中国互联网需要数字证书自主可控

时间:2020-01-12 来源:www.taobaojianfei.com.cn

电影《骇客追缉令》中有一个情节:“凯文明尼克(Kevin Minnick)作为历史上最伟大的电脑黑客,入侵一家电信公司,入侵联邦调查局的电脑,成为互联网世界中最难以捉摸的黑客王。然而,他希望迎接一个真正的挑战,入侵著名物理学家和计算机天才夏村的计算机系统。

为了突破夏村秦的电脑,他采用了无数方法,其中之一就是利用网络钓鱼网站作弊。

事实上,这种情节在现实生活中并不少见。我们总是看到人们因为网络钓鱼网站而被欺骗。

2015年,一群90后利用支付宝钓鱼网站,通过旺旺聊天工具向淘宝卖家发送一组钓鱼网站链接,窃取淘宝卖家的支付宝信息,并以购买产品所需的链接无法打开为由进行诈骗。

在短短半个月内,这起诈骗案涉及28个省市60多个地级市,涉及4000多名受害者,总价值超过100万元。

高考结束后,犯罪分子开始利用考生和家长的急切心情来检查成绩和了解大学信息。

“不要担心志愿参加高考,高科技软件会帮助你”和“负责志愿报告和指导高考的专家”随处可见。

然而,360正在启动一个根证书程序,为中国互联网添加一个“盾牌”。

One

National Level:required Autonomy and controllerance

Digital Certificates需要Autonomy and controllerance,从国家的角度来看,这是一个很大的需求。

今年6月,360家智库曾写道,中美贸易战的背后是一场科技战争。与此同时,科技战争与网络战争产生了共鸣。网络战已经悄然发生,并已成为大国游戏的重要手段。

华为的禁令表明,美国已经竭尽全力抑制中国高科技产业的发展。在贸易摩擦的表象下,它实际上是霸权国家对新兴大国的战略遏制。

事实上,数字证书系统、根域名解析系统等都是“齐头并进”的项目。

重要网站使用外国证书威胁国家安全。99%涉及国民经济和民生的网站使用美国颁发的数字证书。“恶意”吊销证书、伪造证书等。会导致网络瘫痪或信息泄露。

使用外国证书的网站数量不清楚。外国认证机构在我国范围内提供的电子认证服务尚未备案。由于缺乏监管,很难有效评估证书对抗过程中的安全风险。

一旦未来有一场关于数字证书的网络战争,情况可能超出想象。我们可以想象这样极端的情况。

1。如果颁发的证书在海外被吊销,我国的互联网和物联网将直接瘫痪,相关系统和设备将无法使用。

2。如果在信息战中故意向军工、政府等关键部门发放“不良”证书,海外黑客组织可能会直接潜入关键系统;

3。如果数据被非法加密和解密,数字证书机构可以向外国情报机构提供伪造的数字证书来窃取机密信息;

4。在战略对抗的情况下,发行数字证书的海外认证机构很容易被“绑架”,并在胁迫下向竞争对手提供关键的社会运营信息,如用户每次访问的时间、地点和知识产权,以控制中国的重要数据。

我们甚至可以说独立可控的数字证书相当于一个国家互联网的“生命之根”。然而,至少目前,中国互联网的命脉掌握在其他人手中,在极端情况下,它将成为“致命弱点”。

2

Personal Level:Improving User Security

从个人互联网安全的角度来看,数字证书也需要普及。

目前,大多数用户无法区分“http”网站和“https”网站。具有数字证书认证的网站是“https”。

但是,非法人员会模仿和创建一些与正式企业网站、银行网站和交易平台网站非常相似的网站,模仿一些真实的和网页,o

这需要数字证书的认证以确保安全性。这需要最终用户数据的公钥和由数字证书颁发机构加密的证书。认证机构的责任是确保公司或用户获得有效的认证作为唯一的证书。只有获得数字证书后,它们才能成为“https”网站。

