精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

隨著證書頒發(fā)機(jī)構(gòu)出現(xiàn)了一些數(shù)據(jù)泄露的問(wèn)題，SSL(安全套接字層)遭遇了圍攻，那是不是該輪到競(jìng)爭(zhēng)對(duì)手協(xié)議IPsec登場(chǎng)了呢?出于安全考慮，一些企業(yè)開始重新考慮IPsec，但與SSL一樣，IPsec同樣依賴于一個(gè)有缺陷的信任模式。

IPsec有一些關(guān)鍵功能，例如支持各種算法和應(yīng)用程序(包括VoIP)，并且提供數(shù)據(jù)包檢查功能。但是作為VPN協(xié)議，IPsec并沒(méi)有真正火過(guò)，這主要源自對(duì)其客戶端因素的擔(dān)憂以及比SSL具有更高的維護(hù)管理成本。即便如此，一些企業(yè)開始重新考慮IPsec，并將其與SSL一起運(yùn)用，以加強(qiáng)安全性。

“我們看到很多人開始轉(zhuǎn)向IPsec，他們看到了IPsec的利與弊，”Americas公司NCP Engineering首席技術(shù)官Rainer Enders表示，該公司同時(shí)銷售SSL和IPsec產(chǎn)品。“IPsec是一套非常強(qiáng)大的協(xié)議。對(duì)于真正高安全的應(yīng)用程序，IPsec更加有用。IPsec通過(guò)其作為安全協(xié)議的設(shè)計(jì)提供了更高的安全性，不是通過(guò)加密類型，而是通過(guò)部署。”

Enders表示IPsec實(shí)際上要比SSL更加安全，部分原因是因?yàn)楹芏郤SL部署仍然運(yùn)行其較舊的TLS協(xié)議。IPsec的密鑰交換協(xié)議更加安全，“從安全技術(shù)角度來(lái)看，IPsec的確更加安全。”

但不要這么快下結(jié)論，安全專家指出，IPsec依賴于與SSL相同的信任模式，而這個(gè)信任模式已經(jīng)崩潰了。

“我認(rèn)為IPsec是一個(gè)完美的協(xié)議，但是我認(rèn)為我們需要想辦法避開一些問(wèn)題，”安全專家Taher Elgamal表示，“如果我們使用IPsec，我們?nèi)匀恍枰褂靡恍┕€基礎(chǔ)設(shè)施。所以如果我們不能解決這個(gè)實(shí)際問(wèn)題，也就是客戶端如何信任服務(wù)器證書的問(wèn)題，那么IPsec將出現(xiàn)與SSL同樣的問(wèn)題。仍然會(huì)出現(xiàn)流氓證書機(jī)構(gòu)，仍然會(huì)有MD5問(wèn)題。”

安全專家Dan Kaminsky同意這個(gè)觀點(diǎn)，“SSL被破壞了，IPsec將無(wú)法修復(fù)它，”Kaminsky表示，“只有當(dāng)我們修復(fù)了SSL，才能夠重新考慮IPsec。”

Kaminsky表示，根本的問(wèn)題在于協(xié)議和加密。密鑰管理問(wèn)題同時(shí)困擾著SSL和IPsec：“IPsec和SSL具有完全相同的密鑰管理問(wèn)題，甚至還多了兩個(gè)問(wèn)題，首先，你需要讓協(xié)議通過(guò)NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)和防火墻。第二，進(jìn)行加密工作的內(nèi)核和與用戶通信的應(yīng)用程序完全無(wú)法好好工作。”

內(nèi)核并不知道找誰(shuí)驗(yàn)證信任，應(yīng)用程序不知道如何向用戶顯示信任，他表示，“IPsec的優(yōu)勢(shì)并不在于它是一個(gè)更好的協(xié)議，而是在于在沒(méi)有應(yīng)用程序集成的情況下，你仍然可以進(jìn)行加密。不過(guò)，你需要非常強(qiáng)大的密鑰管理系統(tǒng)，所以內(nèi)核本身知道該對(duì)什么進(jìn)行加密。”

真實(shí)性和保密性是所有加密系統(tǒng)的關(guān)鍵要素，F(xiàn)idelis Security Systems公司研究和服務(wù)總監(jiān)Will Irace表示，“信任模式出現(xiàn)的問(wèn)題在驗(yàn)證與你通話的人是否是他們自己所聲稱的人。”而IPsec和SSL都依賴于這種有缺陷的信任模式。

解決證書頒發(fā)機(jī)構(gòu)(CA)基礎(chǔ)設(shè)施的問(wèn)題并不簡(jiǎn)單。Moxie Marlinspike開發(fā)出一種名為Convergence的web身份驗(yàn)證模式，使用了公證人作為身份驗(yàn)證的依據(jù)。每個(gè)人都可以選擇公證人，但是公證人主要還是由安全公司和web驗(yàn)證專家組成，公證人將創(chuàng)建網(wǎng)站的SSL證書歷史記錄，并對(duì)其一致性進(jìn)行評(píng)級(jí)。用戶決定是否信任一個(gè)網(wǎng)站，而不是依賴瀏覽器來(lái)做判斷。

IPsec是否會(huì)崛起?“IPsec的優(yōu)勢(shì)在于它內(nèi)置了IPv6，”Fidelis高級(jí)安全威脅研究員Ben Greenbag表示，“當(dāng)企業(yè)碰到IPv6機(jī)制時(shí)，他們已經(jīng)有了內(nèi)置IPv6，可以將其用于保護(hù)內(nèi)部通信。”

Kaminsky表示，DNSSEC也將給IPsec助一把力。“最終DNSSEC將是很多密鑰管理問(wèn)題的解決答案，并且它將重振IPsec。”