中關村在線原創在過年期間,讓人震驚的棱鏡門事件再度發酵。愛德華斯諾登透露,美英的安全部門竊取了荷蘭SIM卡制造商Gemalto的信息,獲得了密鑰。這意味著被竊取用戶的移動通信不再安全。今天我們就來簡單的說說,在我們訪問互聯網這個行為過程中,誰在保護我們的信息安全,我們應該用什么樣的方法與策略保護自己?
棱鏡門再度發酵
今年的奧斯卡最佳紀錄片,頒發給了《第四公民》。這是一部記錄棱鏡門爆料者愛德華斯諾登的紀錄片。棱鏡門暴露了美國等國的情報機構通過各種手段來獲取公民信息的事件,一時間輿論沸騰。因為斯諾登的爆料透露,情報機構獲得信息的手段很多是非法的。在法制社會,必須依照法律辦事,安全情報機構也不能例外。
這次泄漏的是sim卡秘鑰,國內的三大運營商,也是gemalto的客戶……
這不禁讓我們產生了憂慮:一直標榜法律健全的美國尚且如此,在國內,我們的個人隱私信息被泄漏再正常不過了。我們每個有手機的人,都有被各種騷擾電話打擾的經歷,車主更是苦不堪言,每到保險續費的時候各種騷擾電話非常多。
我們要通過自己的努力讓自己變得更安全
在新聞里面,內部人員販賣信息獲利、獲刑的案子很多。作為一個普通的個體,我們沒什么辦法來保障這種內鬼的泄漏,我們只能從自己做起,保障我們的信息安全。這其中最關鍵的,就是加密。而開頭所說的,情報機構竊取的正是加密的秘鑰。我們個人應該用更安全的方式來保護自己。
誰對加密貢獻最大?
互聯網剛剛開始流行的時代,要追溯到上世紀末期。當時正是軟件、互聯網走向公眾的高速發展階段。但是這時候即使在美國,法律也是真空的。當時網絡犯罪已經開始出現,當時就有人復制手機卡盜打電話。于是在1990年,美國特勤局開展了一場針對黑客等行為的Operation Sundevil。在那個時候,不受限制或者說法律支持的搜查在美國很常見,這些行動的受害者意識到,政府的認知混亂導致了他們的自由受到了威脅,于是成立了電子前哨基金會,也叫做EFF這個組織。之前我在介紹深網的文章中就介紹過,這個組織給TOR項目提供了后續的經費。創建者在《罪與罰》一文當中,認為他們創立的組織“為教育、游說和訴訟與網上言論相關的領域以及關于憲法進入網絡空間的擴充籌集和支付經費。”
歷史性的判決:讓加密算法可以“出口”,這也是今天我們可以使用各種加密手段的法律基礎
當然,EFF對今天互聯網安全的貢獻可不僅僅是這一點點。EFF打過的最有名的官司,是辛迪科恩主導的“伯恩斯坦訴美國政府(Bernstein v. United States)”。這個案子的來歷很有趣:我們都知道冷戰,冷戰催生了很多新技術,這在我們之前的文章,介紹DARPA這個機構有所提及。當時美國的法律就規定,不允許把很多技術出口,以防“東方陣營”的國家得到這些技術,而加密技術正是其中之一。
丹尼爾伯恩斯坦,現在伊利諾伊大學教授數學
1995年,當時還是加州伯克利學生的伯恩斯坦起訴美國政府,他當時在讀數學博士,但是美國政府禁止他把一個名為Snuffle的加密系統發布到互聯網上,他在這個軟件的描述文件里面介紹了加密的算法源代碼。這成為了一系列案件,最終在1999年,美國第九巡回上述法院判決美國聯邦政府的加密技術禁止出口禁令違反了美國憲法。
現在能加密的設備非常多
這個判決意義深遠。今天我們的手機上也有指紋加密,更不要說需要加密傳輸的各種網站,比如銀行、支付寶等等需要的HTTPS傳輸。當然我們并不能說如果伯恩斯坦訴美國政府敗訴,我們就沒加密技術可用,但是這個案子保障了我們今天大量普及的加密技術,基本都是源自美國的,這些加密的算法原理甚至源代碼,現在也并不罕見,它推動了互聯網的安全。
情懷、OpenSSL及Https
羅永浩把發布會的門票收入一股腦的捐獻給了OpenSSL。這個事情讓很多人知道了還有一個組織(OpenSSL其實是企業,并非組織),用很少的收入保障全球的信息安全。
使用加密傳輸的銀行https網站
很多人甚至很少注意自己連接到的網站網址,到底是Http還是https,這其中的差別其實非常大,因為后者,傳輸的信息是加密的,即使截獲了也沒什么用,與明文傳輸的http不是一碼事。當然,OpenSSL也出過heartbleed事件,導致用戶的信息泄密。
OpenSSL是最常用的,但是1.0.1的版本曾經出過漏洞
在美國,如果給非盈利的組織捐款,是可以抵稅的。但是OpenSSL不是,其注冊為一個公司。而且SSL這種方式也不止一個OpenSSL,比如谷歌就發展了自己的分支BoringSSL。
個人認為,對加密這種保護隱私的方式起到最核心關鍵作用的,還是EFF推動的伯恩斯坦訴美國政府,否則今天的各種加密機制未必會如此健全。
加密了就一定靠譜嗎?
