電子前沿基金會(EFF)計劃加密整個互聯網
作者:星期三, 二月 27, 20190

在政府對數據監控的激發下,電子前沿基金會(Electronic Frontier Foundation, EFF) 正朝著使用技術和記分卡加密全網通信的目標前進。

如果有一種技術能夠最好地保護網絡用戶,免受騙子,黑客和民族國家威脅者的威脅,那就是使用加密。幸運的是,互聯網正在經歷從不安全的HTTP格式(所有網絡通信的初始底層協議)到HTTPS的大規模轉變,這一轉變通過進行加密確保了瀏覽器和網站之間的通信安全。

很少有組織機構在將加密技術應用到互聯網龐雜的網站中付出的貢獻超過電子前沿基金會(Electronic Frontier Foundation, EFF) 。十年前,網絡上基本沒有加密,EFF技術項目總監Dr. Jeremy Gillula在一次Schmoocon演講中表示。

網絡數據監控激發了加密工作

2006年,一個意外的發展將加密工作推高到了 EFF的日程上。2006年1月26日,前AT&T技術人員Mark Klein主動來到EFF辦公室,帶來了一個令人震驚的故事——關于美國國家安全局(National Security Agency,NSA)是如何在AT&T舊金山設施中建立了一個秘密監控室,來監控所有經過該設施的數據,甚至可能涉及更多其他AT&T設施 。

NSA通過搜集明文內容得以進行大規模監視。Gillula表示對于EFF來說,允許NSA搜集明文內容是一個技術問題。因此,EFF聯合了注重隱私瀏覽的開發方The Thor Project,在2011年發布了能夠對用戶網絡活動加密的瀏覽器擴展“HTTPS Everywhere”。

在EFF發布HTTPS Everywhere時,只有1000個網站在使用HTTPS,即通過安全傳輸層協議(Transport Layer Security , TLS)對通訊進行加密,以驗證站點和保護數據傳輸的保密性和完整性。到2018年8月,據安全研究人員Scott Helme表示,超過50%的Alexa排名前100萬的網站都在使用HTTPS。此外,大部分瀏覽器已經將使用HTTPS設為默認值。

另一個驚人的進展促使EFF加速了加密工作。2013年斯諾登(Edward Snowdan)告訴全世界,NSA幾乎監視著用戶在網上的一舉一動。

對此,Gillula發布了《網絡加密報告》(Encrypting the Web Report),根據企業在各個技術特征上的得分相加得到的總分,評選出了加密工作名列前茅的互聯網公司。

我們決定根據企業在加密工作的表現,對它們進行評級。

公開批評起到了 作用,“加密工作排名的出現,促使幾家公司努力全面提升自己”。

然而,即使經過這些努力,還是有一大批網站并沒有進行加密。TLS還沒有像2015年那樣普遍,甚至Google也會轉到沒有經過加密的登錄頁。Gillua表示,如果Google都無法做到這一點,我們怎么能指望普通人能夠發現正確的做法呢?。即使在3年以前,使用TLS也是一件繁瑣,困難和昂貴的事情,需要小型網站根據合同支付外部專家相關費用,然后再購買昂貴的證書。

EFF,密歇根大學和Mozilla,成立了一個叫Let’s Encrypt的免費證書頒發機構(現已脫離成為其非盈利組織)來解決相關困難,并降低了站點使用HTTPS的費用。這項工作的目標是為了通過自動頒發證書和免費提供證書來消除使用TLS和HTTPS的障礙。

三種新型加密技術

隨著Let’s Encrypt成立,EFF也正在投入更多的精力致力研究三種新技術,來將加密推向互聯網基礎設施中。

在我看來,我們真的很棒,但是我們并不滿足于此。我們想要從網絡擴大到整個互聯網。

第一項技術是加密服務器名稱指示(server name identification, SNI)。SNI是TLS協議的擴展,該協議下允許多個加密網站通過相同IP地址在一個服務器上運行。這個過程中會指出要連接的主機名稱,并以明文形式發送,

這可能足以告訴某人我是一個持不同政見的人因為我正要訪問一個政見不同的網站。

解決方案是加密SNI,允許用戶的客戶端和服務器通過不受信任的通道生成共享密鑰,來隱藏用戶正在訪問的網站身份。即使使用加密SNI,攻擊者依然能夠通過DNS查看沒有加密的域名。對應的解決方案當然是對DNS加密。

有兩個提案可以實現DNS加密:DoH(DNS over HTTPS)和DoT (DNS over TLS)。DNS-over-HTTPS是通過HTTPS協議進行遠程DNS解析的方案。DNS over TLS是通過TLS協議來加密并打包域名系統請求與應答。

DoH的優勢是它很難被審查,劣勢則是會使網絡運營商更難監控惡意活動。對DoT而言正好相反,它使網絡運營商能夠更容易監控惡意活動,但是也更容易被審查機構監控。Gillula表示:

對于其中哪一個方案是正確的,EFF還沒有得出結論。

加密SNI和加密DNS使得網站更加安全,但是陳舊的,長期不安全的電子郵件系統應該怎么辦呢?Gillula開玩笑道:電子郵件是互聯網中不可小覷的問題,當奇點來臨時,蜂巢思維將通過電子郵件進行交流,因為電子郵件不會消亡。

STARTTLS是一個電子郵件協議,它向電子郵件服務器發出信號,表明電子郵件客戶端希望將不安全的連接轉換為安全連接。STARTTLS容易受到降級攻擊,并且在該協議下去掉郵件標頭非常容易。目前大部分郵件傳輸代理(mail transfer agent, MTA)軟件并不會驗證證書。中間人只需通過自己簽發的證書,然后就能說‘我就是Google,你和我有加密連接’”就可以。

這并不是理論上的。在一些國家,STARTTLS下郵件標頭正在以驚人的速度被刪除,例如在突尼斯,96%的電子郵件都存在這個問題。

這個問題的解決方案是SMTP MTA-STS(Mail Transfer Agent Strict Transport Security),能夠使域名選擇嚴格的TLS模式,在該模式下需要驗證有效的公共證書,并附帶加密。將這個相對新型的協議投入使用,需要很多的步驟,包括確保郵件服務器支持STARTTLS,通過certbots確保郵件服務器能夠獲取證書,方便系統管理員接收失敗報告,發布MTA-STS DNS記錄和政策。為了解決最后一個問題。EFF啟動了“STARTTLS Everywhere”項目,幫助系統管理員輕松自動生成MTS記錄和證書,能夠在任何需要的地方輕松進行發布工作。

另一項加密技術——安全信息記分卡

EFF將如何進階到上述級別的加密中?Gillula表示:

不久后我們會再做一個記分卡。我們將對你們的現代密碼學進行評估,并發布一些相關報告。如果你是一個安全工程師…說‘EFF正準備因此羞辱我們’是你的借口。

新的記分卡的推出可能將在一個月內,也可能是在一年內。Gillula告訴CSO,如果加密SNI,加密 DNS和加密MTA-STS包含在其中,它們將只是EFF新型記分卡的一部分。

我們可能會包括其他技術,例如TLS 1.3和HSTS支持,我們還沒有確定最終標準。實際上,因為時間問題,這三種我提到的技術可能不會被包括在內,因為有些技術還是很新。

EFF加密整個互聯網是一個雄心勃勃的計劃,特別是考慮到技術上的挑戰。因為Gillula曾表示,他們投入了8位軟件開發人員進入到這個項目中。

相關閱讀

為什么谷歌對HTTPS的愛將永久改變互聯網

是時候使用HTTPS了!利大于弊的六大因素

 

分享:
0

相關文章

寫一條評論

 

 

0條評論