在政府对数据监控的激发下,电子前沿基金会(Electronic Frontier Foundation, EFF) 正朝着使用技术和记分卡加密全网通信的目标前进。
如果有一种技术能够最好地保护网络用户,免受骗子,黑客和民族国家威胁者的威胁,那就是使用加密。幸运的是,互联网正在经历从不安全的HTTP格式(所有网络通信的初始底层协议)到HTTPS的大规模转变,这一转变通过进行加密确保了浏览器和网站之间的通信安全。
很少有组织机构在将加密技术应用到互联网庞杂的网站中付出的贡献超过电子前沿基金会(Electronic Frontier Foundation, EFF) 。十年前,网络上基本没有加密,EFF技术项目总监Dr. Jeremy Gillula在一次Schmoocon演讲中表示。
网络数据监控激发了加密工作
2006年,一个意外的发展将加密工作推高到了 EFF的日程上。2006年1月26日,前AT&T技术人员Mark Klein主动来到EFF办公室,带来了一个令人震惊的故事——关于美国国家安全局(National Security Agency,NSA)是如何在AT&T旧金山设施中建立了一个秘密监控室,来监控所有经过该设施的数据,甚至可能涉及更多其他AT&T设施 。
NSA通过搜集明文内容得以进行大规模监视。Gillula表示对于EFF来说,允许NSA搜集明文内容是一个技术问题。因此,EFF联合了注重隐私浏览的开发方The Thor Project,在2011年发布了能够对用户网络活动加密的浏览器扩展“HTTPS Everywhere”。
在EFF发布HTTPS Everywhere时,只有1000个网站在使用HTTPS,即通过安全传输层协议(Transport Layer Security , TLS)对通讯进行加密,以验证站点和保护数据传输的保密性和完整性。到2018年8月,据安全研究人员Scott Helme表示,超过50%的Alexa排名前100万的网站都在使用HTTPS。此外,大部分浏览器已经将使用HTTPS设为默认值。
另一个惊人的进展促使EFF加速了加密工作。2013年斯诺登(Edward Snowdan)告诉全世界,NSA几乎监视着用户在网上的一举一动。
对此,Gillula发布了《网络加密报告》(Encrypting the Web Report),根据企业在各个技术特征上的得分相加得到的总分,评选出了加密工作名列前茅的互联网公司。
我们决定根据企业在加密工作的表现,对它们进行评级。
公开批评起到了 作用,“加密工作排名的出现,促使几家公司努力全面提升自己”。
然而,即使经过这些努力,还是有一大批网站并没有进行加密。TLS还没有像2015年那样普遍,甚至Google也会转到没有经过加密的登录页。Gillua表示,如果Google都无法做到这一点,我们怎么能指望普通人能够发现正确的做法呢?。即使在3年以前,使用TLS也是一件繁琐,困难和昂贵的事情,需要小型网站根据合同支付外部专家相关费用,然后再购买昂贵的证书。
EFF,密歇根大学和Mozilla,成立了一个叫Let’s Encrypt的免费证书颁发机构(现已脱离成为其非盈利组织)来解决相关困难,并降低了站点使用HTTPS的费用。这项工作的目标是为了通过自动颁发证书和免费提供证书来消除使用TLS和HTTPS的障碍。
三种新型加密技术
随着Let’s Encrypt成立,EFF也正在投入更多的精力致力研究三种新技术,来将加密推向互联网基础设施中。
在我看来,我们真的很棒,但是我们并不满足于此。我们想要从网络扩大到整个互联网。
第一项技术是加密服务器名称指示(server name identification, SNI)。SNI是TLS协议的扩展,该协议下允许多个加密网站通过相同IP地址在一个服务器上运行。这个过程中会指出要连接的主机名称,并以明文形式发送,
这可能足以告诉某人我是一个持不同政见的人因为我正要访问一个政见不同的网站。
解决方案是加密SNI,允许用户的客户端和服务器通过不受信任的通道生成共享密钥,来隐藏用户正在访问的网站身份。即使使用加密SNI,攻击者依然能够通过DNS查看没有加密的域名。对应的解决方案当然是对DNS加密。
有两个提案可以实现DNS加密:DoH(DNS over HTTPS)和DoT (DNS over TLS)。DNS-over-HTTPS是通过HTTPS协议进行远程DNS解析的方案。DNS over TLS是通过TLS协议来加密并打包域名系统请求与应答。
DoH的优势是它很难被审查,劣势则是会使网络运营商更难监控恶意活动。对DoT而言正好相反,它使网络运营商能够更容易监控恶意活动,但是也更容易被审查机构监控。Gillula表示:
对于其中哪一个方案是正确的,EFF还没有得出结论。
加密SNI和加密DNS使得网站更加安全,但是陈旧的,长期不安全的电子邮件系统应该怎么办呢?Gillula开玩笑道:电子邮件是互联网中不可小觑的问题,当奇点来临时,蜂巢思维将通过电子邮件进行交流,因为电子邮件不会消亡。
STARTTLS是一个电子邮件协议,它向电子邮件服务器发出信号,表明电子邮件客户端希望将不安全的连接转换为安全连接。STARTTLS容易受到降级攻击,并且在该协议下去掉邮件标头非常容易。目前大部分邮件传输代理(mail transfer agent, MTA)软件并不会验证证书。中间人只需通过自己签发的证书,然后就能说‘我就是Google,你和我有加密连接’”就可以。
这并不是理论上的。在一些国家,STARTTLS下邮件标头正在以惊人的速度被删除,例如在突尼斯,96%的电子邮件都存在这个问题。
这个问题的解决方案是SMTP MTA-STS(Mail Transfer Agent Strict Transport Security),能够使域名选择严格的TLS模式,在该模式下需要验证有效的公共证书,并附带加密。将这个相对新型的协议投入使用,需要很多的步骤,包括确保邮件服务器支持STARTTLS,通过certbots确保邮件服务器能够获取证书,方便系统管理员接收失败报告,发布MTA-STS DNS记录和政策。为了解决最后一个问题。EFF启动了“STARTTLS Everywhere”项目,帮助系统管理员轻松自动生成MTS记录和证书,能够在任何需要的地方轻松进行发布工作。
另一项加密技术——安全信息记分卡
EFF将如何进阶到上述级别的加密中?Gillula表示:
不久后我们会再做一个记分卡。我们将对你们的现代密码学进行评估,并发布一些相关报告。如果你是一个安全工程师…说‘EFF正准备因此羞辱我们’是你的借口。
新的记分卡的推出可能将在一个月内,也可能是在一年内。Gillula告诉CSO,如果加密SNI,加密 DNS和加密MTA-STS包含在其中,它们将只是EFF新型记分卡的一部分。
我们可能会包括其他技术,例如TLS 1.3和HSTS支持,我们还没有确定最终标准。实际上,因为时间问题,这三种我提到的技术可能不会被包括在内,因为有些技术还是很新。
EFF加密整个互联网是一个雄心勃勃的计划,特别是考虑到技术上的挑战。因为Gillula曾表示,他们投入了8位软件开发人员进入到这个项目中。
本文来源:安全牛
发表评论: