技术的发展似乎每年都在加速。但总是有一个落后者:加密。为什么是从容不迫的速度?因为一个小小的错误就能切断交流或使企业倒闭。
然而,有时你盘点一下数据,却发现加密领域似乎一夜之间就发生了变化。现在是时候了。尽管这些变化在过去几年中一直在增加,但其净效果是显著的。
在爱德华·斯诺登(Edward Snowden)披露美国政府庞大的监控机构后不久,一些变化就开始了。德克萨斯大学奥斯汀分校(University of Texas at Austin)副教授布伦特•沃特斯(Brent Waters)表示,其他一些密码是密码思想进入市场的自然结果。沃特斯也是计算机械协会(Association for Computing Machinery) 2015年葛瑞丝•默里•霍珀奖(Grace Murray Hopper Award)得主。
沃特斯说:“现有的许多新工具和应用都是基于2005年和2006年的研究创新。”。“我们刚刚意识到什么类型的加密功能是可能的。”
向加密世界又迈进了一步
加密的web通信是实现更安全的在线世界的第一步,在这个世界中,攻击者无法拦截私人通信、金融交易或一般的在线活动。包括谷歌和Facebook在内的许多网站都默认为所有用户开启了HTTPS。但是,对于大多数域所有者来说,购买和部署SSL/TLS证书以保护站点的流量是一项昂贵而复杂的工作。
幸运的是,让我们加密而其免费的SSL/TLS证书改变了这一局面,使域名拥有者能够轻松地为其网站打开HTTPS。互联网安全研究组织Let's Encrypt是一家由互联网安全研究组织运营的非盈利认证机构,它得到了诸如Mozilla、Electronic Frontier Foundation、Cisco和Akamai等互联网重量级公司的支持。
+同样在网络世界:足球竞猜app软件2017年科技的未来+
HTTPS变得有多普遍?10月,Let's Encrypt的负责人、前Mozilla员工Josh Aas发布了一个来自Mozilla遥测的图表显示当天加载的页面中有50%使用的是HTTPS,而不是HTTP。虽然该图只显示了Firefox用户,但这个数字仍然很重要,因为加密页面的数量第一次超过了未加密页面的数量。NSS实验室预计这一趋势将持续下去,预计到2019年,75%的网络流量将被加密。
免费提供证书将进一步加速采用。关键管理公司Venafi负责安全策略和威胁情报的副总裁凯文·博切克(Kevin Bocek)表示,到明年,公开发行的可信任免费证书数量可能会超过付费证书的数量。许多企业也将开始使用免费服务。由于不再考虑证书成本,证书颁发机构将集中精力使用更好的工具来安全地管理证书并保护其密钥。
谈到证书管理,经过多年的警告,SHA-1证书很弱,容易受到攻击,企业正在稳步向使用SHA-2的证书升级,这套加密哈希函数继承了过时的sha - 1算法。包括谷歌、Mozilla和微软在内的主要浏览器厂商已承诺在今年年初弃用SHA-1,并开始封锁仍在使用旧证书的网站。Facebook停止服务SHA-1Facebook的生产工程师沃伊切赫·沃伊蒂尼亚克(Wojciech Wojtyniak)写道,他们在Facebook上建立了联系,但没有看到“明显的影响”。
2016年5月至10月web上SHA-1的使用下降了从3.5%到少于1%,这是由Firefox遥测系统测量的。然而,企业不能自满,因为Venafi最近的估计显示,大约有6000万个网站仍然依赖于google不安全加密算法。
沃伊蒂尼亚克说:“我们期待着该行业朝着更多地使用像SHA-256这样更强大的证书的方向发展。”。
密码仍然是王道
密码学在过去的几个月里受到了相当大的打击,研究人员开发了密码攻击,如淹死,如果服务器支持SSLv2,则可用于解密用户和服务器之间的TLS连接,以及甜心32,一种方法攻击加密网络连接通过产生大量的网络流量。
民族国家行为体也有加密技术。去年年底,瞻博网络在其防火墙和虚拟专用网络设备的特定模型中植入了被发现的间谍代码。许多专家认为美国国家安全局参与了此事。
今年夏天,在据称属于美国国家安全局(NSA)的黑客工具进入地下市场后不久,思科发现其IOS、IOS XE和IOS XR软件存在一个漏洞,这些软件为思科的许多网络设备提供了支持。思科表示,该漏洞可能被用于从设备内存中提取敏感信息,与工具所利用的漏洞类似,与操作系统如何处理vpn密钥交换协议有关。
就连苹果的iMessage应用程序,公司如何将端到端加密技术带给大众的典范,也有自己的问题。约翰霍普金斯大学的密码学教授马修格林和他的学生团队开发了一种实用的自适应选择密文攻击,可以在特定情况下解密iMessage有效载荷和附件。研究小组还发现,iMessage缺乏前向保密机制,这意味着攻击者可以解密先前加密的消息,例如存储在iCloud中的消息。前向保密通过在一段时间后生成一个新密钥来工作,这样即使攻击者获得了原始密钥,先前加密的消息也不会被破解。
尽管有这么多坏消息,有一件事仍然很清楚:密码学没有被破坏。加密计算背后的数学原理依然强大,加密仍然是保护信息的最佳方法。
“最近的攻击不是针对数学,而是针对实施,”沃特斯说。
