許多互聯網用戶會信任網頁瀏覽器對某一網站是否安全的判斷。然而從2016年1月1日開始,一小部分用戶將無法再用上這一功能,而數千萬用戶可能將無法訪問某些網站。
這是由于所謂的“SHA-1日落”。未來一年,對許多網站來說,SHA-1或更老的加密算法將不再符合信息安全的可信級別。根據互聯網性能和信息安全公司CloudFlare的一項研究,多達3700萬用戶將無法訪問這些網站。
出現這一問題的根源在于,證書簽名散列算法將進行一次常規升級。這一升級由互聯網瀏覽器廠商協會決定,但可能影響發展中市場的大量移動設備。這些設備將只能訪問不需要安全協議的網站。
加密、認證和算法
Tripwire IT安全和風險策略負責人蒂姆·埃爾林(Tim Erlin)對這一問題進行了解釋。
當網站連接瀏覽器時,雙方會收發數據。在加密流程中,網站和瀏覽器會進入一次會話。在會話時,雙方會協商采用加密的安全機制,而每次會話采用的密碼均不同。
埃爾林表示,其中部分協商的結果是采用雙方都能理解的最復雜的加密方式。他表示:“黑客會試圖破解加密算法。在被破解后,黑客能很容易監聽你的會話。由于總是有很多黑客試圖破解加密系統,因此算法也需要不斷升級。”
目前,許多網站都會默認啟用https安全連接。用戶無需采取任何操作就可以實現會話的加密,防止被黑客監聽。埃爾林表示,對于明年的升級,只要用戶使用了最新版瀏覽器,那么就會自動升級至至少SHA-2的加密級別。
中國等市場受影響
然而,較老版本的系統和瀏覽器,例如Windows XP,將不支持升級至最新的加密級別。此外,更復雜的加密需要更強大的計算性能。因此許多較老的移動設備,尤其是發展中國家用戶使用的移動設備,將無法處理安全連接。
因此,對于一些已使用5年的手機,在訪問某些網站時將會看到錯誤信息,即網站未提供不加密版本。
根據CloudFlare的研究,在西歐和北美,已有99%的設備支持SHA-2級別的加密。然而在中國、喀麥隆、也門、蘇丹、埃及和利比亞,有近5%用戶使用的互聯網瀏覽器不支持SHA-2。
CloudFlare聯合創始人馬修·普林斯(Matthew Prince)表示:“當美國用戶賣掉自己的舊手機時,這些手機常常會流入發展中國家。而目前,許多這些手機將無法再訪問加密的互聯網。”
CloudFlare估計,全球不支持SHA-2的設備總數相當于加州的總人口。
該公司表示:“不幸的是,這類人群與全球最貧窮、戰亂最嚴重的國家有所重疊。換句話說,在12月31日之后,這些用戶將無法再訪問加密的互聯網,但實際上他們也是最需要加密技術的人群。如果我們希望將互聯網服務帶給下一個20億用戶,那么他們中的很多人將會通過二手Android手機上網。因此這一問題很難在短時間內得到解決。”
科技公司間的爭議
Facebook首席信息安全官埃里克斯·斯塔莫斯(Alex Stamos)表示,由于對SHA-2的支持造成了許多限制,因此科技公司目前也在討論,如何在信息安全和技術普及兩方面做好平衡。
在停止支持較老的加密技術方面,谷歌表現得非常積極。而普林斯表示,阿里巴巴正在確保,其網站能支持較老版本的加密技術。
他表示:“隨著未來幾年計算機的運行速度越來越快,我們必須繼續擺脫較老的標準,轉向新標準。你會發現,一些用戶會把舊手機升級至新手機。但很明顯,在敘利亞等地,用戶不可能立即前往運營商商店購買新手機。敘利亞有超過4%的用戶將無法訪問加密網絡。”
盡管Facebook認為,升級加密技術是必要的,但斯塔莫斯對升級的方式表示了擔憂。他也承認,許多人不贊同Facebook的臨時解決辦法:啟用傳統認證方式的一種新類型。
他表示:“我們認為,不應切斷數千萬用戶訪問加密互聯網的通道,尤其考慮到,這只是因為他們的設備不支持SHA-256。許多舊設備的用戶都來自發展中國家,而他們才剛剛接入互聯網。我們應當為這些用戶投資開發保密而安全的解決方案,而不是給他們安全訪問互聯網的過程制造困難。”
京公網安備 11010502049343號