不再是一种黑暗的艺术 畅谈加密的是是非非
国家安全、新技术、法律诉讼,这些都让加密变得炙手可热。
加密是一个热门的话题。也许由于这个问题的存在由来已久,所以人们已不再将其视为一种黑暗的艺术。又或者,也许是安全问题开始变得如此普遍,所以每个人都需要一些加密来保证自己不会遭受那些问题带来的痛苦。无论原因为何,近来的一系列重大安全事件的背后,的确,可隐隐约约地看到加密技术的身影。下面,让我们看看一些更有趣的事件,是这些事情塑造了当今的加密现状。
后门问题:
奥巴马*想要电子邮件服务提供商,在使用加密技术时留下一个后门,以便*可以在需要时使用这个后门来监视邮件。根据《纽约时报》本周的一篇文章,奥巴马*计划向立法机构提交申请,要求电子邮件传送设备,如 BlackBerry,社交网络网站如 Facebook 以及端对端即时通讯软件,如 Skype,在收到联邦监听命令时,能够在技术层面上执行这项命令。这种命令还包括能够拦截和破解加密信息。
无处不在的加密?一组研究者最近发表了一篇论文,其主题是一种对端对端 TCP 数据进行缺省加密的技术。这个小组出席最近的 Usenix 讨论会时,提到了一个让人感兴趣的 TCP 扩展:tcpcrypt。该小组指出,部署在传输层的 tcpcrypt 可以为传统的应用程序提供保护,向后兼容传统的 TCP 协议和中间系统(middlebox)。这项技术还提供另一个钩子(hook),用于集成应用程序认证,大大地减少了应用程序加密自身网络通讯的需求,并将功能重复的需求降到最低。最后,tcpcrypt 还将服务器撒谎能够关键通讯成本减少到最少;使用 tcpcrypt 的服务器能够快速地接受连接,其速度是 SSL 的 36 倍,研究者在他们的论文指出。
密码学和互联网:
在 7 月份,13 个全球分布的服务器集群——在互联网工程师圈子里被称为根区(Root Zone)——将启动加密式签名 DNS 查询。根区通过部署 DNS 安全扩展(DNSSEC)将获得预防黑客的额外保护层。利用这一新兴的互联网标准,网站可以通过数字签名和公共密钥加密来验证他们的域名和对应的 IP 地址,从而避免欺诈攻击。 DNSSEC 的拥护者希望,对根区进行签名加密将带来一种多米诺效应,促使*域名管理方和个人网站部署这种安全标准。看起来,这种效果至少部分已经实现了,因为在 8 月,info 域名和其他多个域名注册管理商 Afilias 称它将部署 DNSSEC。
Heartland 支付系统公司部署端到端加密:Heartland 支付系统是去年大规模信用卡数据泄露的受害者,该公司决定开发基于端对端加密的新安全系统,以防止类似数据泄露再次发生。在 6 月份,该公司说这种称为 E3 的加密系统已经成型。 E3 终端由Voltage Security 公司和 Uniform Industrial Corp. 建造,并为 Heartland 公司专门定制。Heartland 公司并不要求该公司的销售商必须使用,但是强烈推荐他们使用。使用 E3 的奖励是来自 Heartland 公司的担保:如果使用 E3 销售商发生数据泄露,那么,对于任何与独立终端相关的数据泄漏,Heartland 公司将承担相关的诉讼费用和赔偿。同时,Heartland 公司还提供给免费的服务,帮助较小的销售商填写 PCI 标准一致性表格,对于他们来讲,这是一种技术上令人非常困惑的事情。
军方意欲夺取加密技术的圣杯:这种数据加密技术不但保护敏感数据,同时也让使用该技术的计算无需数据加密即可执行。这种称为“全同态加密”的技术被一些安全专家称为加密系统的圣杯,对于美国国防部高级研究计划局(DARPA)的科学教,这是实现未来计划的关键技术之一。DARPA 想要这种新的加密系统作为加密数据编程计算计划(PROCEED)的一部分。这个计划的目的是开发一种程序,能够为加密数据的运算提供可行的方法而无需加密这些数据,并开发现代化的编程语言来描述这些运算。PROCEED 还有一些伟大而崇高的目标,包括开发新的算法和编程语言。
围绕 BlackBerry 发生的争执:看起来 BlackBerry 对于加密的支持让许多国家感到头痛,因为这些国家想要对人们的通讯进行监控。沙特阿拉伯、印度、阿拉伯联合酋长国等国家正在寻求禁止这个广受欢迎的设备提供加密广受。禁止加密信息和通讯服务将严重的影响印度企业的效率和生产率,RIM 在 IDG 新闻网站上的一篇报道中指出。RIM 还称,他并没有“万能钥匙”,系统中也没有“后门”可以让 IRM 或第三方在任何情况下获取加密*信息。BlackBerry 安全架构为企业用户专门设计,取消了 RIM 或第三方获取加密信息的功能,该公司指出。RIM 无法满足任何红区客户加密钥匙副本的请求,因为 RIM 从来就没有拥有过这种密钥的副本。
加密似乎就是答案,但是:规定公司如何对持卡人敏感信息提供保护的《支付卡行业数据安全标准 2.0》(Payment Card Industry Data Security Standard 2.0)已在九月初推出,负责该标准的机构称。其中最重要的将是一些新标准,这些标准设计 PCI 评估流程。这种评估称为“辖域”用于确定敏感持卡人数据所在的地方,以便让这个网络中特定组成部分符合 PCI 数据安全标准。当今的问题在于,处理持卡人数据的公司常常不知道这些数据在哪里。不过,该标准并不包含 PCI 持卡人数据端对端加密的标准。支持者称,在行业范围内的推广将能够防止出现更多的网络攻击,这些攻击的目的是窃取大量的支付卡数据。
加密作为服务(Encryption as a service):IBM 推出的Tivoli Key Lifecycle Manager (TKLS) 让加密成为了一项服务。Network World 的博客 Jon Oltsik 指出:“IBM 的这项服务有什么特别之处?首先,密钥管理作为 IT 安全规定,在未来一年左右,将从一种比较神秘的东西变成一种企业需求。为什么?每天越来越多的数据在进行加密,所以密码管理也将变得越来越重要。密钥被窃取将威胁敏感数据的机密性,而丢失了密钥,关键数据将变成毫无意义的 1 和 0。很快,所有大型企业都将拥有类似 TKLS 的东西。”
诉讼:
根据 TechWorld 上的一篇文章,数据安全销售商Protegrity 那份不断加长的公司名单中又出现了几家新公司。对于Protegrity 来说,这个名单上公司都有可能成为该公司的被告,因为他们侵犯了Protegrity的加密专利。最早被起诉的公司是Ingrian Networks,今年 5 月,被起诉的公司中又多了它的母公司Safenet,此外,还有nuBridges 和 Voltage Security。这些被起诉的公司被指控侵犯了多项专利,这些专利涉及保护数据库时加密元素的应用、管理和更新方法,具有高度的技术性并且至关重要。
上一篇: 学生时逃课各种条理由保证你会笑