事实上,加密技术非常有效,以至于攻击者也依赖它。犯罪分子同样能够获得密钥和证书,将他们的活动隐藏在加密的通信流中。事实上,这种攻击载体正迅速成为网络罪犯的默认行为,“几乎抵消了增加更多加密的整个目的,”Bocek说。
网络罪犯在勒索软件中使用加密技术取得了很大的效果。一旦文件被加密,受害者要么付钱获取密钥,要么清除他们的系统并重新启动。正如攻击者瞄准有缺陷的实现一样,安全研究人员已经成功开发了用于勒索软件变体的解密工具,这些变体的加密代码中包含错误。
政府在后门上让步
技术公司一直必须在安全和隐私问题与用户信息的执法要求之间取得平衡。联邦调查局局长詹姆斯·科米一直在大力推动使用加密技术产品的后门,声称加密技术使用的增加阻碍了刑事调查。虽然公司经常悄悄地配合执法和情报部门的要求,但FBI和苹果说明近年来,企业开始推倒重来。
联邦调查局在这场斗争中让步了,成立了一个由众议院司法委员会和能源与商业委员会组成的两党国会工作组来研究加密问题。这个众议院司法委员会的加密工作组毫不含糊地拒绝了科米的后门要求,并建议美国探索其他解决方案。2020欧洲杯夺冠热门
“任何削弱加密的措施都会损害国家利益。工作组写道在报告中。“国会不能阻止国内外的不良行为者采用加密技术。因此,各委员会应探讨其他战略,以满足执法界的需要。”
该工作组警告称,削弱加密技术,使警方能够侵入加密设备,将加快刑事调查,但这将是“与对国家利益的长期影响”的短期胜利。另一种策略包括赋予执法部门法律手段,迫使嫌疑人解锁其设备,并改进元数据收集和分析。
虽然工作组的报告表明国会不会寻求法律后门,但其他与加密相关的战斗正在逼近。这份报告似乎支持让警察利用“合法黑客”利用只有执法部门和情报部门知道的软件漏洞入侵产品,这会带来自身的安全隐患。科技行业有兴趣在发现漏洞后立即了解这些漏洞,而不是让政府在没有监督的情况下囤积这些漏洞。
至于科米“走向黑暗”的说法,工作组表示,“挑战似乎更类似于‘走向斑点’。”
添加到企业技术堆栈中
加密通信公司Silent Circle联合创始人兼董事长迈克•詹克(Mike Janke)表示,多年来,各国政府一直在鼓吹恐怖分子“走向黑暗”的论调,并将永远利用这些担忧。改变的是,企业越来越重视保护通信堆栈的安全,也越来越不愿意在这些功能上妥协。
许多组织对前美国国家安全局合同工爱德华·斯诺登曝光的政府监控项目的规模感到震惊。他们的反应是将安全的视频和文本消息工具以及加密的语音呼叫集成到企业通信堆栈中,Janke说。随着企业询问可用的特性和功能,加密现在是技术对话中更大的一部分。它不再把加密作为一项额外付费的附加功能,而是作为每一个与之合作的产品和平台的必备功能。
消费者对监控项目感到愤怒,坊间证据显示,许多人已经注册了WhatsApp和Signal等加密通讯应用。但在大多数情况下,他们不会花钱购买安全产品,也不会改变自己的行为,让隐私成为他们日常生活中更大的一部分。
这个变化来自于CSOs、工程副总裁和其他技术企业领导人,因为他们处于为他们的产品和服务做出安全和隐私决策的最前沿。现在,特斯拉的每一个内部组件都有了数字签名的加密密钥,这就更容易问电视制造商或玩具制造商,“你为什么不这样做?”扬克说。
当企业改变其对加密重要性的看法时,消费者将从默认内置的加密中受益。
乘着创新的浪潮
密码学趋向于大行其道,从2005年到2006年的重要创新和研究终于作为实际应用出现。研究人员目前正在研究提高“加密的精确性”,而不是目前的“全或无”模型,即如果有东西被曝光,所有东西都会被泄露“Encrpytion可以像手术刀一样精确,对信息进行细粒度的控制,”沃特斯说。
谷歌在使用神经网络的实验中研究了密码学。最近,其谷歌大脑该团队创建了两个人工智能系统,它们能够创建自己的密码算法,以便对试图主动解密算法的第三个人工智能实例保密。
量子计算的出现也将推动新的研究途径。美国国家标准与技术研究所(National Institute of Standards and Technology)在一份公告中写道:“如果建造大规模量子计算机,它们将能够破解目前使用的许多公钥密码系统。”。一旦这些机器被广泛使用,“这将严重损害互联网和其他地方数字通信的机密性和完整性。”
为应对这种情况,NIST正在征集“新的公钥密码标准”的工作,该标准将“规定一个或多个额外的非保密、公开披露的数字签名、公钥加密和密钥建立算法,这些算法能够在可预见的未来很好地保护敏感的政府信息,包括量子计算机的出现。“提交截止日期是2017年11月30日,但NIST承认,这项工作需要数年时间才能测试和提供,并指出“从历史上看,部署我们的现代公钥密码基础设施已经花了近20年时间。”
NIST说:“不管我们能否估计量子计算时代到来的确切时间,我们现在必须开始准备我们的信息安全系统,以便能够抵御量子计算。”。
密码学已经有了许多有趣的进步,但是很可能要过几年才能被企业it部门使用,谁知道它们将采取什么形式。密码学的未来预示着更高的安全性。好消息是我们现在已经体验到了一些好处。
这个故事,“加密在2016年:小胜利加起来”最初发表于信息世界 。