【TechTarget中國原創(chuàng)】加密長久以來都是信息安全的基石���,是安全傳輸信息、保護(hù)數(shù)據(jù)完整性以及實(shí)現(xiàn)合規(guī)性的關(guān)鍵�����。
鑒于最近的漏洞事件和所謂的政府間諜�����,人們對于培育一個“無處不在的加密”的互聯(lián)網(wǎng)的興趣不斷增強(qiáng)�。但不是每個人都能夠接受終端到終端的互聯(lián)網(wǎng)加密帶來的弊端���。
呼吁默認(rèn)加密
因特網(wǎng)結(jié)構(gòu)協(xié)會(The Internet Architecture Board, IAB)是互聯(lián)網(wǎng)工程任務(wù)組(IETF)的一個委員會,負(fù)責(zé)監(jiān)督互聯(lián)網(wǎng)標(biāo)準(zhǔn)的開發(fā)過程�����。其上周發(fā)表了一份聲明�,敦促設(shè)計師,開發(fā)商和運(yùn)營商“將加密作為互聯(lián)網(wǎng)流量的規(guī)范”�����。
該聲明由因特網(wǎng)結(jié)構(gòu)協(xié)會(IAB)主席Russ Housley所編寫�,評論各種攻擊變得日益復(fù)雜,認(rèn)為在互聯(lián)網(wǎng)中應(yīng)盡可能地使用加密�����。因特網(wǎng)結(jié)構(gòu)協(xié)會(IAB)指出新的協(xié)議應(yīng)該更要加密明文操作���,加密應(yīng)該在整個協(xié)議棧中進(jìn)行部署�����。不僅如此���,因特網(wǎng)結(jié)構(gòu)協(xié)會(IAB)還敦促設(shè)計師實(shí)施默認(rèn)加密�����。因特網(wǎng)結(jié)構(gòu)協(xié)會(IAB)稱:“實(shí)施這些措施將有助于重建用戶對于互聯(lián)網(wǎng)的信任���。”
實(shí)現(xiàn)數(shù)以百萬計的終端到終端加密
移動通訊廠商WhatsApp公司本周宣布���,已經(jīng)實(shí)現(xiàn)了6億用戶的WhatsApp Messenger應(yīng)用程序終端到終端的加密��。
該公司將使用合作伙伴Open Whisper Systems公司的Textsecure開源軟件對文字和聊天內(nèi)容進(jìn)行加密,包括云端和用戶Android設(shè)備上的數(shù)據(jù)�。無論是WhatsApp還是黑客都無法訪問被保護(hù)設(shè)備上發(fā)送的信息,加密密鑰只有設(shè)備主人才可以訪問并且永遠(yuǎn)不會脫離該設(shè)備����。
根據(jù)Whisper System公司網(wǎng)站上發(fā)布的博客文章可知,目前一些WhatsApp Messenger的部署可能已經(jīng)加密�。Android系統(tǒng)上最新版本的WhatsApp Messenger應(yīng)用程序已經(jīng)包含了TextSecure的內(nèi)嵌支持。雖然尚不支持群聊和媒體消息加密����,但是很快就會實(shí)現(xiàn)�,而且還會為其它的客戶端平臺提供支持��,包括蘋果的iOS系統(tǒng)����,
為所有用戶提供免費(fèi)的數(shù)字證書
一個非盈利的證書頒發(fā)機(jī)構(gòu)周二宣布,計劃提供免費(fèi)的SSL/TLS證書�。Let's Encrypt是電子前哨基金會(the Electronic Frontier Foundation, EFF), Mozilla公司, 思科系統(tǒng)公司(Cisco Systems Inc.), Akamai科技公司, IdenTrust公司以及密歇根大學(xué)的研究人員合作的一個項(xiàng)目,旨在“清除網(wǎng)站從HTTP過渡到HTTPS道路中的剩余路障”�����。
根據(jù)電子前哨基金會(EFF)技術(shù)項(xiàng)目總監(jiān)Peter Eckersley的一篇博客文章可知�,阻礙HTTPS部署最大的挑戰(zhàn)分別是“復(fù)雜,官僚主義和HTTPS證書所需要的資金”���。Let's Encrypt將在明年啟動�����,將讓每個擁有域名的用戶免費(fèi)獲得一個SSL/TLS證書���。該服務(wù)基于一個開放的標(biāo)準(zhǔn),將在服務(wù)器安裝或配置過程中提供自動注冊并自動更新證書。
“加密無處不在”所存在的問題
加密的好處不容否認(rèn)�����,與此同時�,還是有人提出了“加密無處不在”所存在的問題。
Blue Coat Systems公司本月初公布了一份報告����,報告中強(qiáng)調(diào)企業(yè)將面臨實(shí)現(xiàn)加密網(wǎng)絡(luò)流量的可視性和減輕其不良影響等挑戰(zhàn),也就是要增強(qiáng)防御惡意軟件使用加密作為斗篷繞過安全控制����,悄聲無息進(jìn)入系統(tǒng)的能力。
