【印联传媒网讯】许多互联网用户会信任网页浏览器对某一网站是否安全的判断。然而从2016年1月1日开始,一小部分用户将无法再用上这一功能,而数千万用户可能将无法访问某些网站。
这是由于所谓的“SHA-1日落”。未来一年,对许多网站来说,SHA-1或更老的加密算法将不再符合信息安全的可信级别。根据互联网性能和信息安全公司CloudFlare的一项研究,多达3700万用户将无法访问这些网站。
出现这一问题的根源在于,证书签名散列算法将进行一次常规升级。这一升级由互联网浏览器厂商协会决定,但可能影响发展中市场的大量移动设备。这些设备将只能访问不需要安全协议的网站。
加密、认证和算法
Tripwire IT安全和风险策略负责人蒂姆·埃尔林(Tim Erlin)对这一问题进行了解释。
当网站连接浏览器时,双方会收发数据。在加密流程中,网站和浏览器会进入一次会话。在会话时,双方会协商采用加密的安全机制,而每次会话采用的密码均不同。
埃尔林表示,其中部分协商的结果是采用双方都能理解的最复杂的加密方式。他表示:“黑客会试图破解加密算法。在被破解后,黑客能很容易监听你的会话。由于总是有很多黑客试图破解加密系统,因此算法也需要不断升级。”
目前,许多网站都会默认启用https安全连接。用户无需采取任何操作就可以实现会话的加密,防止被黑客监听。埃尔林表示,对于明年的升级,只要用户使用了最新版浏览器,那么就会自动升级至至少SHA-2的加密级别。
中国等市场受影响
然而,较老版本的系统和浏览器,例如Windows XP,将不支持升级至最新的加密级别。此外,更复杂的加密需要更强大的计算性能。因此许多较老的移动设备,尤其是发展中国家用户使用的移动设备,将无法处理安全连接。
因此,对于一些已使用5年的手机,在访问某些网站时将会看到错误信息,即网站未提供不加密版本。
根据CloudFlare的研究,在西欧和北美,已有99%的设备支持SHA-2级别的加密。然而在中国、喀麦隆、也门、苏丹、埃及和利比亚,有近5%用户使用的互联网浏览器不支持SHA-2。
CloudFlare联合创始人马修·普林斯(Matthew Prince)表示:“当美国用户卖掉自己的旧手机时,这些手机常常会流入发展中国家。而目前,许多这些手机将无法再访问加密的互联网。”
CloudFlare估计,全球不支持SHA-2的设备总数相当于加州的总人口。
该公司表示:“不幸的是,这类人群与全球最贫穷、战乱最严重的国家有所重叠。换句话说,在12月31日之后,这些用户将无法再访问加密的互联网,但实际上他们也是最需要加密技术的人群。如果我们希望将互联网服务带给下一个20亿用户,那么他们中的很多人将会通过二手Android手机上网。因此这一问题很难在短时间内得到解决。”
科技公司间的争议
Facebook首席信息安全官埃里克斯·斯塔莫斯(Alex Stamos)表示,由于对SHA-2的支持造成了许多限制,因此科技公司目前也在讨论,如何在信息安全和技术普及两方面做好平衡。
在停止支持较老的加密技术方面,谷歌(微博)表现得非常积极。而普林斯表示,阿里巴巴正在确保,其网站能支持较老版本的加密技术。
他表示:“随着未来几年计算机的运行速度越来越快,我们必须继续摆脱较老的标准,转向新标准。你会发现,一些用户会把旧手机升级至新手机。但很明显,在叙利亚等地,用户不可能立即前往运营商商店购买新手机。叙利亚有超过4%的用户将无法访问加密网络。”
尽管Facebook认为,升级加密技术是必要的,但斯塔莫斯对升级的方式表示了担忧。他也承认,许多人不赞同Facebook的临时解决办法:启用传统认证方式的一种新类型。
他表示:“我们认为,不应切断数千万用户访问加密互联网的通道,尤其考虑到,这只是因为他们的设备不支持SHA-256。许多旧设备的用户都来自发展中国家,而他们才刚刚接入互联网。我们应当为这些用户投资开发保密而安全的解决方案,而不是给他们安全访问互联网的过程制造困难。”
责任编辑:魏盼