下周開(kāi)始數千萬(wàn)用戶(hù)將難以訪(fǎng)問(wèn)加密互聯(lián)網(wǎng)

 許多互聯(lián)網(wǎng)用戶(hù)會(huì )信任網(wǎng)頁(yè)瀏覽器對某一網(wǎng)站是否安全的判斷。未來(lái)一年，對許多網(wǎng)站來(lái)說(shuō)，SHA-1或更老的加密算法將不再符合信息安全的可信級別。根據互聯(lián)網(wǎng)性能和信息安全公司CloudFlare的一項研究，多達3700萬(wàn)用戶(hù)將無(wú)法訪(fǎng)問(wèn)這些網(wǎng)站。

　　出現這一問(wèn)題的根源在于，證書(shū)簽名散列算法將進(jìn)行一次常規升級。這一升級由互聯(lián)網(wǎng)瀏覽器廠(chǎng)商協(xié)會(huì )決定，但可能影響發(fā)展中市場(chǎng)的大量移動(dòng)設備。這些設備將只能訪(fǎng)問(wèn)不需要安全協(xié)議的網(wǎng)站。

　　加密、認證和算法

　　Tripwire IT安全和風(fēng)險策略負責人蒂姆·埃爾林(Tim Erlin)對這一問(wèn)題進(jìn)行了解釋。

　　當網(wǎng)站連接瀏覽器時(shí)，雙方會(huì )收發(fā)數據。在加密流程中，網(wǎng)站和瀏覽器會(huì )進(jìn)入一次會(huì )話(huà)。在會(huì )話(huà)時(shí)，雙方會(huì )協(xié)商采用加密的安全機制，而每次會(huì )話(huà)采用的密碼均不同。

　　埃爾林表示，其中部分協(xié)商的結果是采用雙方都能理解的最復雜的加密方式。他表示：“黑客會(huì )試圖破解加密算法。在被破解后，黑客能很容易監聽(tīng)你的會(huì )話(huà)。由于總是有很多黑客試圖破解加密系統，因此算法也需要不斷升級?！?/p>

　　目前，許多網(wǎng)站都會(huì )默認啟用https安全連接。用戶(hù)無(wú)需采取任何操作就可以實(shí)現會(huì )話(huà)的加密，防止被黑客監聽(tīng)。埃爾林表示，對于明年的升級，只要用戶(hù)使用了最新版瀏覽器，那么就會(huì )自動(dòng)升級至至少SHA-2的加密級別。

　　中國等市場(chǎng)受影響

　　然而，較老版本的系統和瀏覽器，例如Windows XP，將不支持升級至最新的加密級別。此外，更復雜的加密需要更強大的計算性能。因此許多較老的移動(dòng)設備，尤其是發(fā)展中國家用戶(hù)使用的移動(dòng)設備，將無(wú)法處理安全連接。

　　因此，對于一些已使用5年的手機，在訪(fǎng)問(wèn)某些網(wǎng)站時(shí)將會(huì )看到錯誤信息，即網(wǎng)站未提供不加密版本。

　　根據CloudFlare的研究，在西歐和北美，已有99%的設備支持SHA-2級別的加密。然而在中國、喀麥隆、也門(mén)、蘇丹、埃及和利比亞，有近5%用戶(hù)使用的互聯(lián)網(wǎng)瀏覽器不支持SHA-2。

　　CloudFlare聯(lián)合創(chuàng )始人馬修·普林斯(Matthew Prince)表示：“當美國用戶(hù)賣(mài)掉自己的舊手機時(shí)，這些手機常常會(huì )流入發(fā)展中國家。而目前，許多這些手機將無(wú)法再訪(fǎng)問(wèn)加密的互聯(lián)網(wǎng)?！?/p>

　　CloudFlare估計，全球不支持SHA-2的設備總數相當于加州的總人口。

　　該公司表示：“不幸的是，這類(lèi)人群與全球最貧窮、戰亂最嚴重的國家有所重疊。換句話(huà)說(shuō)，在12月31日之后，這些用戶(hù)將無(wú)法再訪(fǎng)問(wèn)加密的互聯(lián)網(wǎng)，但實(shí)際上他們也是最需要加密技術(shù)的人群。如果我們希望將互聯(lián)網(wǎng)服務(wù)帶給下一個(gè)20億用戶(hù)，那么他們中的很多人將會(huì )通過(guò)二手Android手機上網(wǎng)。因此這一問(wèn)題很難在短時(shí)間內得到解決?！?/p>

　　科技公司間的爭議

　　Facebook首席信息安全官埃里克斯·斯塔莫斯(Alex Stamos)表示，由于對SHA-2的支持造成了許多限制，因此科技公司目前也在討論，如何在信息安全和技術(shù)普及兩方面做好平衡。

　　在停止支持較老的加密技術(shù)方面，谷歌(微博)表現得非常積極。而普林斯表示，阿里巴巴正在確保，其網(wǎng)站能支持較老版本的加密技術(shù)。

　　他表示：“隨著(zhù)未來(lái)幾年計算機的運行速度越來(lái)越快，我們必須繼續擺脫較老的標準，轉向新標準。你會(huì )發(fā)現，一些用戶(hù)會(huì )把舊手機升級至新手機。但很明顯，在敘利亞等地，用戶(hù)不可能立即前往運營(yíng)商商店購買(mǎi)新手機。敘利亞有超過(guò)4%的用戶(hù)將無(wú)法訪(fǎng)問(wèn)加密網(wǎng)絡(luò )?！?/p>

　　盡管Facebook認為，升級加密技術(shù)是必要的，但斯塔莫斯對升級的方式表示了擔憂(yōu)。他也承認，許多人不贊同Facebook的臨時(shí)解決辦法：?jiǎn)⒂脗鹘y認證方式的一種新類(lèi)型。

　　他表示：“我們認為，不應切斷數千萬(wàn)用戶(hù)訪(fǎng)問(wèn)加密互聯(lián)網(wǎng)的通道，尤其考慮到，這只是因為他們的設備不支持SHA-256。許多舊設備的用戶(hù)都來(lái)自發(fā)展中國家，而他們才剛剛接入互聯(lián)網(wǎng)。我們應當為這些用戶(hù)投資開(kāi)發(fā)保密而安全的解決方案，而不是給他們安全訪(fǎng)問(wèn)互聯(lián)網(wǎng)的過(guò)程制造困難?！?/p>