下周開始數(shù)千萬用戶將難以訪問加密互聯(lián)網(wǎng)

 許多互聯(lián)網(wǎng)用戶會(huì)信任網(wǎng)頁瀏覽器對(duì)某一網(wǎng)站是否安全的判斷。未來一年，對(duì)許多網(wǎng)站來說，SHA-1或更老的加密算法將不再符合信息安全的可信級(jí)別。根據(jù)互聯(lián)網(wǎng)性能和信息安全公司CloudFlare的一項(xiàng)研究，多達(dá)3700萬用戶將無法訪問這些網(wǎng)站。

　　出現(xiàn)這一問題的根源在于，證書簽名散列算法將進(jìn)行一次常規(guī)升級(jí)。這一升級(jí)由互聯(lián)網(wǎng)瀏覽器廠商協(xié)會(huì)決定，但可能影響發(fā)展中市場的大量移動(dòng)設(shè)備。這些設(shè)備將只能訪問不需要安全協(xié)議的網(wǎng)站。

　　加密、認(rèn)證和算法

　　Tripwire IT安全和風(fēng)險(xiǎn)策略負(fù)責(zé)人蒂姆·埃爾林(Tim Erlin)對(duì)這一問題進(jìn)行了解釋。

　　當(dāng)網(wǎng)站連接瀏覽器時(shí)，雙方會(huì)收發(fā)數(shù)據(jù)。在加密流程中，網(wǎng)站和瀏覽器會(huì)進(jìn)入一次會(huì)話。在會(huì)話時(shí)，雙方會(huì)協(xié)商采用加密的安全機(jī)制，而每次會(huì)話采用的密碼均不同。

　　埃爾林表示，其中部分協(xié)商的結(jié)果是采用雙方都能理解的最復(fù)雜的加密方式。他表示：“黑客會(huì)試圖破解加密算法。在被破解后，黑客能很容易監(jiān)聽你的會(huì)話。由于總是有很多黑客試圖破解加密系統(tǒng)，因此算法也需要不斷升級(jí)。”

　　目前，許多網(wǎng)站都會(huì)默認(rèn)啟用https安全連接。用戶無需采取任何操作就可以實(shí)現(xiàn)會(huì)話的加密，防止被黑客監(jiān)聽。埃爾林表示，對(duì)于明年的升級(jí)，只要用戶使用了最新版瀏覽器，那么就會(huì)自動(dòng)升級(jí)至至少SHA-2的加密級(jí)別。

　　中國等市場受影響

　　然而，較老版本的系統(tǒng)和瀏覽器，例如Windows XP，將不支持升級(jí)至最新的加密級(jí)別。此外，更復(fù)雜的加密需要更強(qiáng)大的計(jì)算性能。因此許多較老的移動(dòng)設(shè)備，尤其是發(fā)展中國家用戶使用的移動(dòng)設(shè)備，將無法處理安全連接。

　　因此，對(duì)于一些已使用5年的手機(jī)，在訪問某些網(wǎng)站時(shí)將會(huì)看到錯(cuò)誤信息，即網(wǎng)站未提供不加密版本。

　　根據(jù)CloudFlare的研究，在西歐和北美，已有99%的設(shè)備支持SHA-2級(jí)別的加密。然而在中國、喀麥隆、也門、蘇丹、埃及和利比亞，有近5%用戶使用的互聯(lián)網(wǎng)瀏覽器不支持SHA-2。

　　CloudFlare聯(lián)合創(chuàng)始人馬修·普林斯(Matthew Prince)表示：“當(dāng)美國用戶賣掉自己的舊手機(jī)時(shí)，這些手機(jī)常常會(huì)流入發(fā)展中國家。而目前，許多這些手機(jī)將無法再訪問加密的互聯(lián)網(wǎng)。”

　　CloudFlare估計(jì)，全球不支持SHA-2的設(shè)備總數(shù)相當(dāng)于加州的總?cè)丝凇?/p>

　　該公司表示：“不幸的是，這類人群與全球最貧窮、戰(zhàn)亂最嚴(yán)重的國家有所重疊。換句話說，在12月31日之后，這些用戶將無法再訪問加密的互聯(lián)網(wǎng)，但實(shí)際上他們也是最需要加密技術(shù)的人群。如果我們希望將互聯(lián)網(wǎng)服務(wù)帶給下一個(gè)20億用戶，那么他們中的很多人將會(huì)通過二手Android手機(jī)上網(wǎng)。因此這一問題很難在短時(shí)間內(nèi)得到解決。”

　　科技公司間的爭議

　　Facebook首席信息安全官埃里克斯·斯塔莫斯(Alex Stamos)表示，由于對(duì)SHA-2的支持造成了許多限制，因此科技公司目前也在討論，如何在信息安全和技術(shù)普及兩方面做好平衡。

　　在停止支持較老的加密技術(shù)方面，谷歌(微博)表現(xiàn)得非常積極。而普林斯表示，阿里巴巴正在確保，其網(wǎng)站能支持較老版本的加密技術(shù)。

　　他表示：“隨著未來幾年計(jì)算機(jī)的運(yùn)行速度越來越快，我們必須繼續(xù)擺脫較老的標(biāo)準(zhǔn)，轉(zhuǎn)向新標(biāo)準(zhǔn)。你會(huì)發(fā)現(xiàn)，一些用戶會(huì)把舊手機(jī)升級(jí)至新手機(jī)。但很明顯，在敘利亞等地，用戶不可能立即前往運(yùn)營商商店購買新手機(jī)。敘利亞有超過4%的用戶將無法訪問加密網(wǎng)絡(luò)。”

　　盡管Facebook認(rèn)為，升級(jí)加密技術(shù)是必要的，但斯塔莫斯對(duì)升級(jí)的方式表示了擔(dān)憂。他也承認(rèn)，許多人不贊同F(xiàn)acebook的臨時(shí)解決辦法：啟用傳統(tǒng)認(rèn)證方式的一種新類型。

　　他表示：“我們認(rèn)為，不應(yīng)切斷數(shù)千萬用戶訪問加密互聯(lián)網(wǎng)的通道，尤其考慮到，這只是因?yàn)樗麄兊脑O(shè)備不支持SHA-256。許多舊設(shè)備的用戶都來自發(fā)展中國家，而他們才剛剛接入互聯(lián)網(wǎng)。我們應(yīng)當(dāng)為這些用戶投資開發(fā)保密而安全的解決方案，而不是給他們安全訪問互聯(lián)網(wǎng)的過程制造困難。”