对重要的网络流量进行无处不在的加密会发生吗?一组研究人员将在下个月Usenix安全研讨会他们会谈论一项技术吗可以使端到端加密TCP流量的默认,而不是例外。
团体,由主要是斯坦福大学研究人员,将谈论一个称为tcpcrypt的TCP扩展。该组织表示,tcpcrypt在传输层实现,保护遗留应用程序,并提供与遗留TCP堆栈和中间件的向后兼容性。
该技术还提供了一个与应用层身份验证集成的钩子,极大地避免了应用程序加密自己的网络流量的需要,并最大限度地减少了对特性重复的需要。最后,tcpcrypt最小化了服务器上密钥协商的成本;使用tcpcrypt的服务器可以以36倍的速率接受连接SSL研究人员在他们的研究报告中写道纸.
该组织称通过使用所谓的不对称公共公钥密码,在没有会话缓存的情况下,服务器每秒可以接受并服务约20,000个tcpcrypt连接。使用缓存甚至可以实现更高的速率。数据传输速率也不是问题;根据他们的论文,加密和完整性保护可以在没有2008年硬件支持的情况下以几千兆比特/秒的速度完成。
“最新的集成了AES指令的英特尔cpu甚至更快——tcpcrypt在双核i5桌面上使用AES-UMAC可以达到9Gb/s,这意味着6核i5服务器应该可以处理10Gb/s。这些结果表明,tcpcrypt对绝大多数应用程序的影响应该可以忽略不计。
“这项工作的主要贡献不是表现,尽管这是一个先决条件。没有新的密码原语,协议也不是特别新颖。其主要贡献在于以正确的方式将理解良好的组件组合在一起,以允许机会加密的快速和通用部署,然后提供正确的钩子,以鼓励创新和部署更好、更合适的应用程序级身份验证。这种将传输层安全与应用层身份验证相结合的能力很大程度上消除了应用程序对自身网络流量进行加密的需求,从而最大限度地减少了功能的重复。”
那么,为什么更多的流量不被加密呢?研究人员提出了以下原因:
- 用户不关心。
- 配置复杂,收益小。
- 应用程序编写人员没有动机。
- 除关键流量外,加密和密钥引导都过于昂贵,无法执行。
- 标准的协议解决方案不能很好地匹配这个问题。
该小组接着表示,他们认为这些观点要么是不正确的,要么可以用成熟的技术直接解决。应用程序编写人员的动机很少:加密对应用程序是否成功几乎没有影响。做好它是一件非常困难且耗时的事情,并不能帮助开发者在市场上投入更多时间,并且开发者也面临着巨大的业务压力。对于服务器运营商来说,这个过程也可能很乏味。人们不使用SSL的一个原因是X.509证书对于服务器管理员和用户(如果服务器管理员没有从知名的根CA购买证书)来说都是一种轻微的痛苦。”
端到端加密是在野外保护数据的理想方式之一。最近哈特兰支付系统在那次毁灭性事件发生后,该公司发誓将开发基于自身和商户之间端到端加密的新安全设备,以防止此类事件再次发生。
IBM英国政府推出了一种安全设备,称该设备可以保护网上银行,防止网络犯罪分子即使在一台受损的电脑上进行欺诈性转账。IBM技术称为区域可信信息通道(ZTIC),是一种UBS设备,它使用X.509基于证书的加密建立一个与银行服务器相连的可信通道,银行服务器通常处理资金转账和支付请求,以确保这些请求是真实的。
在Twitter上关注迈克尔·库尼:nwwlayer8
层8额外
看看其他的热门故事:
这里没有iPhone缓冲器,NASA翻新了历史上900万磅的火星天线