科技的发展似乎每年更快驰骋一点。但总有一个滞后:加密。为什么故意步伐?因为一个单一的,小的失误也会切断通讯或关停企业。
然而,很多时候,你需要的股票才发现加密的风景似乎一夜之间转化倍。现在是时候。虽然变化是增加了好几年了,效果是显着的。
其中一些变化是在爱德华·斯诺登(Edward Snowden)曝光美国政府庞大的监控设备后不久开始的。还有一些是密码思想进入市场的自然结果,布伦特·沃特斯说,他是德克萨斯大学奥斯汀分校的副教授,也是计算机械协会2015年格雷斯·默里·霍珀奖的获得者。
沃特斯说:“许多可用的新工具和应用都是基于2005年和2006年的研究创新。”“我们刚刚意识到哪种类型的密码功能是可能的。”
向加密世界又迈进了一步
加密的网络通信是迈向更安全的网络世界的第一步,在这个世界中,攻击者无法拦截私人通信、金融交易或一般的在线活动。包括谷歌和Facebook在内的许多网站已经默认为所有用户开启了HTTPS。但对于大多数域名所有者来说,购买和部署SSL/TLS证书以确保访问其网站的流量是一项昂贵而复杂的工作。
幸好,让我们加密它的免费SSL/TLS证书改变了这一局面,为域名所有者提供了工具,让他们的网站轻松启用HTTPS。让我们加密是一个由互联网安全研究小组运营的非盈利认证机构,得到了互联网巨头Mozilla、电子前沿基金会、思科和Akamai的支持。
+也在网络世界:有个足球雷竞技app什么在等待着科技在2017年+
HTTPS有多普遍?去年10月,Let 's Encrypt的负责人、前Mozilla雇员乔希·Aas发布了一份声明图来自Mozilla遥测公司显示那天加载的页面有50%使用HTTPS,而不是HTTP。虽然该图只显示了Firefox的用户,但这个数字仍然很重要,因为第一次加密的页面数量超过了未加密的页面。NSS实验室预计这一趋势将继续下去,预计到2019年75%的网络流量将被加密。
免费产品证书将进一步加快采纳。到明年,发出公开可信的空闲证书的数量可能会多于那些被支付凯文Bocek,在密钥管理公司Venafi安全策略和威胁情报的副总裁说。许多企业也将开始使用免费服务。有了证书成本不再是一个考虑因素,认证机构将重点放在更好的工具来安全地管理证书和保护他们的钥匙。
说到证书管理,经过多年的警告信息,SHA-1证书是薄弱,容易受到攻击,企业正在取得稳步进展向升级到的证书使用SHA-2,集加密散列函数成功过时sha - 1算法。主要浏览器制造商,包括谷歌,Mozilla和微软已经承诺在今年年初弃用SHA-1,并开始阻止仍然使用旧证书的网站。Facebook的停止投放,SHA-1连接和锯“没有可测量的影响,写道:” Facebook的生产工程师沃伊切赫Wojtyniak。
从五月到2016年十月,在网络上使用SHA-1失败了根据火狐的遥测测量,从3.5%到不到1%。然而,企业不能自满,因为根据Venafi最近的估计,大约有6000万个网站仍然依赖于不安全的加密算法。
“我们期待着行业的走向更大的使用像SHA-256更强证书运动” Wojtyniak说。
加密仍然是王道
密码已经输得很惨,在过去的几个月中,与研究人员开发的密码攻击,如淹,如果服务器支持SSLv2,则可以使用它解密用户和服务器之间的TLS连接Sweet32,一种方法攻击加密Web连接通过产生网络流量的巨额资金。
国家行为者的瞄准线也有加密。去年年底,Juniper网络公司被发现的间谍代码植入了防火墙和虚拟专用网络设备的特定模型中。许多专家认为美国国家安全局参与其中。
今年夏天,据称属于美国国家安全局的黑客工具进入地下市场后不久,思科就发现其IOS、IOS XE和IOS XR软件存在漏洞。思科的许多网络设备都使用了这些软件。思科表示,该漏洞可能被用来从设备内存中提取敏感信息,与这些工具利用的漏洞类似,并与操作系统处理vpn密钥交换协议的方式有关。
即使苹果的iMessage应用,海报孩子为企业如何能带来终端到端到端加密群众,有它的问题的份额。密码学教授马修·格林和他的团队的学生在约翰·霍普金斯大学能够制订一个切实可行的适应性选择密文攻击,可以解密在特定情况下的iMessage有效载荷和附件。该小组还发现,iMessage的缺乏前向安全机制,这意味着攻击者可以解密以前加密的消息,如那些存储在iCloud中。向前保密作品产生的设定时间,这样即使攻击者获得的原始密钥后,新的密钥,以前加密的邮件不能被破解。
有一件事是,尽管所有的坏消息明确:密码不破。加密计算背后的数学依然强劲,并且加密仍然是为了保护信息的最佳方式。
“最近的攻击不是在数学上,而是在实施上,”沃特斯说。
事实上,加密工作得非常好,以至于攻击者也依赖它。犯罪分子同样有能力获得密钥和证书来隐藏他们在加密流量中的活动。事实上,这种攻击载体正迅速成为网络罪犯的默认行为,“几乎抵消了添加更多加密的全部目的,”Bocek说。