在電影中,我們總能看到很多黑客幾秒鐘破譯密碼的畫面。這在現實中出現的機會其實不大,入侵還是靠漏洞或是木馬程序來的更容易,破解密碼太難。但是加密了就萬無一失了嗎?顯然不是。
黑客顯然沒有電影描述的神通廣大
在剛有WiFi的時代,當時采用的加密技術稱之為WEP,也就是無線網加密協議(Wireless Encrypt Protocol,也叫無線等效加密,Wired Equivalent Privacy)。這種加密方式的弱點就是,如果對方有足夠的耐心抓足夠多的數據包,就可以把RC4加密的秘鑰破解出來。所以WEP很快就被WPA說取代,今天的WiFi已經很少有用WEP加密的了。
WEP加密的WiFi很容易就能破解
另外一個不太靠譜的加密方式是RSA加密,這種加密技術的原理淺顯的說是兩個大質數的乘積。其768位加密慘遭因式分解如下:
1230186684530117755130494958384962720772853569595334792197322452151726400507263657518745202199786469389956474942774063845925192557326303453731548268507917026122142913461670429214311602221240479274737794080665351419597459856902143413= 3347807169895689878604416984821269081770479498371376856891 2431388982883793878002287614711652531743087737814467999489× 3674604366679959042824463379962795263227915816434308764267 6032283815739666511279233373417143396810270092798736308917
RSA算法的SecurID在銀行等領域應用最多,現在一般都要求2048位的RSA加密
所以目前認為RSA1024位以下的加密都不太安全,高級些的一般都要求2048位加密,因為理論上要破解2048位加密,對于今天的技術和算法來說需要的計算量實在太大。如果數學足夠牛,能夠依靠算法快速的得到大數的因式分解,任何RSA加密都是透明的,這是這種算法在數學理論上的挑戰。但是RSA加密的產品應用還是很廣泛的,就目前來看也足夠安全,比如非常多銀行的隨機密碼令牌環就是使用的RSA SecurID加密……
保護安全的辦法有哪些?
最近幾年,總有泄漏事件,因為很多網站的用戶名、密碼是明文保存的,被拖庫之后,大量的用戶名密碼泄漏……而對于別有用心的人來說,還可以用撞庫的方式,用泄漏的A網站的用戶名密碼數據庫去嘗試登陸網站BCDEDF……因為很多人,包括筆者本人,都是習慣了一個用戶名,相同的密碼用來登陸很多網站,可能結果就是一個網站ID失竊,多個網站的登陸信息一起遭殃。
和支付相關的網站設立獨立密碼,是起碼的覺悟
因此,我們需要針對不同的網站,最好使用不同的ID和密碼,這樣才能不至于一個網站被拖庫,尤其是支付寶、騰訊QQ等軟件,起碼要用與眾不同的密碼,到現在還有不少盜取QQ密碼對好友進行話費詐騙的。
更進一步呢?EFF在棱鏡門事件之后,推出了一個網站,叫做粉碎棱鏡,這上面有很多免費軟件……并且是多平臺的,從手機到PC,常見的平臺都有。
反棱鏡的網站,有很多不錯的軟件與應用
當然,軟件只是手段,更重要的還是人的意識。這其中的關鍵是,遠離中國人做的應用,原因不多解釋,大家都懂,在軟件環境上,蘋果AppStore嚴格的審查制度,要比安卓的各種分發渠道好太多。比如最近幾天炒作的比較兇的某應用,是通過把大量的WiFi密碼保存、共享的方式實現所謂的免費WiFi,這是一種相當危險的方式,一旦你家里的WiFi密碼被共享出去,就意味著其它有這個應用的人,可以隨便進入你家的WiFi,更進一步,他對你家庭網絡和PC做些手腳,你可能也不知道。
京公網安備 11010502049343號