互联网工程指导委员会(IETF)于上周发布了正式版的 TLS
1.3,增强了网络加密连接的安全性。TLS 1.3
是对加密技术的重大更新,从根本上改变了服务和网站处理执行加密服务的方式。

在政府对数据监控的激发下,电子前沿基金会(Electronic Frontier
Foundation, EFF) 正朝着使用技术和记分卡加密全网通信的目标前进。

图片 1

IETF 还在

图片 2

如果有一种技术能够最好地保护互联网用户不受骗子、黑客和民族国家威胁的伤害,那就是加密。幸运的是,网络目前正经历着从非安全HTTP格式到HTTPS的大规模转换,这确保了浏览器和网站之间的通信通过加密是安全的。

因为 SNI
让网络第三方审查者无法知道客户端访问的真实域名,也就无法屏蔽它们认为非法的网站。而
TLS 1.2 下的 SNI 有漏洞,允许审查者区分“真”“假”服务器。TLS 1.3 下的 SNI
修正了这个问题,允许 VPN 服务和 Tor 匿名网络利用 Google、Amazon 或
Microsoft 的服务器绕过审查。不过目前看来,Google 和 Amazon
的云服务不支持域前置(domain fronting),只有微软的 Azure 支持该服务。

如果有一种技术能够最好地保护网络用户,免受骗子,黑客和民族国家威胁者的威胁,那就是使用加密。幸运的是,互联网正在经历从不安全的HTTP格式(所有网络通信的初始底层协议)到HTTPS的大规模转变,这一转变通过进行加密确保了浏览器和网站之间的通信安全。

努力将加密技术推广到互联网的众多的网站上,电子前线基金会比其他任何机构做得都多。EFF的技术项目总监、Jeremy
Gillula博士在Shmoocon的一次讲话中说:“十年前,网络基本上没有加密。”

参考:Solidot

很少有组织机构在将加密技术应用到互联网庞杂的网站中付出的贡献超过电子前沿基金会(Electronic
Frontier Foundation, EFF)
。十年前,网络上基本没有加密,EFF技术项目总监Dr. Jeremy
Gillula在一次Schmoocon演讲中表示。

互联网监视促进了加密工作

网络数据监控激发了加密工作

2006年,一项惊人的进展将加密技术推上了EFF的议事日程。在这年的1月26日,前ATT技术员Mark
Klein不请自来走进了EFF的办公室,带来令人震惊的故事,美国国家安全局在ATT的旧金山设备中建立了一个秘密间谍室,使其能够访问所有通过ATT设施的网络流量,甚至可能更多。

2006年,一个意外的发展将加密工作推高到了
EFF的日程上。2006年1月26日,前AT&T技术人员Mark
Klein主动来到EFF办公室,带来了一个令人震惊的故事——关于美国国家安全局(National
Security
Agency,NSA)是如何在AT&T旧金山设施中建立了一个秘密监控室,来监控所有经过该设施的数据,甚至可能涉及更多其他AT&T设施

为了使这种大规模监视得以实现,美国国家安全局正在收集纯文本内容。对于EFF,
允许美国国家安全局获取纯文本是一个技术问题,Gillula说道。因此,EFF与隐私导向的浏览器开发者Tor项目合作,在2011年推出“HTTPS
Everywhere”,作为一个加密用户网络流量的浏览器附加组件。

NSA通过搜集明文内容得以进行大规模监视。Gillula表示对于EFF来说,允许NSA搜集明文内容是一个技术问题。因此,EFF联合了注重隐私浏览的开发方The
Thor Project,在2011年发布了能够对用户网络活动加密的浏览器扩展“HTTPS
Everywhere”。

当EFF推出HTTPS
Everywhere时,只有1000个网站使用HTTPS,使用传输层安全性对通信进行加密,以对站点进行身份验证,并保护传输中数据的隐私和完整性。2018年8月,在Alexa的上百万网站中,有超过50%的网站都在积极重定向到HTTPS,源自安全研究员Scott
Helme。此外,大多数浏览器已经将HTTPS设置为了默认。

在EFF发布HTTPS
Everywhere时,只有1000个网站在使用HTTPS,即通过安全传输层协议(Transport
Layer Security ,
TLS)对通讯进行加密,以验证站点和保护数据传输的保密性和完整性。到2018年8月,据安全研究人员Scott
Helme表示,超过50%的Alexa排名前100万的网站都在使用HTTPS。此外,大部分浏览器已经将使用HTTPS设为默认值。

另一个惊人的进展促使EFF加速其加密工作。在2013年,爱德华·斯诺登告诉全世界,美国国家安全局一直在监视用户在网上做的每件事。“我们决定根据企业在加密方面的表现给它们评级,”
Gillula说,通过公开发表加密网络报告,用具有良好加密技术特征的记分卡矩阵对顶级互联网企业进行了评级。这种点名羞辱的策略起到了一定作用。“通过把这件事说出来,有几家企业已经开始努力工作,进行全面的检查。”