网络犯罪分子正在使用加密来在勒索很大的影响。一旦文件被加密,受害者必须要么付出了获取密钥或擦拭他们的系统,并开始了。正如攻击目标的实现存在缺陷,安全研究人员已经研制成功解密工具包含在他们的加密代码错误勒索软件的变种。
政府放弃后门
科技公司一直不得不在安全和隐私问题与执法部门对用户信息的要求之间寻求平衡。联邦调查局局长詹姆斯·科米一直在努力推动使用加密技术的产品安装后门,他声称加密技术使用的增加阻碍了刑事调查。虽然公司经常悄悄配合执法部门和情报部门的要求,但这次史无前例的公开对决FBI和苹果表明,近年来,企业开始推陈出新。
联邦调查局在这场斗争中退缩,和国会两党的工作组,既众议院司法和能源与商务委员会的成员,成立以研究加密问题。该众议院司法委员会加密工作组毫不含糊地拒绝科米对后门程序调用,并建议美国寻求其他的解决方案。雷竞技比分
“任何削弱加密的措施都不利于国家利益。工作小组写道在其报告中。国会无法阻止国内或国外的不法分子采用加密技术。因此,委员会应探讨其他策略,以配合执法界的需要。”
该工作组警告称,削弱加密功能,以便警方能够破解加密设备,这将加快刑事调查的速度,但这将是一个短期胜利,“相对于对国家利益的长期影响”。替代策略包括给执法部门提供合法的方法来迫使嫌疑人解锁他们的设备,改进元数据的收集和分析。
虽然工作组报告指出,国会不会追究法律后门,其他加密相关的战斗是在地平线上若隐若现。该报告似乎支持让警方使用“合法黑客”闯入利用软件漏洞的产品,只有执法部门和情报部门知道,这对自身的安全隐患。该技术产业在尽快了解漏洞,因为他们被发现的,而不是没有监督让政府储备他们的兴趣。
至于科米所说的“变黑”,工作组表示,“这一挑战似乎更像是‘变不稳定’。”
添加到企业技术堆栈
加密通信公司Silent Circle联合创始人兼董事长迈克•扬克(Mike Janke)表示,多年来,各国政府一直在宣扬恐怖分子“走向黑暗”的说法,并将一直利用这些担忧。所发生的变化是,企业越来越重视保护其通信栈的安全,不太愿意在这些特性上妥协。
美国国家安全局前雇员爱德华·斯诺登(Edward Snowden)曝光的政府监控规模令许多组织感到震惊。Janke说,他们通过将安全的视频和短信工具以及加密的语音通话集成到企业通信堆栈中来应对。如今,加密在技术对话中占据了更大的比重,因为企业会询问有哪些特性和功能可用。它不再将加密视为需要额外付费的附加功能,而是将其视为与之合作的所有产品和平台的必备功能。
消费者是由监测计划激怒,和传闻证据表明,许多已经签署了加密的通讯应用程序,如WhatsApp的和信号。但在大多数情况下,他们没有支付安全的产品或改变他们的行为,使他们的隐私生活中更大的一部分。
这种变化来自于公民社会组织、工程副总裁和其他技术企业领导人,因为他们处于产品和服务的安全和隐私决策的最前沿。现在,特斯拉内部的每一个部件都有一个加密密钥,通过它,你可以更容易地问电视制造商或玩具制造商:“你们为什么不这样做?”扬克说。
消费者作为企业改变他们对加密的重要性心态谁将会受益于缺省内置加密的。
驾驭创新浪潮
随着2005年到2006年的重要创新和研究最终作为实际应用而出现,密码学的发展呈现出一波又一波的趋势。研究人员目前正着眼于提高“encrpytion的精确度”,而不是目前的“全有或全无”的模式,即如果有东西暴露了,所有的东西就会被泄露。沃特斯说:“植入可以像手术刀一样精确,对信息进行精细的控制。”
谷歌在其神经网络实验中研究了密码学。最近,其谷歌脑该团队创建了两个能够创建自己的加密算法的人工智能系统,以便让他们的信息保密,不让试图主动解密算法的第三个人工智能实例知道。
量子计算的曙光也将刺激新的研究途径。“如果大规模量子计算机是有史以来,他们将能够打破许多公共密钥密码系统目前使用的,”在公告中写道标准与技术研究所。一旦这样的机器广泛普及,“这将严重危及机密性和在互联网上和其他地方的数字通信的完整性。”
为这种不测做准备,NIST征求工作将“新的公开密匙加密标准,指定一个或多个额外的非保密,公开披露数字签名,公钥加密和密钥设立算法能够保护敏感的政府信息在可预见的未来,包括量子计算机的出现。提交的截止日期是2017年11月30日,但NIST承认这项工作需要数年时间来测试和使用,并指出“从历史上看,部署我们现代的公钥密码基础设施花了将近20年的时间。”
NIST表示:“无论我们是否能够估计出量子计算时代到来的确切时间,我们现在必须开始准备我们的信息安全系统,使之能够抵抗量子计算。”
已经有一些耐人寻味的密码学的进步,但它可能会是几年成为提供给企业的IT部门之前,谁知道什么形式,他们会抓住。密码学的未来会有更多的安全。好消息是,我们已经遇到了一些好处了。
《2016年加密:小胜利加起来》(Encryption in 2016: Small victory add up)这篇文章最初是由信息世界 。
