下周開始數(shù)千萬用戶將難以訪問加密互聯(lián)網(wǎng)
本文引用地址:http://cafeforensic.com/article/284868.htm
許多互聯(lián)網(wǎng)用戶會信任網(wǎng)頁瀏覽器對某一網(wǎng)站是否安全的判斷。未來一年,對許多網(wǎng)站來說,SHA-1或更老的加密算法將不再符合信息安全的可信級別。根據(jù)互聯(lián)網(wǎng)性能和信息安全公司CloudFlare的一項研究,多達(dá)3700萬用戶將無法訪問這些網(wǎng)站。
出現(xiàn)這一問題的根源在于,證書簽名散列算法將進(jìn)行一次常規(guī)升級。這一升級由互聯(lián)網(wǎng)瀏覽器廠商協(xié)會決定,但可能影響發(fā)展中市場的大量移動設(shè)備。這些設(shè)備將只能訪問不需要安全協(xié)議的網(wǎng)站。
加密、認(rèn)證和算法
Tripwire IT安全和風(fēng)險策略負(fù)責(zé)人蒂姆·埃爾林(Tim Erlin)對這一問題進(jìn)行了解釋。
當(dāng)網(wǎng)站連接瀏覽器時,雙方會收發(fā)數(shù)據(jù)。在加密流程中,網(wǎng)站和瀏覽器會進(jìn)入一次會話。在會話時,雙方會協(xié)商采用加密的安全機(jī)制,而每次會話采用的密碼均不同。
埃爾林表示,其中部分協(xié)商的結(jié)果是采用雙方都能理解的最復(fù)雜的加密方式。他表示:“黑客會試圖破解加密算法。在被破解后,黑客能很容易監(jiān)聽你的會話。由于總是有很多黑客試圖破解加密系統(tǒng),因此算法也需要不斷升級。”
目前,許多網(wǎng)站都會默認(rèn)啟用https安全連接。用戶無需采取任何操作就可以實現(xiàn)會話的加密,防止被黑客監(jiān)聽。埃爾林表示,對于明年的升級,只要用戶使用了最新版瀏覽器,那么就會自動升級至至少SHA-2的加密級別。
中國等市場受影響
然而,較老版本的系統(tǒng)和瀏覽器,例如Windows XP,將不支持升級至最新的加密級別。此外,更復(fù)雜的加密需要更強(qiáng)大的計算性能。因此許多較老的移動設(shè)備,尤其是發(fā)展中國家用戶使用的移動設(shè)備,將無法處理安全連接。
因此,對于一些已使用5年的手機(jī),在訪問某些網(wǎng)站時將會看到錯誤信息,即網(wǎng)站未提供不加密版本。
根據(jù)CloudFlare的研究,在西歐和北美,已有99%的設(shè)備支持SHA-2級別的加密。然而在中國、喀麥隆、也門、蘇丹、埃及和利比亞,有近5%用戶使用的互聯(lián)網(wǎng)瀏覽器不支持SHA-2。
CloudFlare聯(lián)合創(chuàng)始人馬修·普林斯(Matthew Prince)表示:“當(dāng)美國用戶賣掉自己的舊手機(jī)時,這些手機(jī)常常會流入發(fā)展中國家。而目前,許多這些手機(jī)將無法再訪問加密的互聯(lián)網(wǎng)?!?/p>
CloudFlare估計,全球不支持SHA-2的設(shè)備總數(shù)相當(dāng)于加州的總?cè)丝凇?/p>
該公司表示:“不幸的是,這類人群與全球最貧窮、戰(zhàn)亂最嚴(yán)重的國家有所重疊。換句話說,在12月31日之后,這些用戶將無法再訪問加密的互聯(lián)網(wǎng),但實際上他們也是最需要加密技術(shù)的人群。如果我們希望將互聯(lián)網(wǎng)服務(wù)帶給下一個20億用戶,那么他們中的很多人將會通過二手Android手機(jī)上網(wǎng)。因此這一問題很難在短時間內(nèi)得到解決?!?/p>
科技公司間的爭議
Facebook首席信息安全官埃里克斯·斯塔莫斯(Alex Stamos)表示,由于對SHA-2的支持造成了許多限制,因此科技公司目前也在討論,如何在信息安全和技術(shù)普及兩方面做好平衡。
在停止支持較老的加密技術(shù)方面,谷歌(微博)表現(xiàn)得非常積極。而普林斯表示,阿里巴巴正在確保,其網(wǎng)站能支持較老版本的加密技術(shù)。
他表示:“隨著未來幾年計算機(jī)的運(yùn)行速度越來越快,我們必須繼續(xù)擺脫較老的標(biāo)準(zhǔn),轉(zhuǎn)向新標(biāo)準(zhǔn)。你會發(fā)現(xiàn),一些用戶會把舊手機(jī)升級至新手機(jī)。但很明顯,在敘利亞等地,用戶不可能立即前往運(yùn)營商商店購買新手機(jī)。敘利亞有超過4%的用戶將無法訪問加密網(wǎng)絡(luò)?!?/p>
盡管Facebook認(rèn)為,升級加密技術(shù)是必要的,但斯塔莫斯對升級的方式表示了擔(dān)憂。他也承認(rèn),許多人不贊同F(xiàn)acebook的臨時解決辦法:啟用傳統(tǒng)認(rèn)證方式的一種新類型。
他表示:“我們認(rèn)為,不應(yīng)切斷數(shù)千萬用戶訪問加密互聯(lián)網(wǎng)的通道,尤其考慮到,這只是因為他們的設(shè)備不支持SHA-256。許多舊設(shè)備的用戶都來自發(fā)展中國家,而他們才剛剛接入互聯(lián)網(wǎng)。我們應(yīng)當(dāng)為這些用戶投資開發(fā)保密而安全的解決方案,而不是給他們安全訪問互聯(lián)網(wǎng)的過程制造困難?!?/p>
評論