另一个惊人的进展促使EFF加速了加密工作。2013年斯诺登(Edward
Snowdan)告诉全世界,NSA几乎监视着用户在网上的一举一动。

尽管如此,即使经过这些努力,“长尾巴”的网站依然没有加密。直到2015年,TLS也还没有普及,甚至谷歌也会链接到一个未加密的登录页面。“如果谷歌不能做到这一点,我们怎么能指望普通企业知道如何做到这一点呢?”Gillula问到。即便是在三年前,建立TLS也是一件乏味、困难和昂贵的事情,要求小型网站按照合同支付外部专家的费用,然后购买昂贵的证书。

对此,Gillula发布了《网络加密报告》(Encrypting the Web
Report),根据企业在各个技术特征上的得分相加得到的总分,评选出了加密工作名列前茅的互联网公司。

EFF,
与密歇根大学和Mozilla一起,建立了一个名为“让我们加密”的免费证书颁发机构,以解决困难并降低网站采用HTTPS的成本。这项工作的目标是通过自动化证书颁发和使证书免费来消除建立TLS和安装HTTPS证书的障碍。

3个新的加密技术

我们决定根据企业在加密工作的表现,对它们进行评级。

Gillula说,“我们通过上述鞭策办法迫使企业加密,取得了一定成果,但我们依然不满意。我们是希望从web扩展到所有的互联网,”。为了实现这一目标,EFF正致力于三项新技术,以将加密技术深入到互联网基础架构中。

公开批评起到了
作用,“加密工作排名的出现,促使几家公司努力全面提升自己”。

第一种技术是加密服务器名称标识
(SNI)。SNI是TLS协议的扩展,TLS允许多个加密网站通过一个IP地址在同一服务器上运行。它会指明要联系的主机名并以纯文本形式发送,“这可能足以告诉某人我是持不同政见者,因为我要去一个持不同政见的网站,”Gillula说。

然而,即使经过这些努力,还是有一大批网站并没有进行加密。TLS还没有像2015年那样普遍,甚至Google也会转到没有经过加密的登录页。Gillua表示,如果Google都无法做到这一点,我们怎么能指望普通人能够发现正确的做法呢?。即使在3年以前,使用TLS也是一件繁琐,困难和昂贵的事情,需要小型网站根据合同支付外部专家相关费用,然后再购买昂贵的证书。

解决方案就是加密SNI,它允许用户的客户端和服务器通过不受信任的通道生成共享加密密钥,以禁止对用户想连接的网站标识进行识别。但即便使用了加密的SNI,攻击者仍然可以查看现有域名系统上的未加密域名。解决方案当然就是DNS加密。

EFF,密歇根大学和Mozilla,成立了一个叫Let’s
Encrypt的免费证书颁发机构(现已脱离成为其非盈利组织)来解决相关困难,并降低了站点使用HTTPS的费用。这项工作的目标是为了通过自动颁发证书和免费提供证书来消除使用TLS和HTTPS的障碍。

有两个方案正在研发中,以实现DNS加密:DNS over HTTPS (DoH)和DNS over TLS
(DoT)。DNS over HTTPS是通过HTTPS协议执行远程DNS解析的协议。DNS over
TLS是一种通过TLS协议加密和包装域名系统查询和回答的方法。

三种新型加密技术

DoH的优势是不容易审查,
Gillula说。缺点是网络运营商很难监控恶意活动。对于DoT来说正好相反:
网络运营商更容易监控恶意活动,但也更容易受到审查机构的审查。“哪一种方法更好,EFF还没有得出结论,”Gillula说。

随着Let’s
Encrypt成立,EFF也正在投入更多的精力致力研究三种新技术,来将加密推向互联网基础设施中。

加密的SNI和加密的DNS在网站上处理更高安全性的文件,但是老式的、长期不安全的电子邮件呢?“电子邮件是互联网的蟑螂。当奇点来临时,蜂巢思维会通过电子邮件进行沟通,因为电子邮件不会消亡,”Gillula开玩笑说。

STARTTLS是一个电子邮件协议命令,它向电子邮件服务器发送一个信号,说明电子邮件客户端希望将不安全的连接转换为安全连接。但STARTTLS很容易受到降级攻击,即在该协议下很容易删除这个邮件头信号。现在大多数邮件传输代理软件都不验证证书。“中间攻击者只需在自己的证书上签名,然后说‘我是谷歌,你和我有加密连接’就行,”Gillula说。

在我看来,我们真的很棒,但是我们并不满足于此。我们想要从网络扩大到整个互联网。

“这绝非只是理论上说说的,”Gillula说道。“在一些国家,STARTTLS邮件头正在以荒谬的速度被剥离,”比如在突尼斯,有96%的电子邮件就是这么做的。

第一项技术是加密服务器名称指示(server name identification,
SNI)。SNI是TLS协议的扩展,该协议下允许多个加密网站通过相同IP地址在一个服务器上运行。这个过程中会指出要连接的主机名称,并以明文形式发送,

