Cynthia Brumfield 徐盛華

由于政府對數(shù)據(jù)的監(jiān)控，電子前線基金會（EFF）正朝著利用技術和記分卡加密所有互聯(lián)網(wǎng)流量的目標邁進。

如果有一種技術能夠最好地保護互聯(lián)網(wǎng)用戶不受騙子、黑客和民族國家威脅的傷害，那就是加密。幸運的是，網(wǎng)絡目前正經歷著從非安全HTTP格式（網(wǎng)絡上所有通信的初始底層協(xié)議）到HTTPS的大規(guī)模轉換，這確保了瀏覽器和網(wǎng)站之間的通信通過加密是安全的。

努力將加密技術推廣到互聯(lián)網(wǎng)的眾多的網(wǎng)站上，電子前線基金會（EFF）比其他任何機構做得都多。EFF的技術項目總監(jiān)、Jeremy Gillula博士在Shmoocon的一次講話中說：“十年前，網(wǎng)絡基本上沒有加密?！?/p>

互聯(lián)網(wǎng)監(jiān)視促進了加密工作

2006年，一項驚人的進展將加密技術推上了EFF的議事日程。在這年的1月26日，前AT&T技術員Mark Klein不請自來走進了EFF的辦公室，帶來令人震驚的故事，美國國家安全局在AT&T的舊金山設備中建立了一個秘密間諜室，使其能夠訪問所有通過AT&T設施的網(wǎng)絡流量，甚至可能更多。

為了使這種大規(guī)模監(jiān)視得以實現(xiàn)，美國國家安全局正在收集純文本內容。對于EFF， 允許美國國家安全局獲取純文本是一個技術問題，Gillula說道。因此，EFF與隱私導向的瀏覽器開發(fā)者Tor項目合作，在2011年推出“HTTPS Everywhere”，作為一個加密用戶網(wǎng)絡流量的瀏覽器附加組件。

當EFF推出HTTPS Everywhere時，只有1000個網(wǎng)站使用HTTPS，使用傳輸層安全性（TLS）對通信進行加密，以對站點進行身份驗證，并保護傳輸中數(shù)據(jù)的隱私和完整性。2018年8月，在Alexa的上百萬網(wǎng)站中，有超過50%的網(wǎng)站都在積極重定向到HTTPS，源自安全研究員Scott Helme。此外，大多數(shù)瀏覽器已經將HTTPS設置為了默認。

另一個驚人的進展促使EFF加速其加密工作。在2013年，愛德華·斯諾登告訴全世界，美國國家安全局一直在監(jiān)視用戶在網(wǎng)上做的每件事?！拔覀儧Q定根據(jù)企業(yè)在加密方面的表現(xiàn)給它們評級，” Gillula說，通過公開發(fā)表加密網(wǎng)絡報告，用具有良好加密技術特征的記分卡矩陣對頂級互聯(lián)網(wǎng)企業(yè)進行了評級。

這種點名羞辱的策略起到了一定作用。“通過把這件事說出來，有幾家企業(yè)已經開始努力工作，進行全面的檢查?！?/p>

盡管如此，即使經過這些努力，“長尾巴”的網(wǎng)站依然沒有加密。直到2015年，TLS也還沒有普及，甚至谷歌也會鏈接到一個未加密的登錄頁面。“如果谷歌不能做到這一點，我們怎么能指望普通企業(yè)知道如何做到這一點呢？”Gillula問到。 即便是在三年前，建立TLS也是一件乏味、困難和昂貴的事情，要求小型網(wǎng)站按照合同支付外部專家的費用，然后購買昂貴的證書。

EFF， 與密歇根大學和Mozilla一起，建立了一個名為“讓我們加密”的免費證書頒發(fā)機構，以解決困難并降低網(wǎng)站采用HTTPS的成本。這項工作的目標是通過自動化證書頒發(fā)和使證書免費來消除建立TLS和安裝HTTPS證書的障礙（現(xiàn)在分拆成了單獨的非盈利機構）。

3個新的加密技術

Gillula說，“我們通過上述鞭策辦法迫使企業(yè)加密，取得了一定成果，但我們依然不滿意。我們是希望從web擴展到所有的互聯(lián)網(wǎng)，”。為了實現(xiàn)這一目標，EFF正致力于三項新技術，以將加密技術深入到互聯(lián)網(wǎng)基礎架構中。

