压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

在政府對數(shù)據(jù)監(jiān)控的激發(fā)下，電子前沿基金會(huì)（Electronic Frontier Foundation, EFF） 正朝著使用技術(shù)和記分卡加密全網(wǎng)通信的目標(biāo)前進(jìn)。

如果有一種技術(shù)能夠最好地保護(hù)網(wǎng)絡(luò)用戶，免受騙子，黑客和民族國家威脅者的威脅，那就是使用加密。幸運(yùn)的是，互聯(lián)網(wǎng)正在經(jīng)歷從不安全的HTTP格式（所有網(wǎng)絡(luò)通信的初始底層協(xié)議）到HTTPS的大規(guī)模轉(zhuǎn)變，這一轉(zhuǎn)變通過進(jìn)行加密確保了瀏覽器和網(wǎng)站之間的通信安全。

很少有組織機(jī)構(gòu)在將加密技術(shù)應(yīng)用到互聯(lián)網(wǎng)龐雜的網(wǎng)站中付出的貢獻(xiàn)超過電子前沿基金會(huì)（Electronic Frontier Foundation, EFF） 。十年前，網(wǎng)絡(luò)上基本沒有加密，EFF技術(shù)項(xiàng)目總監(jiān)Dr. Jeremy Gillula在一次Schmoocon演講中表示。

網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控激發(fā)了加密工作

2006年，一個(gè)意外的發(fā)展將加密工作推高到了 EFF的日程上。2006年1月26日，前AT&T技術(shù)人員Mark Klein主動(dòng)來到EFF辦公室，帶來了一個(gè)令人震驚的故事——關(guān)于美國國家安全局（National Security Agency，NSA）是如何在AT&T舊金山設(shè)施中建立了一個(gè)秘密監(jiān)控室，來監(jiān)控所有經(jīng)過該設(shè)施的數(shù)據(jù)，甚至可能涉及更多其他AT&T設(shè)施 。

NSA通過搜集明文內(nèi)容得以進(jìn)行大規(guī)模監(jiān)視。Gillula表示對于EFF來說，允許NSA搜集明文內(nèi)容是一個(gè)技術(shù)問題。因此，EFF聯(lián)合了注重隱私瀏覽的開發(fā)方The Thor Project，在2011年發(fā)布了能夠?qū)τ脩艟W(wǎng)絡(luò)活動(dòng)加密的瀏覽器擴(kuò)展“HTTPS Everywhere”。

在EFF發(fā)布HTTPS Everywhere時(shí)，只有1000個(gè)網(wǎng)站在使用HTTPS，即通過安全傳輸層協(xié)議（Transport Layer Security , TLS）對通訊進(jìn)行加密，以驗(yàn)證站點(diǎn)和保護(hù)數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾浴５?018年8月，據(jù)安全研究人員Scott Helme表示，超過50%的Alexa排名前100萬的網(wǎng)站都在使用HTTPS。此外，大部分瀏覽器已經(jīng)將使用HTTPS設(shè)為默認(rèn)值。

另一個(gè)驚人的進(jìn)展促使EFF加速了加密工作。2013年斯諾登（Edward Snowdan）告訴全世界，NSA幾乎監(jiān)視著用戶在網(wǎng)上的一舉一動(dòng)。

對此，Gillula發(fā)布了《網(wǎng)絡(luò)加密報(bào)告》（Encrypting the Web Report），根據(jù)企業(yè)在各個(gè)技術(shù)特征上的得分相加得到的總分，評(píng)選出了加密工作名列前茅的互聯(lián)網(wǎng)公司。

我們決定根據(jù)企業(yè)在加密工作的表現(xiàn)，對它們進(jìn)行評(píng)級(jí)。

公開批評(píng)起到了 作用，“加密工作排名的出現(xiàn)，促使幾家公司努力全面提升自己”。

然而，即使經(jīng)過這些努力，還是有一大批網(wǎng)站并沒有進(jìn)行加密。TLS還沒有像2015年那樣普遍，甚至Google也會(huì)轉(zhuǎn)到?jīng)]有經(jīng)過加密的登錄頁。Gillua表示，如果Google都無法做到這一點(diǎn)，我們怎么能指望普通人能夠發(fā)現(xiàn)正確的做法呢？。即使在3年以前，使用TLS也是一件繁瑣，困難和昂貴的事情，需要小型網(wǎng)站根據(jù)合同支付外部專家相關(guān)費(fèi)用，然后再購買昂貴的證書。

EFF，密歇根大學(xué)和Mozilla，成立了一個(gè)叫Let’s Encrypt的免費(fèi)證書頒發(fā)機(jī)構(gòu)（現(xiàn)已脫離成為其非盈利組織）來解決相關(guān)困難，并降低了站點(diǎn)使用HTTPS的費(fèi)用。這項(xiàng)工作的目標(biāo)是為了通過自動(dòng)頒發(fā)證書和免費(fèi)提供證書來消除使用TLS和HTTPS的障礙。

三種新型加密技術(shù)

隨著Let’s Encrypt成立，EFF也正在投入更多的精力致力研究三種新技術(shù)，來將加密推向互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中。