这个问题的解决方案就是SMTP MTA-STS
(邮件传输代理严格运输安全),这使得域名可以选择进入一个严格的TLS模式,该模式要求对有效的公共证书进行身份验证,并配备加密。将这个相对较新的协议发布到偏远地区需要很多步骤,包括确保邮件服务器支持STARTTLS,使用certbots确保邮件服务器可以获取证书,从而使系统管理员能够轻松地接收故障报告,让系统管理员可以轻松发布MTA-STS
DNS记录和政策。为了解决这最后一个问题, EFF推出了“STARTTLS
Everywhere”,使邮件服务器管理员自动生成MTS记录和证书更加方便,以便在需要时轻松发布。

另一个加密记分卡即将推出

这可能足以告诉某人我是一个持不同政见的人因为我正要访问一个政见不同的网站。

EFF将如何实现这些下一层级的加密呢?“我们很快就要做另一个记分卡了。我们要评估一下现代密码术并且发布一些关于它的东西,”Gillula说道。“如果你是一名安全工程师,那你就有借口说,‘EFF又要开始点名羞辱我们了’。”

解决方案是加密SNI,允许用户的客户端和服务器通过不受信任的通道生成共享密钥,来隐藏用户正在访问的网站身份。即使使用加密SNI,攻击者依然能够通过DNS查看没有加密的域名。对应的解决方案当然是对DNS加密。

新的记分卡可能在一个月内问世,也可能在一年内问世。Gillula告诉CSO网络,如果包含加密的SNI、加密的DNS和MTA-STS,它们将只是任何新的EFF组合的记分卡矩阵的一部分。“我们可能还包括其他技术,我们还没有最终确定标准。事实上,根据时间的不同,我提到的三个技术中的一些可能不包括在内,因为其中一些仍然很新。”

有两个提案可以实现DNS加密:DoH(DNS over HTTPS)和DoT (DNS over
TLS)。DNS-over-HTTPS是通过HTTPS协议进行远程DNS解析的方案。DNS over
TLS是通过TLS协议来加密并打包域名系统请求与应答。

EFF对整个互联网进行加密的议程是一项雄心勃勃的计划,特别是其中的技术挑战。“我们有8个软件开发人员正在做所有这些工作,”Gillula说。

DoH的优势是它很难被审查,劣势则是会使网络运营商更难监控恶意活动。对DoT而言正好相反,它使网络运营商能够更容易监控恶意活动,但是也更容易被审查机构监控。Gillula表示:

声明:本网站发布的内容以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:hyg@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户
斯诺登说互联网没有秘密,可是你能放弃加密技术吗?

对于其中哪一个方案是正确的,EFF还没有得出结论。

加密SNI和加密DNS使得网站更加安全,但是陈旧的,长期不安全的电子邮件系统应该怎么办呢?Gillula开玩笑道:电子邮件是互联网中不可小觑的问题,当奇点来临时,蜂巢思维将通过电子邮件进行交流,因为电子邮件不会消亡。

STARTTLS是一个电子邮件协议,它向电子邮件服务器发出信号,表明电子邮件客户端希望将不安全的连接转换为安全连接。STARTTLS容易受到降级攻击,并且在该协议下去掉邮件标头非常容易。目前大部分邮件传输代理(mail
transfer agent,
MTA)软件并不会验证证书。中间人只需通过自己签发的证书,然后就能说‘我就是Google,你和我有加密连接’”就可以。

这并不是理论上的。在一些国家,STARTTLS下邮件标头正在以惊人的速度被删除,例如在突尼斯,96%的电子邮件都存在这个问题。

这个问题的解决方案是SMTP MTA-STS(Mail Transfer Agent Strict Transport
Security),能够使域名选择严格的TLS模式,在该模式下需要验证有效的公共证书,并附带加密。将这个相对新型的协议投入使用,需要很多的步骤,包括确保邮件服务器支持STARTTLS,通过certbots确保邮件服务器能够获取证书,方便系统管理员接收失败报告,发布MTA-STS
DNS记录和政策。为了解决最后一个问题。EFF启动了“STARTTLS
Everywhere”项目,帮助系统管理员轻松自动生成MTS记录和证书,能够在任何需要的地方轻松进行发布工作。

另一项加密技术——安全信息记分卡

EFF将如何进阶到上述级别的加密中?Gillula表示:

不久后我们会再做一个记分卡。我们将对你们的现代密码学进行评估,并发布一些相关报告。如果你是一个安全工程师…说‘EFF正准备因此羞辱我们’是你的借口。

新的记分卡的推出可能将在一个月内,也可能是在一年内。Gillula告诉CSO,如果加密SNI,加密
DNS和加密MTA-STS包含在其中,它们将只是EFF新型记分卡的一部分。

我们可能会包括其他技术,例如TLS
1.3和HSTS支持,我们还没有确定最终标准。实际上,因为时间问题,这三种我提到的技术可能不会被包括在内,因为有些技术还是很新。

EFF加密整个互联网是一个雄心勃勃的计划,特别是考虑到技术上的挑战。因为Gillula曾表示,他们投入了8位软件开发人员进入到这个项目中。