第一種技術是加密服務器名稱標識 （SNI）。SNI是TLS協(xié)議的擴展，TLS允許多個加密網(wǎng)站通過一個IP地址在同一服務器上運行。它會指明要聯(lián)系的主機名并以純文本形式發(fā)送，“這可能足以告訴某人我是持不同政見者，因為我要去一個持不同政見的網(wǎng)站，”Gillula說。

解決方案就是加密SNI，它允許用戶的客戶端和服務器通過不受信任的通道生成共享加密密鑰，以禁止對用戶想連接的網(wǎng)站標識進行識別。但即便使用了加密的SNI，攻擊者仍然可以查看現(xiàn)有域名系統(tǒng)（DNS）上的未加密域名。解決方案當然就是DNS加密。

有兩個方案正在研發(fā)中，以實現(xiàn)DNS加密：DNS over HTTPS （DoH）和DNS over TLS （DoT）。DNS over HTTPS是通過HTTPS協(xié)議執(zhí)行遠程DNS解析的協(xié)議。DNS over TLS是一種通過TLS協(xié)議加密和包裝域名系統(tǒng)查詢和回答的方法。

DoH的優(yōu)勢是不容易審查， Gillula說。缺點是網(wǎng)絡運營商很難監(jiān)控惡意活動。對于DoT來說正好相反： 網(wǎng)絡運營商更容易監(jiān)控惡意活動，但也更容易受到審查機構的審查。“哪一種方法更好，EFF還沒有得出結論，”Gillula說。

加密的SNI和加密的DNS在網(wǎng)站上處理更高安全性的文件，但是老式的、長期不安全的電子郵件呢？“電子郵件是互聯(lián)網(wǎng)的蟑螂。當奇點來臨時，蜂巢思維會通過電子郵件進行溝通，因為電子郵件不會消亡，”Gillula開玩笑說。

STARTTLS是一個電子郵件協(xié)議命令，它向電子郵件服務器發(fā)送一個信號，說明電子郵件客戶端希望將不安全的連接轉換為安全連接。但STARTTLS很容易受到降級攻擊，即在該協(xié)議下很容易刪除這個郵件頭信號?，F(xiàn)在大多數(shù)郵件傳輸代理（MTA）軟件都不驗證證書。 “中間攻擊者只需在自己的證書上簽名，然后說‘我是谷歌，你和我有加密連接就行，”Gillula說。

“這絕非只是理論上說說的，”Gillula說道?！霸谝恍﹪?，STARTTLS郵件頭正在以荒謬的速度被剝離，”比如在突尼斯，有96%的電子郵件就是這么做的。

這個問題的解決方案就是SMTP MTA-STS （郵件傳輸代理嚴格運輸安全），這使得域名可以選擇進入一個嚴格的TLS模式，該模式要求對有效的公共證書進行身份驗證，并配備加密。將這個相對較新的協(xié)議發(fā)布到偏遠地區(qū)需要很多步驟，包括確保郵件服務器支持STARTTLS，使用certbots確保郵件服務器可以獲取證書，從而使系統(tǒng)管理員能夠輕松地接收故障報告，讓系統(tǒng)管理員可以輕松發(fā)布MTA-STS DNS記錄和政策。為了解決這最后一個問題， EFF推出了“STARTTLS Everywhere”，使郵件服務器管理員自動生成MTS記錄和證書更加方便，以便在需要時輕松發(fā)布。

另一個加密記分卡即將推出

EFF將如何實現(xiàn)這些下一層級的加密呢？“我們很快就要做另一個記分卡了。我們要評估一下現(xiàn)代密碼術并且發(fā)布一些關于它的東西，”Gillula說道。“如果你是一名安全工程師，那你就有借口說，‘EFF又要開始點名羞辱我們了。”

新的記分卡可能在一個月內問世，也可能在一年內問世。Gillula告訴CSO網(wǎng)絡，如果包含加密的SNI、加密的DNS和MTA-STS，它們將只是任何新的EFF組合的記分卡矩陣的一部分?！拔覀兛赡苓€包括其他技術（比如TLS 1.3和HSTS支持），我們還沒有最終確定標準。 事實上，根據(jù)時間的不同，我提到的三個技術中的一些可能不包括在內，因為其中一些仍然很新。”

EFF對整個互聯(lián)網(wǎng)進行加密的議程是一項雄心勃勃的計劃，特別是其中的技術挑戰(zhàn)?！拔覀冇?個軟件開發(fā)人員正在做所有這些工作，”Gillula說。