在我看來，我們真的很棒，但是我們并不滿足于此。我們想要從網(wǎng)絡(luò)擴(kuò)大到整個(gè)互聯(lián)網(wǎng)。

第一項(xiàng)技術(shù)是加密服務(wù)器名稱指示（server name identification, SNI）。SNI是TLS協(xié)議的擴(kuò)展，該協(xié)議下允許多個(gè)加密網(wǎng)站通過相同IP地址在一個(gè)服務(wù)器上運(yùn)行。這個(gè)過程中會(huì)指出要連接的主機(jī)名稱，并以明文形式發(fā)送，

這可能足以告訴某人我是一個(gè)持不同政見的人因?yàn)槲艺L問一個(gè)政見不同的網(wǎng)站。

解決方案是加密SNI，允許用戶的客戶端和服務(wù)器通過不受信任的通道生成共享密鑰，來隱藏用戶正在訪問的網(wǎng)站身份。即使使用加密SNI，攻擊者依然能夠通過DNS查看沒有加密的域名。對應(yīng)的解決方案當(dāng)然是對DNS加密。

有兩個(gè)提案可以實(shí)現(xiàn)DNS加密：DoH（DNS over HTTPS）和DoT （DNS over TLS）。DNS-over-HTTPS是通過HTTPS協(xié)議進(jìn)行遠(yuǎn)程DNS解析的方案。DNS over TLS是通過TLS協(xié)議來加密并打包域名系統(tǒng)請求與應(yīng)答。

DoH的優(yōu)勢是它很難被審查，劣勢則是會(huì)使網(wǎng)絡(luò)運(yùn)營商更難監(jiān)控惡意活動(dòng)。對DoT而言正好相反，它使網(wǎng)絡(luò)運(yùn)營商能夠更容易監(jiān)控惡意活動(dòng)，但是也更容易被審查機(jī)構(gòu)監(jiān)控。Gillula表示：

對于其中哪一個(gè)方案是正確的，EFF還沒有得出結(jié)論。

加密SNI和加密DNS使得網(wǎng)站更加安全，但是陳舊的，長期不安全的電子郵件系統(tǒng)應(yīng)該怎么辦呢？Gillula開玩笑道：電子郵件是互聯(lián)網(wǎng)中不可小覷的問題，當(dāng)奇點(diǎn)來臨時(shí)，蜂巢思維將通過電子郵件進(jìn)行交流，因?yàn)殡娮余]件不會(huì)消亡。

STARTTLS是一個(gè)電子郵件協(xié)議，它向電子郵件服務(wù)器發(fā)出信號(hào)，表明電子郵件客戶端希望將不安全的連接轉(zhuǎn)換為安全連接。STARTTLS容易受到降級(jí)攻擊，并且在該協(xié)議下去掉郵件標(biāo)頭非常容易。目前大部分郵件傳輸代理（mail transfer agent, MTA）軟件并不會(huì)驗(yàn)證證書。中間人只需通過自己簽發(fā)的證書，然后就能說‘我就是Google，你和我有加密連接’”就可以。

這并不是理論上的。在一些國家，STARTTLS下郵件標(biāo)頭正在以驚人的速度被刪除，例如在突尼斯，96%的電子郵件都存在這個(gè)問題。

這個(gè)問題的解決方案是SMTP MTA-STS（Mail Transfer Agent Strict Transport Security），能夠使域名選擇嚴(yán)格的TLS模式，在該模式下需要驗(yàn)證有效的公共證書，并附帶加密。將這個(gè)相對新型的協(xié)議投入使用，需要很多的步驟，包括確保郵件服務(wù)器支持STARTTLS，通過certbots確保郵件服務(wù)器能夠獲取證書，方便系統(tǒng)管理員接收失敗報(bào)告，發(fā)布MTA-STS DNS記錄和政策。為了解決最后一個(gè)問題。EFF啟動(dòng)了“STARTTLS Everywhere”項(xiàng)目，幫助系統(tǒng)管理員輕松自動(dòng)生成MTS記錄和證書，能夠在任何需要的地方輕松進(jìn)行發(fā)布工作。

另一項(xiàng)加密技術(shù)——安全信息記分卡

EFF將如何進(jìn)階到上述級(jí)別的加密中？Gillula表示：

不久后我們會(huì)再做一個(gè)記分卡。我們將對你們的現(xiàn)代密碼學(xué)進(jìn)行評(píng)估，并發(fā)布一些相關(guān)報(bào)告。如果你是一個(gè)安全工程師…說‘EFF正準(zhǔn)備因此羞辱我們’是你的借口。

新的記分卡的推出可能將在一個(gè)月內(nèi)，也可能是在一年內(nèi)。Gillula告訴CSO，如果加密SNI，加密 DNS和加密MTA-STS包含在其中，它們將只是EFF新型記分卡的一部分。

我們可能會(huì)包括其他技術(shù)，例如TLS 1.3和HSTS支持，我們還沒有確定最終標(biāo)準(zhǔn)。實(shí)際上，因?yàn)闀r(shí)間問題，這三種我提到的技術(shù)可能不會(huì)被包括在內(nèi)，因?yàn)橛行┘夹g(shù)還是很新。

EFF加密整個(gè)互聯(lián)網(wǎng)是一個(gè)雄心勃勃的計(jì)劃，特別是考慮到技術(shù)上的挑戰(zhàn)。因?yàn)镚illula曾表示，他們投入了8位軟件開發(fā)人員進(jìn)入到這個(gè)項(xiàng)目中。