近期Facebook宣布将为其消息传递服务采用OpenPGP加密,同时允许用户在他们的Facebook配置文件中张贴公钥。这些改进如何改善Facebook的安全性?其他服务和消息传递应用是否也该依法效之呢?
斯诺登事件增加的人们对网络隐私的担忧,几家大型互联网公司都开始加强其安全控制以保障其用户在线数据和通信安全以防被窥探。举例来说,现在最受欢迎的网站使用数字证书,从而让用户能够查看跨HTTPS的页面,HTTPS加密服务器和浏览器之间的流量。Facebook也使用了这种安全控制,也采用了HTTP严格传输安全机制,是浏览器只能在使用HTTPS连接Facebook。对于哪些想要额外隐私保护的用户,Facebook提供了一个在线Tor。(注意下,这个连接只能在开启Tor的浏览器上运行。)
不过Facebook的加密部署间仍有些许空档,比如说,目前Facebook Messenger不提供端到端加密,虽然该公司使用TLS来保障安全连接到用户的电子邮件提供商,它发送给他们的个人电子邮件地址消息是明文的。这意味着尽管从Facebook服务器到用户带女子邮件服务器的消息是加密的,但是一旦传送,就可能被任何取得用户权限的人阅读。Facebook给用户发送各种邮件安全提醒通知,例如密码重置,都包含敏感信息,这需要更好的保护措施。
对于非技术人员,端到端加密是很难理解并使用的,因为它通常需要手动处理来交换发送方和接收方之间的公钥,在任意时间它们发送邮件或任何其他类型的消息。这已为电子邮件加密所广泛采用。
尽管如此,Facebook宣布其打算通过允许用户上传他们的OpenPGP公钥到他们的配置文件中来支持端到端电子邮件加密。这将允许任何人,包括Facebook通过使用基于PGP的加密来给用户发送加密的邮件。假如用户邮件账户被攻击或消息被拦截,Facebook使用带有用户公钥的加密邮件将呈不可读状态。Facebook也将为对外传至选择使用自己的OpenPGP公钥接收加密通知的用户的消息进行标记。
OpenPGP是一个已存在近20年的开源的端到端加密标准。虽然它使用数字证书,但并不依赖证书认证方来认证其公钥信息。相反,证书经由证书列表上其他支持公钥协会的用户签署。这种分散的信任模型被称作为信任网络。Facebook已选用一个广为使用并自由部署OpenPGP标准的GNU隐私保护(GPG)。该软件需要生成及管理一对儿PGP密钥,其中带有操作指南,可以从GPG网站上下载。
目前,Facebook新的OpenPGP加密功能只适用于台式机,尚未支持移动设备,不过通过促进其使用,Facebook可增加加密的使用来保护一些列在线服务的邮件内容安全。加密最好是无处不在且自动的,这也意味着不能从高敏感会话中区分出简单会话。
Facebook并不是唯一一家添加加密服务的公司。雅虎和谷歌的端到端带女子邮件加密扩展也是基于OpenPGP加密的,同时,Open Whisper Systems、Silent Circle以及苹果公司的iMessage都提供端到端加密。政府忧心该做法会限制其对抗恐怖主义威胁的能力,不过另一些人则认为这是一项保护隐私的技术。这是需要探讨的另外一个话题,不过我们能看到的是越来越多的供应商将加密纳入到其服务和消息传递应用程序当中去。