫在旅行承诺上举步维艰，放弃了他的密钥持有者职责。

到了21点29分，事情就不对劲了。安全控制器砰的一声关上保险箱的门，触发了自动地震传感器，进而触发了自动门锁。仪式管理员和钥匙持有者都被锁在一个8英尺见方的笼子里。六分钟的平静恐慌过去了，然后他们想出了一个解决方案：触发警报和疏散。警报声响起，每个人都挤在走廊里转来转去，直到我们回到100分的剧本。每一次偏差都必须记录在官方记录上，在场的每个人都必须在稍后阅读并签字。与此同时，我们利用休息时间吃零食：人们撕开几袋奥利奥饼干和芝士奶酪。

美国商务部和国土安全部都在不同程度上密切关注Icann的运营。在美国国家安全局间谍活动和网络安全遭到破坏的持续曝光之后，Icann的许多海外合作伙伴对此并不满意。包括俄罗斯和巴西在内的一些国家-这两国的总统已经非常公开地提出了这样的要求-呼吁对互联网的运行方式进行彻底改革，建议将其置于联合国的支持下。

谁让伊坎掌权的问题争论不休。兰姆辩称，这是网络社区；是那些让Icann负责的人。前一天用吸尘器吸尘的瑞典钥匙持有者埃克伦德·洛温德(Eklund Löwinder)说得更直截了当。嗯，主要是美国商务部，她说。欧盟委员会(European Commission)希望改变这一体系，尽管它仍表达了对Icann的信心；欧盟最近呼吁为Icann的全球化设定一个明确的时间表。

埃克伦德·洛温德解释说，虽然安全措施有时可能看起来很荒谬，但当涉及到维护信任时，每一步都是非常重要的。这是一个基于备份、层层和多层安全备份的系统，她摇晃着她的猫咪耳环说。当然，成为其中的一份子有点浪漫和激动，因为我本质上是个浪漫主义者。我不得不承认我喜欢互联网。这是一件你不得不欣赏的工程艺术。能够为使这里变得更安全做出贡献让我感觉很好。

她把钥匙放在哪里？她承认，她有两份副本，以防丢失一份；其中一份从未离开过银行储蓄箱。另一个，她每年在东海岸的仪式上使用两次，系在一条长金属链上。大多数时候，它都放在一个木制的拼图盒子里，里面有一把隐藏的锁，这是她的家具设计师儿子创造的。

到22点09分(我们都坚持格林尼治标准时间)，仪式又开始了，每个人都会回到剧本上。将不会生成主密钥的高安全性机器被设置。一旦被智能卡激活，这将产生非常长的密码。如果掉下来，甚至敲打得太猛，机器就会自毁。

现在所有的东西都从保险箱里搬出来了，我们开始仪式的第二幕：钥匙签名。第一步对任何人来说都很熟悉-插上笔记本电脑并启动-但一些目击者却像鹰一样看着，记录和初始化每一步。其他人则开始萎靡不振，要么看手表，要么与邻居小声交谈。

在22.40，设置了一系列USB驱动器，其中一个将在仪式结束时用于将签名的密钥加载到实时互联网上：这是代码上载到决定谁控制.com、.net、.co.uk等的服务器的时候。

检查上一次仪式的输出，以确保人们使用相同的键-这一过程要求咏叹调大声朗读64个字符的代码。当他们在床单上核实时，每个人都点了点头。

在22点48分，这台高度安全的机器-一个前面有一个键盘和卡槽的普通灰色小盒子-已经连上了电线。每个密钥持有者交出他个人的智能卡。然后，在22点59分，也就是仪式开始近两个小时后，表演时间到了。管理域名系统根区域的安全公司Verisign的美国专家亚历杭德罗·玻利瓦尔(Alejandro玻利var)走上前，读出了由前一个密钥生成的无意义的单词序列。他开始说：#34；平足保修卡米洛特砖厂…。并持续了近一分钟，然后结束了，21点流浪汉。序列与目击者的笔记一致，所以他们点点头，签署了他们的剧本。23.02分，在笔记本电脑上键入了一小行代码，几秒钟后，新密钥被签名，赢得了零星的掌声。

在断开安全机器并关闭笔记本电脑的20分钟序列之后，一个U盘被递给了Icann的另一名员工Tomofumi Okubo。不管是有意还是无意，大久保在经过手持签名数字钥匙的棍子时微微鞠躬。稍后，大久保将在安全通道上将密钥传输给Verisign，该签名密钥将通过互联网进行现场直播。它将从4月1日起生效三个月(是的，真的)。在此之后，密钥将过期，错误消息将开始出现在互联网上。

考虑到赌注有多高，以及可能的目标数量，大久保认为这个系统值得信赖吗？我认为是，他说。你必须向很多人妥协(…)。他变得淡定了。

这种仪式通常有点奇怪吗？这些安全防范措施是必不可少的，还是只是作秀？美国密码学家和安全专家布鲁斯·施奈尔(Bruce Schneier)曾与格伦·格林沃尔德(Glenn Greenwald)和“卫报”(The Guardian)合作分析爱德华·斯诺登(Edward Snowden)泄露的一些文件，他认为两者都有一点。他承认，很多都是必要的，有些是必要的戏剧。这个过程既是技术上的，也是政治上的，这使得…变得格外复杂。我认为这个系统设计得很好。至于这个系统在美国国家安全局爆料后是否还能继续存在，施奈尔认为目前还没有定论：这一点，我们不知道。

回到仪式房间，四个钥匙持有者再次被锁在一个笼子里，保险箱里装着他们的智能卡，这一次是把它们归还给未来使用。钟上是23点32分，每个人都庄严地拿着自己的钥匙卡，装在一个新的防篡改袋子里，让摄像机见证，然后再把它送回保险箱。并不是在场的每个人都完全被吸引住了。伊坎公关林恩·利平斯基(Icann PR Lynn Lipinski)说，这就像是教堂和棒球比赛的结合，我不知道还有什么。我有点困了。

早上6点06分，也就是我们到达5个小时后，就该关掉直播摄像机了。兰姆登记入住，看看有多少人一直在关注仪式。

等等，大久保说。在我们去…之前有一个问题。我能问一下谁要来吃晚饭吗？

大家举手示意，随着网络安全再过三个月，互联网的密钥持有者们在洛杉矶的阳光下列队列队。

·本文编辑于2014年2月28日。原文说El Segundo位于洛杉矶北部，而不是城市的西南部。这一点已经得到纠正。