下周開始數千萬用戶將難以訪問加密互聯(lián)網

 許多互聯(lián)網用戶會信任網頁瀏覽器對某一網站是否安全的判斷。未來一年，對許多網站來說，SHA-1或更老的加密算法將不再符合信息安全的可信級別。根據互聯(lián)網性能和信息安全公司CloudFlare的一項研究，多達3700萬用戶將無法訪問這些網站。

　　出現(xiàn)這一問題的根源在于，證書簽名散列算法將進行一次常規(guī)升級。這一升級由互聯(lián)網瀏覽器廠商協(xié)會決定，但可能影響發(fā)展中市場的大量移動設備。這些設備將只能訪問不需要安全協(xié)議的網站。

　　加密、認證和算法

　　Tripwire IT安全和風險策略負責人蒂姆·埃爾林(Tim Erlin)對這一問題進行了解釋。

　　當網站連接瀏覽器時，雙方會收發(fā)數據。在加密流程中，網站和瀏覽器會進入一次會話。在會話時，雙方會協(xié)商采用加密的安全機制，而每次會話采用的密碼均不同。

　　埃爾林表示，其中部分協(xié)商的結果是采用雙方都能理解的最復雜的加密方式。他表示：“黑客會試圖破解加密算法。在被破解后，黑客能很容易監(jiān)聽你的會話。由于總是有很多黑客試圖破解加密系統(tǒng)，因此算法也需要不斷升級。”

　　目前，許多網站都會默認啟用https安全連接。用戶無需采取任何操作就可以實現(xiàn)會話的加密，防止被黑客監(jiān)聽。埃爾林表示，對于明年的升級，只要用戶使用了最新版瀏覽器，那么就會自動升級至至少SHA-2的加密級別。

　　中國等市場受影響

　　然而，較老版本的系統(tǒng)和瀏覽器，例如Windows XP，將不支持升級至最新的加密級別。此外，更復雜的加密需要更強大的計算性能。因此許多較老的移動設備，尤其是發(fā)展中國家用戶使用的移動設備，將無法處理安全連接。

　　因此，對于一些已使用5年的手機，在訪問某些網站時將會看到錯誤信息，即網站未提供不加密版本。

　　根據CloudFlare的研究，在西歐和北美，已有99%的設備支持SHA-2級別的加密。然而在中國、喀麥隆、也門、蘇丹、埃及和利比亞，有近5%用戶使用的互聯(lián)網瀏覽器不支持SHA-2。

　　CloudFlare聯(lián)合創(chuàng)始人馬修·普林斯(Matthew Prince)表示：“當美國用戶賣掉自己的舊手機時，這些手機常常會流入發(fā)展中國家。而目前，許多這些手機將無法再訪問加密的互聯(lián)網。”

　　CloudFlare估計，全球不支持SHA-2的設備總數相當于加州的總人口。

　　該公司表示：“不幸的是，這類人群與全球最貧窮、戰(zhàn)亂最嚴重的國家有所重疊。換句話說，在12月31日之后，這些用戶將無法再訪問加密的互聯(lián)網，但實際上他們也是最需要加密技術的人群。如果我們希望將互聯(lián)網服務帶給下一個20億用戶，那么他們中的很多人將會通過二手Android手機上網。因此這一問題很難在短時間內得到解決?！?/p>

　　科技公司間的爭議

　　Facebook首席信息安全官埃里克斯·斯塔莫斯(Alex Stamos)表示，由于對SHA-2的支持造成了許多限制，因此科技公司目前也在討論，如何在信息安全和技術普及兩方面做好平衡。

　　在停止支持較老的加密技術方面，谷歌(微博)表現(xiàn)得非常積極。而普林斯表示，阿里巴巴正在確保，其網站能支持較老版本的加密技術。

　　他表示：“隨著未來幾年計算機的運行速度越來越快，我們必須繼續(xù)擺脫較老的標準，轉向新標準。你會發(fā)現(xiàn)，一些用戶會把舊手機升級至新手機。但很明顯，在敘利亞等地，用戶不可能立即前往運營商商店購買新手機。敘利亞有超過4%的用戶將無法訪問加密網絡。”

　　盡管Facebook認為，升級加密技術是必要的，但斯塔莫斯對升級的方式表示了擔憂。他也承認，許多人不贊同F(xiàn)acebook的臨時解決辦法：啟用傳統(tǒng)認證方式的一種新類型。

　　他表示：“我們認為，不應切斷數千萬用戶訪問加密互聯(lián)網的通道，尤其考慮到，這只是因為他們的設備不支持SHA-256。許多舊設備的用戶都來自發(fā)展中國家，而他們才剛剛接入互聯(lián)網。我們應當為這些用戶投資開發(fā)保密而安全的解決方案，而不是給他們安全訪問互聯(lián)網的過程制造困難?！?/p>