并不夸张的说,是PKI(公钥基础设施)将互联网黏合在一起,但随着互联网发展成万物互联的多面生态系统,PKI也必须顺应时势快速进化,以满足当今市场的需求。
在互联网发展早期的21世纪初,网络管理规定还不是太多。那个时期可谓PKI的“狂野西部”时期。证书颁发机构(CA)无需遵循任何标准,有些机构甚至还会颁发出有效期10年的证书。在日新月异的网络时代,10年有效期简直堪比英国女王的“超长待机”了。
随着CA社区内部症结的滋生,一组志同道合之人联合浏览器社区持类似想法的人士于2005年成立了CA/B论坛(数字证书/浏览器论坛),通过建立证书颁发和管理的一系列章程和基本要求来监管数字证书颁发过程,意图标准化证书颁发,最大程度地减少误颁现象。
CA/B论坛成立至今,互联网规模已经历了爆炸式增长,如今常见家电基本都已具备联网功能,连小孩子的玩具都能接入互联网了。当然,黑帽子也结成了团伙,从事各种各样的网络犯罪活动,比如网络战、网络钓鱼等等。
如今,我们的基础设施仍然面临自身的诸多问题,但幸运的是,有很多网络安全研究人员在协力CA/B论坛,不断推动新章程的产生,助力PKI跟上当前技术的发展。
那么2018年,关于PKI,我们可以期待些什么呢?
1. 采用PKI才合规
Let’s Encrypt 和谷歌已经为“泛在HTTPS”铺平了道路。如果能获得免费的 DV SSL 证书,有什么理由不用呢?当前,超过的68%的Chrome流量已经是HTTPS的了,无论是安卓设备的还是Windows设备的。谷歌还计划在2018年7月将所有非HTTPS网站都标记为“不安全”。
免费证书易得,加上“不安全”标记的压力,让行业监管机构有可能强制业内采用HTTPS。最近涉及PKI的一些法案有:
- GDPR
- eIDAS
- PCI DSS
- HIPAA
前所未有地,所有行业的公司企业,无论规模大小,都被迫正视数据安全的需求了。毕竟,如今数据就是资产,保护数据不仅仅意味着保护消费者和客户,还意味着保护一个品牌的信誉和公司的价值。
大多数公司当下都正处于从纸质到数字化交易的巨大转变过程中。有些公司正在进行全面的数字化改造方案,实现一些技术和过程来提高服务效率,自动化以往需要人工处理的那些繁琐过程。
数字化转型的喧嚣中,监管机构发现,围绕不停流转的数据,必须实施加密和防护方面的策略。而PKI就是可以帮助公司企业符合这些策略规定的工具之一。
2. 物联网PKI
以医院为例。医疗物联网设备是我们目前很常见的物联网设备类型。
这些设备可以实时收集患者身体状态数据,让医生及时发现问题,救助患者生命。住院病人身上可以连接传感器,在生命体征下降的时候向医生发出警报。医生还可以给出院病人开具带追踪器的药,掌握病人有没有按时吃药的情况。甚至心脏起搏器之类常用医疗设备也可以进行物联网升级,向患者及其主治医生发送预示心力衰竭或中风的关键指标。
物联网设备制造商已渐渐开始意识到在自家产品中实现安全的重要性。但直到现在,大部分消费者在购买物联网产品时还是没有太重视安全因素。不过,随着重视安全的消费习惯的养成,制造商为了在市场中领先一步也会对安全多家投入。
各国政府都在大力发展智慧城市、智能电网、智能医疗设备和自动驾驶汽车,我们的整个基础设施终有一天会迎来天翻地覆的变化。我们必须确保通过互联网相互“对话”的每台设备是可信的,否则只要黑客入侵了设备,我们就将面临难以预料的风险。
如果物联网生态系统没有加密、身份验证和数据完整性的保护,难以想象我们会失去什么。
3. HTTPS成标准做法
正如前文提到的,安卓和Windows系统上的Chrome流量已经68%都是加密的了。当然,并不是所有的浏览器都是这种情况。但回顾一下流量加密的指数级增长,那可是1年之内就从过去20年才达到40%的Web加密率直接跃升到了50%啊!而到了2018年1月,加密比例已经高达68%。可谓相当惊人的增长。
随着谷歌将在浏览器中把非HTTPS标记为“不安全”提上日程,网站拥有者为了保住自己在搜索引擎和浏览器中的可见性,也不得不全面转向HTTPS。通过这一举动,谷歌为大众上了一堂网络安全教育课,确保人们优先考虑加密。2018年7月,当 Chrome 68 发布的时候,Chrome就会将所有HTTP网站标记为“不安全”了。
而在定于2018年4月16日发布的 Chrome 66 中,2016年6月1日之前颁发的赛门铁克证书将不再被Chrome信任。到 Chrome 70 发布之时,所有2017年12月1日之前颁发的赛门铁克SSL证书不受谷歌Chrome信任。
目前大量网站仍在使用赛门铁克或其子公司(GeoTrust、Verisign和RapidSSL)的证书。TechTarget估测,Alexa上排名前100万的网站中大约有10.3万在用赛门铁克根证书。约1.1万证书将随着 Chrome 66 的发布而退出历史舞台,另外9.1万会在 Chrome 70 发布时被更换。
当这一切发生时,大量网站会以“不安全”的形象出现,人们更有理由想起SSL的重要性了。
4. 验证方法进化
最近某安全研究人员称,互联网上出现代码签名证书贩卖现象。这些证书来自合法公司的被盗信息,在恶意软件混淆中非常有效,而合法公司丝毫不知道自己的证书被挪作他用了。
安全研究人员曝光系统中存在漏洞的事并不罕见,但证书被恶意使用的新闻报道扎堆,就让业内专家的视线聚焦到分析和调整当前验证机制上面了。CA/B论坛已宣布将举行“验证峰会”,让CA和浏览器厂商相聚一堂,共同探讨当前验证方法中存在的问题,提出相应的改进方案。
这应该不会是本年度有关验证方法的最后一场大讨论。CA应尽可能严格地执行验证(即便对 DV SSL 证书也应如此),而安全人员则应努力提出能提升互联网整体安全性的新方法。
5. 量子安全算法竞赛
量子计算机破解当前加密方法的那一天是否已经临近?声称我们已经身处量子计算时代的文章倒是不少,但同时也有其他文章认为量子计算机制造艰难,我们仍有很长一段路要走。事实上,制造量子计算机确实困难,但这并不意味着就不应该担心量子计算机对加密造成的冲击。超级计算机依然存在,需要量子安全算法的应用依然存在!
NSA和NIST号召密码学家研究量子安全算法,以此响应公众对加密会被破解的担忧。那么,下一个加密算法会是基于代码的还是基于格的?或者是基于散列的?
或许我们距离担心量子计算打败现有计算方法还很远,但眼下谁也不确定量子计算会有多快,破解当前加密会有多迅速。于是,我们又怎么知道哪种算法能防住量子计算破解加密呢?
不过,需要指出的是,量子计算诞生的时候PKI尚未衰亡。PKI一直在进化。我们根据摩尔定律创造出新的算法来击败量子算力,我们也有能力抢先一步研发出这些算法。不妨将目光放到SHA-3上。目前人们还没看到SHA-3被广泛应用的原因,不过是SHA-2依然坚挺而已。