下周開始數(shù)千萬用戶將難以訪問加密互聯(lián)網(wǎng)

 許多互聯(lián)網(wǎng)用戶會信任網(wǎng)頁瀏覽器對某一網(wǎng)站是否安全的判斷。未來一年，對許多網(wǎng)站來說，SHA-1或更老的加密算法將不再符合信息安全的可信級別。根據(jù)互聯(lián)網(wǎng)性能和信息安全公司CloudFlare的一項(xiàng)研究，多達(dá)3700萬用戶將無法訪問這些網(wǎng)站。

　　出現(xiàn)這一問題的根源在于，證書簽名散列算法將進(jìn)行一次常規(guī)升級。這一升級由互聯(lián)網(wǎng)瀏覽器廠商協(xié)會決定，但可能影響發(fā)展中市場的大量移動設(shè)備。這些設(shè)備將只能訪問不需要安全協(xié)議的網(wǎng)站。

　　加密、認(rèn)證和算法

　　Tripwire IT安全和風(fēng)險(xiǎn)策略負(fù)責(zé)人蒂姆·埃爾林(Tim Erlin)對這一問題進(jìn)行了解釋。

　　當(dāng)網(wǎng)站連接瀏覽器時(shí)，雙方會收發(fā)數(shù)據(jù)。在加密流程中，網(wǎng)站和瀏覽器會進(jìn)入一次會話。在會話時(shí)，雙方會協(xié)商采用加密的安全機(jī)制，而每次會話采用的密碼均不同。

　　埃爾林表示，其中部分協(xié)商的結(jié)果是采用雙方都能理解的最復(fù)雜的加密方式。他表示：“黑客會試圖破解加密算法。在被破解后，黑客能很容易監(jiān)聽你的會話。由于總是有很多黑客試圖破解加密系統(tǒng)，因此算法也需要不斷升級?！?/p>

　　目前，許多網(wǎng)站都會默認(rèn)啟用https安全連接。用戶無需采取任何操作就可以實(shí)現(xiàn)會話的加密，防止被黑客監(jiān)聽。埃爾林表示，對于明年的升級，只要用戶使用了最新版瀏覽器，那么就會自動升級至至少SHA-2的加密級別。

　　中國等市場受影響

　　然而，較老版本的系統(tǒng)和瀏覽器，例如Windows XP，將不支持升級至最新的加密級別。此外，更復(fù)雜的加密需要更強(qiáng)大的計(jì)算性能。因此許多較老的移動設(shè)備，尤其是發(fā)展中國家用戶使用的移動設(shè)備，將無法處理安全連接。

　　因此，對于一些已使用5年的手機(jī)，在訪問某些網(wǎng)站時(shí)將會看到錯(cuò)誤信息，即網(wǎng)站未提供不加密版本。

　　根據(jù)CloudFlare的研究，在西歐和北美，已有99%的設(shè)備支持SHA-2級別的加密。然而在中國、喀麥隆、也門、蘇丹、埃及和利比亞，有近5%用戶使用的互聯(lián)網(wǎng)瀏覽器不支持SHA-2。

　　CloudFlare聯(lián)合創(chuàng)始人馬修·普林斯(Matthew Prince)表示：“當(dāng)美國用戶賣掉自己的舊手機(jī)時(shí)，這些手機(jī)常常會流入發(fā)展中國家。而目前，許多這些手機(jī)將無法再訪問加密的互聯(lián)網(wǎng)?！?/p>

　　CloudFlare估計(jì)，全球不支持SHA-2的設(shè)備總數(shù)相當(dāng)于加州的總?cè)丝凇?/p>

　　該公司表示：“不幸的是，這類人群與全球最貧窮、戰(zhàn)亂最嚴(yán)重的國家有所重疊。換句話說，在12月31日之后，這些用戶將無法再訪問加密的互聯(lián)網(wǎng)，但實(shí)際上他們也是最需要加密技術(shù)的人群。如果我們希望將互聯(lián)網(wǎng)服務(wù)帶給下一個(gè)20億用戶，那么他們中的很多人將會通過二手Android手機(jī)上網(wǎng)。因此這一問題很難在短時(shí)間內(nèi)得到解決。”

　　科技公司間的爭議

　　Facebook首席信息安全官埃里克斯·斯塔莫斯(Alex Stamos)表示，由于對SHA-2的支持造成了許多限制，因此科技公司目前也在討論，如何在信息安全和技術(shù)普及兩方面做好平衡。

　　在停止支持較老的加密技術(shù)方面，谷歌(微博)表現(xiàn)得非常積極。而普林斯表示，阿里巴巴正在確保，其網(wǎng)站能支持較老版本的加密技術(shù)。

　　他表示：“隨著未來幾年計(jì)算機(jī)的運(yùn)行速度越來越快，我們必須繼續(xù)擺脫較老的標(biāo)準(zhǔn)，轉(zhuǎn)向新標(biāo)準(zhǔn)。你會發(fā)現(xiàn)，一些用戶會把舊手機(jī)升級至新手機(jī)。但很明顯，在敘利亞等地，用戶不可能立即前往運(yùn)營商商店購買新手機(jī)。敘利亞有超過4%的用戶將無法訪問加密網(wǎng)絡(luò)。”

　　盡管Facebook認(rèn)為，升級加密技術(shù)是必要的，但斯塔莫斯對升級的方式表示了擔(dān)憂。他也承認(rèn)，許多人不贊同F(xiàn)acebook的臨時(shí)解決辦法：啟用傳統(tǒng)認(rèn)證方式的一種新類型。

　　他表示：“我們認(rèn)為，不應(yīng)切斷數(shù)千萬用戶訪問加密互聯(lián)網(wǎng)的通道，尤其考慮到，這只是因?yàn)樗麄兊脑O(shè)備不支持SHA-256。許多舊設(shè)備的用戶都來自發(fā)展中國家，而他們才剛剛接入互聯(lián)網(wǎng)。我們應(yīng)當(dāng)為這些用戶投資開發(fā)保密而安全的解決方案，而不是給他們安全訪問互聯(lián)網(wǎng)的過程制造困難。”