时间:2024-05-04
Cynthia Brumfield 徐盛华
由于政府对数据的监控,电子前线基金会(EFF)正朝着利用技术和记分卡加密所有互联网流量的目标迈进。
如果有一种技术能够最好地保护互联网用户不受骗子、黑客和民族国家威胁的伤害,那就是加密。幸运的是,网络目前正经历着从非安全HTTP格式(网络上所有通信的初始底层协议)到HTTPS的大规模转换,这确保了浏览器和网站之间的通信通过加密是安全的。
努力将加密技术推广到互联网的众多的网站上,电子前线基金会(EFF)比其他任何机构做得都多。EFF的技术项目总监、Jeremy Gillula博士在Shmoocon的一次讲话中说:“十年前,网络基本上没有加密。”
互联网监视促进了加密工作
2006年,一项惊人的进展将加密技术推上了EFF的议事日程。在这年的1月26日,前AT&T技术员Mark Klein不请自来走进了EFF的办公室,带来令人震惊的故事,美国国家安全局在AT&T的旧金山设备中建立了一个秘密间谍室,使其能够访问所有通过AT&T设施的网络流量,甚至可能更多。
为了使这种大规模监视得以实现,美国国家安全局正在收集纯文本内容。对于EFF, 允许美国国家安全局获取纯文本是一个技术问题,Gillula说道。因此,EFF与隐私导向的浏览器开发者Tor项目合作,在2011年推出“HTTPS Everywhere”,作为一个加密用户网络流量的浏览器附加组件。
当EFF推出HTTPS Everywhere时,只有1000个网站使用HTTPS,使用传输层安全性(TLS)对通信进行加密,以对站点进行身份验证,并保护传输中数据的隐私和完整性。2018年8月,在Alexa的上百万网站中,有超过50%的网站都在积极重定向到HTTPS,源自安全研究员Scott Helme。此外,大多数浏览器已经将HTTPS设置为了默认。
另一个惊人的进展促使EFF加速其加密工作。在2013年,爱德华·斯诺登告诉全世界,美国国家安全局一直在监视用户在网上做的每件事。“我们决定根据企业在加密方面的表现给它们评级,” Gillula说,通过公开发表加密网络报告,用具有良好加密技术特征的记分卡矩阵对顶级互联网企业进行了评级。
这种点名羞辱的策略起到了一定作用。“通过把这件事说出来,有几家企业已经开始努力工作,进行全面的检查。”
尽管如此,即使经过这些努力,“长尾巴”的网站依然没有加密。直到2015年,TLS也还没有普及,甚至谷歌也会链接到一个未加密的登录页面。“如果谷歌不能做到这一点,我们怎么能指望普通企业知道如何做到这一点呢?”Gillula问到。 即便是在三年前,建立TLS也是一件乏味、困难和昂贵的事情,要求小型网站按照合同支付外部专家的费用,然后购买昂贵的证书。
EFF, 与密歇根大学和Mozilla一起,建立了一个名为“让我们加密”的免费证书颁发机构,以解决困难并降低网站采用HTTPS的成本。这项工作的目标是通过自动化证书颁发和使证书免费来消除建立TLS和安装HTTPS证书的障碍(现在分拆成了单独的非盈利机构)。
3个新的加密技术
Gillula说,“我们通过上述鞭策办法迫使企业加密,取得了一定成果,但我们依然不满意。我们是希望从web扩展到所有的互联网,”。为了实现这一目标,EFF正致力于三项新技术,以将加密技术深入到互联网基础架构中。
第一种技术是加密服务器名称标识 (SNI)。SNI是TLS协议的扩展,TLS允许多个加密网站通过一个IP地址在同一服务器上运行。它会指明要联系的主机名并以纯文本形式发送,“这可能足以告诉某人我是持不同政见者,因为我要去一个持不同政见的网站,”Gillula说。
解决方案就是加密SNI,它允许用户的客户端和服务器通过不受信任的通道生成共享加密密钥,以禁止对用户想连接的网站标识进行识别。但即便使用了加密的SNI,攻击者仍然可以查看现有域名系统(DNS)上的未加密域名。解决方案当然就是DNS加密。
有两个方案正在研发中,以实现DNS加密:DNS over HTTPS (DoH)和DNS over TLS (DoT)。DNS over HTTPS是通过HTTPS协议执行远程DNS解析的协议。DNS over TLS是一种通过TLS协议加密和包装域名系统查询和回答的方法。
DoH的优势是不容易审查, Gillula说。缺点是网络运营商很难监控恶意活动。对于DoT来说正好相反: 网络运营商更容易监控恶意活动,但也更容易受到审查机构的审查。“哪一种方法更好,EFF还没有得出结论,”Gillula说。
加密的SNI和加密的DNS在网站上处理更高安全性的文件,但是老式的、长期不安全的电子邮件呢?“电子邮件是互联网的蟑螂。当奇点来临时,蜂巢思维会通过电子邮件进行沟通,因为电子邮件不会消亡,”Gillula开玩笑说。
STARTTLS是一个电子邮件协议命令,它向电子邮件服务器发送一个信号,说明电子邮件客户端希望将不安全的连接转换为安全连接。但STARTTLS很容易受到降级攻击,即在该协议下很容易删除这个邮件头信号。现在大多数邮件传输代理(MTA)软件都不验证证书。 “中间攻击者只需在自己的证书上签名,然后说‘我是谷歌,你和我有加密连接就行,”Gillula说。
“这绝非只是理论上说说的,”Gillula说道。“在一些国家,STARTTLS邮件头正在以荒谬的速度被剥离,”比如在突尼斯,有96%的电子邮件就是这么做的。
这个问题的解决方案就是SMTP MTA-STS (邮件传输代理严格运输安全),这使得域名可以选择进入一个严格的TLS模式,该模式要求对有效的公共证书进行身份验证,并配备加密。将这个相对较新的协议发布到偏远地区需要很多步骤,包括确保邮件服务器支持STARTTLS,使用certbots确保邮件服务器可以获取证书,从而使系统管理员能够轻松地接收故障报告,让系统管理员可以轻松发布MTA-STS DNS记录和政策。为了解决这最后一个问题, EFF推出了“STARTTLS Everywhere”,使邮件服务器管理员自动生成MTS记录和证书更加方便,以便在需要时轻松发布。
另一个加密记分卡即将推出
EFF将如何实现这些下一层级的加密呢?“我们很快就要做另一个记分卡了。我们要评估一下现代密码术并且发布一些关于它的东西,”Gillula说道。“如果你是一名安全工程师,那你就有借口说,‘EFF又要开始点名羞辱我们了。”
新的记分卡可能在一个月内问世,也可能在一年內问世。Gillula告诉CSO网络,如果包含加密的SNI、加密的DNS和MTA-STS,它们将只是任何新的EFF组合的记分卡矩阵的一部分。“我们可能还包括其他技术(比如TLS 1.3和HSTS支持),我们还没有最终确定标准。 事实上,根据时间的不同,我提到的三个技术中的一些可能不包括在内,因为其中一些仍然很新。”
EFF对整个互联网进行加密的议程是一项雄心勃勃的计划,特别是其中的技术挑战。“我们有8个软件开发人员正在做所有这些工作,”Gillula说。
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!