加密的另一個主要弊端是降低存儲性能��。在昨天公布的測試結(jié)果中��,摩托羅拉移動(Motorola Mobility LLC)的Nexu 6設(shè)備由于使用了Android 5.0 Lollipop全磁盤加密��,讀/寫性能降低高達(dá)63%�。谷歌在博客中指出���,使用Lollipop的Android設(shè)備在第一次啟動加密之后不能恢復(fù)到未加密狀態(tài)���,因此用戶會陷入性能降低的困境��。
加密還觸動了執(zhí)法人員的神經(jīng)���。根據(jù)周二華爾街日報(Wall Street Journal )上的一篇文章可知,美國司法部(U.S. Department of Justice)并不認(rèn)為廣泛使用加密是一個保護(hù)隱私的積極舉動��,反而阻礙刑事調(diào)查���。因?yàn)楣?yīng)商和服務(wù)商將不再有機(jī)會訪問到客戶的數(shù)據(jù)�,執(zhí)法部門將無法獲得一些關(guān)鍵的犯罪證據(jù)�。美國司法部副總檢察長James M. Cole說,如果公安部門不能訪問一個電話的數(shù)據(jù)�����,這可能會導(dǎo)致一個孩子的死亡��。然而��,蘋果公司稱這種情況為“炎癥反應(yīng)(inflammatory)”��,并認(rèn)為司法部門可以從別處獲得同樣的信息�。
在因特網(wǎng)結(jié)構(gòu)協(xié)會(IAB)的博客中,Housley承認(rèn)加密的確存在潛在的弊端。他說:“現(xiàn)在的許多網(wǎng)絡(luò)運(yùn)營行為����,從流量管理和入侵檢測到垃圾郵件防御和策略執(zhí)行,明文加載都沒有使用加密�。針對很多行為目前都沒有解決方法,但是因特網(wǎng)結(jié)構(gòu)協(xié)會(IAB)將研究受感染的行為����,替這些愿意遷移到默認(rèn)加密網(wǎng)絡(luò)的行為找到新的發(fā)展方法?���!?/p>
不過,對于“加密無處不在”仍舊有人持懷疑態(tài)度�,包括認(rèn)證機(jī)構(gòu)和加密限制的安全問題,以及如何讓其更適合作為縱深防御(defense-in-depth)戰(zhàn)略的一部分����。
其它聯(lián)系性事件:
? 研究顯示,超過半數(shù)的英國公司會考慮聘請黑客或有犯罪記錄的人以提高信息安全�����。這項(xiàng)由畢馬威會計師事務(wù)所(KPMG)所開展的調(diào)查結(jié)果顯示����,74%的企業(yè)認(rèn)為新的網(wǎng)絡(luò)安全挑戰(zhàn)需要新的技能;64%的企業(yè)認(rèn)為網(wǎng)絡(luò)安全技術(shù)和傳統(tǒng)的IT技能不同��;與此同時����,57%的企業(yè)發(fā)現(xiàn)招募和留住專業(yè)的網(wǎng)絡(luò)安全人員很難。畢馬威會計師事務(wù)所(KPMG)網(wǎng)絡(luò)安全研究院的負(fù)責(zé)人Serena Gonsalves-Fersch在一份新聞稿中表示���,公司從來不會聘請扒手作保安����,所以對于雇用黑客來防護(hù)網(wǎng)絡(luò)安全這個決定需要三思����。Gonsalves-Fersch說:“與其依靠黑客分享他們的秘密,企業(yè)更需要利用自己的網(wǎng)絡(luò)防御能力來填補(bǔ)他們自己具體安全需求的空白區(qū)����。”
? 11月12日和13日在東京舉辦的2014移動Pwn2Own大賽中��,只有一個移動設(shè)備經(jīng)受住了全面的入侵:Lumia 1520 Windows Phone�����。根據(jù)主辦方惠普公司的一篇博客文章可知,該設(shè)備部分被感染��,一個黑客成功地潛入了cookie數(shù)據(jù)庫����。然而,沙箱挺住了以致黑客無法獲得系統(tǒng)的完全控制權(quán)���。大賽的第一天����,無論是基于iOS系統(tǒng)的蘋果手機(jī)��,還是基于Android系統(tǒng)的谷歌設(shè)備都被入侵了����。惠普零日倡議立即發(fā)布了受感染企業(yè)的漏洞以便整治�。
? 英國隱私監(jiān)督信息專員辦公室(Information Commissioner's Office, ICO)早先發(fā)布了一篇博客,博客中提醒了使用攝像頭的用戶��,黑客可能利用他們的攝像頭來窺探他們��。俄羅斯的一個黑客網(wǎng)站顯示了成千上萬的網(wǎng)絡(luò)攝像頭是使用網(wǎng)絡(luò)上可找到的默認(rèn)證書來訪問提要。SearchSecurity選擇不公布該網(wǎng)站���,聲稱這是為了凸顯安防監(jiān)控系統(tǒng)更改默認(rèn)密碼的重要性。信息專員辦公室(ICO)在其博客中呼吁用戶更改他們的密碼�,檢查他們的網(wǎng)絡(luò)攝像頭和互聯(lián)網(wǎng)路由器的安全設(shè)置,并確??赡茉L問互聯(lián)網(wǎng)的家庭和辦公室的其他設(shè)備的安全。