但是,国内数字证书的发展有很大的弱点。

首先,普及率低。

数字证书在中国的普及率还有待提高。中国网站使用有效证书的比例远低于欧美等发达国家。由于应用了清晰的数据传输,恶意拦截和盗窃的风险极高。国内访问HTTPS的比例仅为65%左右,与欧美发达国家的90%相比相对较低。

随之而来的是中国根证书的普遍伪造。

例如,360互联网安全中心在2017年发现了一个附着在插件软件“运行瓦肯多功能援助”上的劫持木马。

运行后,该软件加载木马驱动程序肆意劫持导航和电子商务网站,通过中间人攻击劫持HTTPS网站,还阻止专业的杀毒内核级木马工具运行,从而破坏杀毒软件的正常功能。它直接导致用户在支付过程中被盗。

另一个问题是认证机构多年来不太可靠。

一般来说,在互联网行业,客户信任的私钥掌握在认证公司手中。然而,这些年来,事故在认证机构中频繁发生。任何个人或组织都可以拥有互联网域名的根服务器。在这个系统下,CA公司有很大的权力,可以使用锁来维护安全,也可以使用私钥来威胁安全。

例如,赛门铁克证书门户网站(Symantec Certificate Portal)出现在2017年,当时谷歌铬发现首席认证制造商赛门铁克在谷歌不知情的情况下,错误地发布了30,000个https证书,包括2015年谷歌域名的一天预签证。谷歌在2017年后宣布,2018年10月23日发布的Chrome 70将不再信任赛门铁克的旧证书。

Mozilla宣布其测试版本火狐Nightly 63将停止信任赛门铁克颁发的证书,使用赛门铁克证书访问网站的用户将会看到一条警告消息。Mozilla建议网站所有者尽快更换旧证书。

在这种情况下,360希望建立一个国内的CA/B类组织,以确保国家证书的安全。

在这样的组织中,首先要制定薪资包标准,例如《公开信任证书颁发和管理基线要求》、《拓展验证证书和办法管理指南》、《网络与证书系统安全》。同时,将与认证机构审计机构、认证机构和主要浏览器制造商共同实施这些标准,相互检查和平衡。

将率先制作根证书,不仅针对自己的浏览器,还将帮助竞争对手构建安全的数字证书环境,这将在促进国内网络安全环境方面发挥重要作用。

给中国互联网添加“盾牌”。

360做了三件事以备不时之需,以便建立一个自主可控的根证书。

1。发布自己的根证书计划,设置根身份验证过程和根条目要求等。360浏览器将使用网络服务器的最终用户证书发布SSL/TLS认证的认证策略。360有权为不符合策略的认证机构删除任何证书,甚至是操作系统信任的根证书。

2。建立一个生态系统和一个类似CA/B的组织。目前,来自13个CAs的53个根证书已加入360根证书计划。这些制造商已经成为第一批吃螃蟹的人,从而大大提高了的安全性。

3。呼吁建立由国内操作系统、浏览器制造商、应用商店制造商、认证机构和国家加密管理局参与的国家秘密根证书行业联盟。虽然这一步骤尚未正式采取,但这只是一个相对完整的想法。

带头做证书就像开一个新炉子,又苦又脏又累,而且不赚钱。

就像华为必须努力工作才能得到一个“备用轮胎”。十年前,华为启动了一项名为“商业可持续管理”的战略。每个组件将有两个源代码

“自治”更关注经济问题。如果没有拥有自主知识产权的软件,就有必要购买他人的软件,这可能要付出很高的代价,并不断被他人控制。

和“可控”更强调安全性,强调实施信息和系统的安全监控和管理,并防止非法使用信息和信息系统。特别是在特殊情况下,如果一个信息系统失去控制,后果将不堪设想。

可以说,360独立可控的根证书为中国互联网增添了一个“盾牌”。

[本文由合作媒体授权的投资界转载。这篇文章的版权属于原作者和原出处。这篇文章是作者的个人观点,并不代表投资界的立场。请联系原始作者和原始来源以获得授权。如果您有任何问题,请联系(editor

youtube.com