正如今年早些時候可信賴的第三方Comodo遭到安全突破顯示的那樣,第三方也是不可靠的。但是,研究人員正在為SSL開發新的不容易被攻破的信任模式。
卡耐基梅隆大學的一個團隊提出一個名為“Perspectives”(視角)的建議。專門研究隱私、匿名和計算機安全的實驗室Institute for Disruptive Studies的研究員Moxie Marlinspike提出了名為“Convergence”(融合)的第二個建議。
他們提出的方案有些類似,要求把SSL保護的web服務的身份識別從瀏覽器和憑證認證中心轉移到一個稱作公證人的新的實體。
過去,當一個瀏覽器要與一臺服務器建立一個SSL進程的時候,它要求那臺服務器擁有SSL證書。瀏覽器通過檢查那臺服務器是否擁有瀏覽器信任的最高憑證管理中心簽署的證書來驗證那個證書的身份。在實踐中,瀏覽器也許直接依靠最高憑證管理中心擔保的其它憑證認證中心。
這就產生了一個從最高憑證管理中心到他們信任的認證中心的信任鏈。
如果這個信任鏈中的任何一個環節遭到破壞,攻擊者就能為網站獲取假冒的證書。這些非法的證書就能夠用于欺騙瀏覽器信任它們。這就能夠為中間人攻擊建立瀏覽器至服務器之間的通訊。
這是Comodo公司被攻破的情況。在那次攻擊中,它的一個可信賴的合作伙伴發布了9個電話證書。
采用“Perspectives”和“Convergence”的方案,而不是依靠與瀏覽器一起發布的憑證認證中心和最高憑證管理中心,信任放在一個公證人身上。公證人是例行性檢查和記錄Web服務器展示什么證書的服務器。
當一個瀏覽器收到一臺服務器發來的證書時,它不要求證實這個證書是與一個最高憑證管理中心有關聯。相反,它詢問一個公證人這個證書與這臺服務器過去一段時間定期發布的證書是否匹配。如果是匹配的,那就表明它是那個網站的合法的證書。
卡耐基梅隆大學計算機科學系副教授、"Perspectives"項目負責人大衛·安德遜(David Andersen)稱,這種信任模式的不利方面是不依賴于小的憑證認證中心。他說,你不要把雞蛋都放在一個籃子里。我們管理所有的“Perspectives”公證人。因此,你最終將信任我們。
因此,安德遜希望在全面部署的架構中,谷歌、微軟、雅虎和Verizon等大公司以及小公司和個人會建立公證人。公證人可以共享他們收集的數據。只要他們同意,那個網站就是好的。你可以信任這個累計的結果。用戶可得到一個證書身份的統計學和概率性的驗證。
Marlinspike稱,這個架構為最終用戶提供了信任的靈活性。這個靈活性就是在任何時候把他最初對一個的信任轉移到其他人的能力。根據當前的系統,信任是最高憑證管理中心瀏覽器支持的東西確定的。這個預先確定的信任鎖定在瀏覽器和憑證認證中心直接,不允許撤銷。
Marlinspike的“Convergence”架構創建一個公證人轉播,不讓任何一個公證人知道誰在要求驗證一個指定證書的身份以及這個證書將發給什么網站。
這個轉播功能注入了安德遜感到滿意的隱私水平。他說,公證人B只能看到公證人A,因此,它看不到什么客戶在詢問什么網站的事情。同樣,公證人A只能看到客戶提出請求,而看不到它在詢問什么網站。
安德遜稱,目前,“Perspectives”只為3萬用戶提供服務。很大比例的用戶在互聯網上進行SSL證書檢查。要取代當前的SSL身份識別系統需要一個擁有數百臺公證人服務器的全球網絡連接到DNS服務器網絡。但是,要求它們執行的任務是簡單的,并且需要的服務器數量不夠。
Axway公司CTO和SSL的創建者之一塔希爾·蓋莫爾(Taher Elgamal)承認,身份識別是SSL應用中的一個弱點。在創建SSL的時候,身份識別并不是主要的重點。但是,他說,公證人系統是獨家代理可信任的第三方的憑證認證中心的一個改進。
蓋莫爾稱,信任要做得更好有些事情需要改變。我能需要建立一個社區,說這些是不是可以信賴的。
因為公證人模式需要全球部署基礎設施,實際的推出是一個重大的項目。這個項目的規模非常大,因為這是16年后的事情。
京公網安備 11010502049343號