压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

一個多月前，哈薩克斯坦開始要求其公民在瀏覽器中安裝政府的公共根密鑰。政府通過本國互聯(lián)網(wǎng)供應(yīng)商 (ISP)， 要求用戶必須安裝該根密鑰才可訪問互聯(lián)網(wǎng)。

此舉似乎是想通過中間人攻擊來截獲和竊聽網(wǎng)絡(luò)通信。如果攻擊者控制有瀏覽器網(wǎng)絡(luò)連接中一方或多方的公共根密鑰，也就是說處于觀察者地位的一方擁有可以解密安全通信的密鑰，那么中間人攻擊將變得極其容易。

如此一來，政府機構(gòu)就可以解密用戶的 HTTPS 流量，捕獲其內(nèi)容，重新加密，再發(fā)送給接收者。事實上，僅僅是擁有加密對話其中一方的密鑰，就已經(jīng)能夠開放整個數(shù)據(jù)流以供竊聽了。換句話說，即便沒有安裝該公共根密鑰，或者采取了 VPN 等額外預(yù)防措施的通信參與方，依然會陷入監(jiān)視之中。

而且，沒有什么好方法可供用戶分辨什么時候遭遇了此類監(jiān)視；實際上，這類監(jiān)視活動很可能是徹徹底底的秘密行動。

主要目標(biāo)

此類監(jiān)視活動的主要目標(biāo)猜都能猜到：政敵、激進(jìn)人士、記者和其他熱衷言論自由及政治的人。畢竟，哈薩克斯坦歷史上也是經(jīng)歷過動亂的：自 1991 年從蘇聯(lián)獨立出來之后，哈薩克斯坦便一直處于努爾蘇丹·納扎爾巴耶夫 (Nursultan Nazarbayev) 總統(tǒng)的統(tǒng)治之下，直到 2019 年 3 月政權(quán)交由贏得 2019 年 6 月大選的卡塞姆·托卡耶夫 (Kassym-Jomart Tokayev) 執(zhí)掌。

納扎爾巴耶夫執(zhí)政時期，哈薩克斯坦曾試圖以同樣的手段控制私密通信。2016 年，該國向主流瀏覽器申請，將其作為可信公共證書頒發(fā)機構(gòu)，納入瀏覽器根存儲中。當(dāng)時，該根存儲權(quán)限未能獲批，其中部分原因就在于對終端用戶而言弊大于利。

盡管如此，哈薩克斯坦一直在努力監(jiān)視其國民。2019 年 7 月 17 日，政府發(fā)表官方聲明稱，公共根證書 “旨在增強對公民、政府機構(gòu)和私營公司的保護，避免遭遇黑客攻擊、互聯(lián)網(wǎng)詐騙和其他類型的網(wǎng)絡(luò)威脅”。隨后，當(dāng)?shù)?ISP 開始引導(dǎo)客戶安裝政府的根證書。

某些情況下，中間人監(jiān)測也可以是出于好意且接受度高的。比如說，企業(yè)防火墻可能查看出入站通信，確保其中不含有惡意軟件，或防止機密信息外流。同樣，瀏覽器上的私密根也未必不好。公司可以要求其防火墻內(nèi)的瀏覽器，在其使用自簽名 CA 的私密根上，信任自身網(wǎng)頁，允許用戶加密訪問的同時，防止外部攻擊者創(chuàng)建危險的副本以執(zhí)行欺騙。

PKI 武器化

然而，大規(guī)模監(jiān)視的情況卻不好說。與檢測和嚇阻欺詐不同，此類大范圍監(jiān)視更有可能被用作查找和監(jiān)視當(dāng)權(quán)者認(rèn)為危險的個人。在政治艱難的環(huán)境中，這有可能給言論自由和政治行動自由帶來真實威脅。

截止目前，Chrome、Firefox 和 Safari 這世界三大瀏覽器，已決意封禁哈薩克斯坦政府的根證書。2019 年 8 月 21 日開始，如果檢測到 Web 流量是以被封根證書加密的，這些瀏覽器將會顯示出錯信息。該威脅只能在瀏覽器層面上解決，迫使瀏覽器進(jìn)入考慮如何管理器可信根存儲的新領(lǐng)域。采取封禁立場，顯示出谷歌、蘋果和 Mozilla 不僅僅是中立的技術(shù)提供商，還有一份保障自身技術(shù)產(chǎn)品使用方式的社會責(zé)任感。

哈薩克斯坦嘗試攻擊本國國民的舉動倒是前所未見。但凡取得成功，必會有其他政府采用同樣的戰(zhàn)術(shù)針對自身民眾。鑒于哈薩克斯坦持續(xù)嘗試在加密通信中插入其根證書，廣大互聯(lián)網(wǎng)用戶需警惕此類政府對 PKI 基礎(chǔ)設(shè)施的武器化。