每当我们在浏览器的网址栏中看到的小挂锁,以及使用应用程序、电子邮件和消息传递时,都依赖于一种称为“传输层安全性”或TLS的协议。 这个协议可确保我们上网的安全性。
这个小挂锁的背后,代表着加密代码,可确保我们与浏览中网站之间的数据传输安全。
TLS的安全性包括三个方面:身份验证,加密和完整性。 身份验证,确保数据的去向安全; 加密,代表你输入的内容不会用在其他地方; 完整性,表示内容不会在中途被篡改。
美国技术公司 Mozilla 的首席技术官埃里克·雷斯科拉(Eric Rescorla)在电子邮件中对Horizon Magazine 说:“这是互联网上最受欢迎的安全协议,基本上可以保护每笔电子商务的安全交易。”
在过去二十年中,TLS进行了五次大更新,以适应复杂的在线攻击。 此后,许多专家认为,最新版本的TLS1.2 在可预见的将来是足够安全的,由于有着像巴黎法国国家数字科学技术研究院(INRIA)的Karthikeyan Bhargavan (巴尔加万)博士及其同事的研究人员们支持着。
架构
研究人员一直在研究提高软件应用程序安全性的方法,作为 CRYSP 项目的一部分。 通常,软件开发人员依赖 TLS,就像建筑工人依赖着支架结构一样。也就是说,他们认为安全是理所当然的。
但是,为了提高软件级别的安全性,巴尔加万博士和其同事必须彻底检查有关 TLS1.2 的基本假设(没有严重缺陷)是否合理。
他说:“在某个时候,我们意识到事情不对劲。”
在发现了一些不稳定的代码行之后,研究人员与微软研究院合作,扮演了黑客的角色,对该协议进行了一些模拟攻击,以测试其漏洞程度。 这些攻击表明,有可能成为互联网用户与服务提供商(例如Google)之间的“中间人”,从而窃取该用户的数据。
巴尔加万博士解释说:“这将是一系列相当复杂的行动。” “通常,中间人必须向每个演员发送奇怪的消息,以诱使他们进入代码的错误部分。” 他说:“我成功地进行了中间人攻击,有可能窃取到某人的付款细节;或者我可以假装自己是苹果或谷歌,通过软件更新下载(插入)恶意软件以访问人们的电脑。”
严重威胁
这样的黑客将需要有如政府机构这样的专业知识和强大的计算能力,并且需要接近关键角色的一些物理基础设施。 但是,促进互联网标准的国际组织互联网工程任务组(IETF)认为威胁足够严重,需要使用新版本的加密协议。
巴尔加万博士指出,他并不是唯一提出修订建议的计算机科学家。 他说,其他四个或五个研究小组发现了当前协议存在的问题,在良好的竞争之中相互推动。不过他说,他的团队发现了TLS1.2 中一些最令人惊讶的缺陷,他认为这可能是该协议中“压垮骆驼的最后一根稻草”。
在IETF工作组的监督下,他的小组也是互联网社区内部广泛合作的一部分,目的是使用现代算法和技术构建更安全、更可靠的中间人 TLS 1.3。
TLS 1.3于2018年8月正式启动。 之后,就被主要的互联网浏览器(例如 Mozilla Firefox 和 Google Chrome)等采用。那么,互联网用户安全了多少呢?
人为错误
的确,TLS并非大多数在线安全漏洞的罪魁祸首。 通常,由于软件中的错误或人为错误,个人数据就会落入错的人手中。但是Bhargavan博士认为,知道底层协议是安全的,就可以放心。 他说:“这不能完全保证,但只要您点击小挂锁,你就能对安全性有一定的信心 – 这是最基本。”
此外,互联网用户要担心的不只是黑客。 自2013年以来,美国国家安全局承包商前雇员爱德华·斯诺登的泄密,也让许多人担心国家情报和大型企业积累的个人数据量。
TLS 1.3 在设计时,也考虑到斯诺登的话,通过对用户数据和元数据进行加密,为某些类型的这种基于网络的普遍监视提供了方便。 它还可以防止追溯解密——即先前版本的弱点之一。
巴尔加万博士说,在IETF工作组中,关于防止监视是否是TLS的目标之一进行了长时间的讨论。 他说,答案最终是肯定的。
已验证
为了软件安全,巴尔加万博士和他的同事正在构建一个经过完全验证的密码代码库 – HACL *,其他开发人员可以在构建新软件时参考里面的内容。 在一个称为CIRCUS的项目中,他们还创建了一个易于遵循的参考范例,告知开发人员如何在不引入安全故障的情况下将软件组合在一起。
最终的高安全性软件已经被 Mozilla 和 Microsoft 的开发人员所采用。
最后,他的目标并非要确保在网络世界中的所有安全,而是要在高度复杂的计算机系统中,找到最安全的位置。 “我认为我们永远无法达到对所有内容进行验证的地步,但我们可以找到最安全的一个篮子,可以在里面放入密钥,密码和财务数据。”
本文中的研究由欧洲研究理事会资助。 Bhargavan博士因“对欧洲乃至整个欧洲的社会影响力”而获得了2019年 Horizon Impact Award 。英文内容出处:Horizon, the EU Research and Innovation magazine
Comments