Recibió muchas respuestas útiles, pero parece que nadie abordó esta línea en su pregunta:
Acabo de leer acerca de las 7 personas que tienen la clave de la base de datos de ICANN
Esto no está completamente relacionado con ningún hecho.
Primero no hay una "base de datos ICANN". Como se explica en otras respuestas, ICANN no tiene un rol operativo diario en las operaciones de nombres de dominio. Cuando compra un nombre de dominio, ejerce varios servicios en los registradores y registros, pero ICANN no hace nada allí, solo tiene un papel "financiero" y como regulador, acredita a las empresas, etc.
Cuando hablamos de claves, creo que hace referencia a artículos como https://www.theguardian.com/technology/2014/feb/28/seven-people-keys-worldwide-internet-security-web y muchos otros. En su mayoría son muy sensacionales, incluso en su título, sin ninguna razón, excepto la venta de papeles.
Están tratando de explicar conceptos técnicos complicados (en torno a DNSSEC, ver más abajo) pero lo hacen en tantas simplificaciones excesivas que el resultado final no tiene sentido.
Como no es el núcleo de su pregunta, permítanos aquí tratar de resumir el problema:
- Para asegurar la resolución DNS, se inventó un nuevo protocolo (una extensión de hecho), que se llama DNSSEC
- DNSSEC utiliza claves criptográficas (el mismo tipo de las utilizadas para los certificados cuando navega por sitios web HTTPS, etc.) para autenticar las respuestas DNS para que un solucionador pueda detectar si hay un ataque a un nombre de dominio
- DNSSEC funciona con una cadena de confianza, exactamente como en el mundo HTTPS con CA; Esto significa que cada nivel del árbol DNS tiene un conjunto de claves
- para que se extienda a la raíz (
.
), que es la madre o el padre de todo, comenzando con los TLD
- la raíz del árbol DNS tiene claves que deben cambiarse dos veces al año; este es un problema de política, no técnico; es un compromiso dictado por el deseo de cambiar los materiales criptográficos para reducir la ventana de oportunidades para los atacantes, y también de tener "ceremonias" lo suficientemente frecuentes como para que las personas estén bien capacitadas para ellos, incluso si será necesario conducirlos en una emergencia
- La ceremonia que tiene lugar dos veces al año para cambiar estas claves involucra a muchas personas y muchos procesos, con muchas auditorías
- para abreviar, no, Internet no está a merced de 7 personas que podrían hacer lo que quieran e interrumpir las cosas. Cada uno por sí mismo básicamente no tiene poder en absoluto. Solo necesitan recordar sus contraseñas y poder estar en algún lugar específico una o dos veces al año para participar en las ceremonias, con muchas otras personas asistiendo.
Además, estas personas no son pagadas por ICANN, a lo sumo se reembolsan sus costos de viaje.
Si desea una descripción no sensacional de las cosas y una técnicamente correcta, puede leer este artículo: https://www.cloudflare.com/dns/dnssec/root-signing-ceremony/
En cuanto a los titulares de claves específicamente, podrá leer esto:
Solo hay 14 Cripto oficiales disponibles en el mundo (7 están afiliados a cada ubicación), y al menos tres de ellos deben asistir a la ceremonia.
[..]
Cada uno de estos participantes solo puede realizar ciertas partes de la ceremonia. Sus roles se dividen de una manera que garantiza menos de 1: 1,000,000 de posibilidades de que un grupo de conspiradores pueda comprometer la clave de firma raíz, suponiendo una tasa de deshonestidad del 5% (sí, eso está formalmente en la especificación) entre estas personas.
[..]
Los primeros cuatro de estos individuos son miembros del personal de ICANN, mientras que los tres oficiales de cifrado son voluntarios de confianza de la comunidad de Internet. Verisign también juega un papel importante, ya que son los encargados del mantenimiento de la zona raíz responsables de generar la clave de firma de la zona raíz que se firma durante la ceremonia. Además, todo el procedimiento es auditado por dos firmas auditoras Big Four que no están asociadas ni con Verisign ni con ICANN.
.COM
dominio por 1 dólar y renovarlo$5
por un año adicional. ¡solo necesita hacer las búsquedas correctas en Google antes de comprar un dominio !.