这四个想法试图搞定整个互联网的安全(2)

发布时间:2016-05-23 16:02 作者:nana 来源:安全牛点击:加载中...次

谷歌推行证书透明计划的目的，是为了解决错误颁发的证书、恶意获取的证书、骗子CA等问题。谷歌无疑手握技术，但说服用户这是正确的解决之道也是他们不得不做的事。

基于DNS的命名实体认证(DANE)，是解决SSL中间人问题的另一尝试。DANE协议再次证明：正确的技术解决方案不能自动赢取用户。DANE将SSL会话与域名系统的DNSSEC安全层相关联。

尽管DANE能成功阻止SSL和其他协议上的中间人攻击，却笼上了国家监视的疑云。DANE依赖于DNSSEC，由于顶级域名的DNS通常都掌握在各个政府手里，采纳DANE，意味着政府拥有与CA同样的访问权，因此，用户对政府机构运营安全层有担忧也就很正常了。

不过，虽然用户在信任谷歌上有疑虑，该公司依然推进了证书透明计划，最近甚至还发布了一项平行服务——谷歌潜水员( Google Submariner )，列出不再被信任的证书颁发机构。

　　3、彻底解决恶意软件问题

大约10年前，哈佛大学伯克曼互联网与社会中心( Berkman Center for Internet & Society )启动了“阻止坏软件(StopBadware)”项目，联合谷歌、Mozilla、贝宝等科技公司，尝试对抗恶意软件的策略。

2010年，哈佛将该项目作为独立非盈利项目剥离。StopBadware分析坏软件——恶意软件和间谍软件之类的，提供删除信息，教育用户怎样防止再次感染。用户和网站管理员可以查询URL、IP和自治系统号(ASN)，也可以报告恶意URL。科技公司、独立安全研究员和学术研究员携手StopBadware，共享威胁数据。

运营非盈利项目的开销难以负担，该项目被交到了美国塔尔萨大学坦迪计算机科学学院网络安全与信息保障助理教授泰勒·莫尔的手上。StopBadware项目依然提供对恶意软件感染网站的独立测试和审查，也运营有数据共享项目供公司提交和接收Web恶意软件的实时数据。一款特别针对网站管理员的攻击类型分析工具也在开发中，今年初秋应该能出β版。

但是，即便某个项目能完美解决安全问题，怎样资助其运营依然是摆在面前的实际问题。

　　4、重造互联网

于是，互联网应被更好更安全的方案替代的想法就出炉了。

道格·克罗福德，贝宝JavaScript高级架构师，JSON驱动力量之一，提出了Seif：重塑互联网各方各面的开源项目。他想要重做传输协议，重设计用户界面，扔掉密码。简言之，创建专注安全的应用平台来转型互联网。

Seif打算用密钥+IP地址替代DNS寻址，用TCP上的安全JSON代替HTTP，用基于 Node.js 和 Qt. CSS 的JavaScript应用交付系统代替HTML，而且DOMs在Seif里也将消失无踪。就其本身而言，JavaScript依然是打造更简单更安全Web应用的关键一环。

克罗福德对SSL的证书机构依赖问题也有自己的答案：基于公钥加密框架的双向认证方案。具体细节尚未透露，但该想法建立在用查找和信任某实体的公钥来代替信任具体CA会正确颁发证书上。

Seif将主打基于ECC(椭圆曲线加密)521、AES(高级加密标准)256和SHA(安全散列算法)3-256的加密服务。ECC 521公钥将提供唯一标识符。

类似于安置机顶盒接收高清信号兼容老款电视机，Seif将以浏览器辅助应用的形式实现。一旦浏览器厂商集成了Seif，辅助应用也就不必要了。

Seif有趣的元素很多，但它尚在早期阶段。运行Seif会话协议的Node实现目前处于开发过程中。不过，即使缺乏很多细节上的认知，Seif明显是个极具野心的提案，在面试之前必然需要很多重量级大佬的支持。

比如说，某家主流浏览器厂商集成进辅助应用，某家主流网站要求所有客户使用这款浏览器。这样，迫于竞争压力，其他网站和浏览器也会跟进。不过，重压之下他们会不会登上Seif列车依然存疑。

　　迈向何方

把一切推倒重来显然不现实，如此，唯一选项就是让现有互联网更难以被攻击。与其妄图一口气修复全部，不如让一点点的小改良渐渐堵住各个漏洞。