专栏观察

中国互联网需要数字证书自主可控

文|吴俊宇

电影《骇客追缉令》之中有这样一个情节:

被誉为有史以来最厉害的电脑骇客,凯文·密尼克侵入家电信公司,入侵联邦调查局的电脑,在网路世界中成为最难以捉摸的骇客之王,然而他却希望能遇上一个真正的挑战,入侵著名物理学家兼电脑天才下村勤的电脑系统。

为了突破下村勤的电脑,他采用了无数办法,其中之一的策略就是用一个钓鱼网站去实现欺诈。

事实上,这种情节在现实生活中一点都不少见。我们总是能见到有人因为钓鱼网站最终被骗的事件。

2015年,一群90后小伙利用支付宝钓鱼网站,通过旺旺聊天工具,给淘宝卖家群发钓鱼网站链接,以所需购买产品的链接无法打开为由,窃取淘宝卖家的支付宝信息并对其实施诈骗。

短短半个月的时间,该诈骗案件涉及全国28个省,60多个地级市,涉及受害人4000余人,总计涉案价值达100余万元。

每逢高考结束之后,则是由不法分子利用考生、家长的急切查分、急切了解高校信息的心态,开始“钓鱼”。

“高考志愿不用愁,高科技软件来帮你”,“高考收费志愿填报指导专家”为你“提供内部信息”等等的宣传随处可见。

不过,360正在推出根证书计划,为中国互联网加上“盾牌”。

国家层面:需要自主可控

数字证书需要自主可控,从国家维度上看就是一大需求。

今年6月,360智库就曾发文认为,中美贸易战背后是科技战,同时科技战与网络战叠加共振,网络战已经在悄然发生,成为大国博弈的重要手段。

华为被禁事件便表明,美国对我国高科技产业发展的打压已经无所不用其极,在贸易摩擦的表象下,实质透着霸权国家对新兴大国的战略遏制。

事实上,数字证书体系、根域名解析系统(DNS)等一批都是“卡脖子”工程。

重要网站使用国外证书威胁国家安全,涉及国计民生的网站中99%都在使用美国颁发的数字证书,“恶意”吊销证书、伪造证书等可导致网络瘫痪或信息泄露。

对网站使用国外证书情况底数不清,国外认证机构在我国范围内提供电子认证服务未经备案,缺乏监管难以有效评估证书对抗过程中的安全风险。

一旦未来出现围绕数字证书的网络空间战,情况可能会超出想象。我们可以设想这样几个极端情况。

1、如果被境外吊销已颁发证书,将直接导致我国互联网和物联网瘫痪,相关系统和设备无法使用;

2、如果在信息战之中被针对军工、政府等关键部门有意颁发“坏”证书,境外黑客组织可能会直接潜伏进入关键系统;

3、如果被非法加解密数据,数字证书机构可为国外情报机构提供伪造的数字证书,以窃取机密信息;

4、一旦出现战略对抗的局面,海外颁发数字证书的CA机构其实很容易被“绑票”,在胁迫之下为竞争对手提供用户每次访问网站的时间、地点、IP等社会运行关键信息,把控我国重要数据;

我们甚至可以这么说,独立自主可控的数字证书,就相当于一个国家互联网的“命根”。然而至少在当下,中国互联网的命根捏在别人手里,在极端情况下会成为“阿喀琉斯之踵”。

个人层面:提高用户安全

从个人互联网安全层面上说,数字证书也需要得到普及。

目前大部分用户都分不清“http”网站和“https”网站的区别,有数字证书认证的网站才是“https”。

但不法人员通过会模仿制作一些与正规企业网站,银行网站及交易平台网站非常类似的网站,模仿一些真实网站地址以及网站页面,或利用正规网站程序的一些漏洞在该网站某些页面中加入伪装的危险代码,通过用户输入来骗取用户银行或信用卡账号、密码等私人资料。

这需要数字证书的认证才能够保证安全。这更需要数字证书颁发机构(简称CA)为最终用户数据加密的公共密钥和证书。CA机构的责任就是确保公司或用户收到有效的身份认证是唯一证书——只有在拿到数字证书之后才能成为“https”网站。

然而,国内数字证书的发展存在很大的软肋软肋。

首先是普及率低。

国内数字证书普及率仍需提高,我国网站使用有效证书的比例远低于欧美等发达国家,应用数据明文传输,恶意拦截和窃取风险极大。国内HTTPS访问量比例只有65%左右,和欧美发达国家的90%相比相对偏低。

其次是国内伪造根证书情况非常普遍。

比如说,360互联网安全中心在2017年就曾发现过一款名为“跑跑火神多功能辅助”的外挂软件中附带的劫持木马。

这款软件运行后加载木马驱动大肆劫持导航及电商网站,利用中间人攻击手法劫持HTTPS网站,同时还阻止杀内核级木马的专业工具运行,破坏杀软正常功能。直接引发用户在在支付时被盗。

另外一个问题在于,CA机构这些年来也没那么靠谱。

一般来讲,互联网行业之中,客户端信任的私钥握在CA公司手中,但这些年来,CA机构事故频发,任何个人或组织都可握有互联网域名的根服务器,这种体系之下,CA公司权力很大,既可以用一把锁维护安全,也可以私自配一把私钥威胁安全。

比如说,2017年出现的赛门铁克证书门,当时Google Chrome发现头部CA厂商Symantec(赛门铁克)错误签发3万张https证书,包括2015 年在Google 不知情下为Google 域名颁发了有效期一天的预签证书,Google 在2017年之后宣布从2018 年10 月23 日发布的Chrome 70 将停止信任赛门铁克的旧证书。

Mozilla 则是宣布它的测试版本Firefox Nightly 63 将停止信任赛门铁克签发的证书,用户访问使用赛门铁克证书的网站将会看到警告信息。Mozilla 建议网站所有者尽可能快的替换旧证书。

正式在这种情况下,360希望构建国内的类CA/B组织,保障国家证书安全。

在这样的组织之中,首先会制定CA/B标准,比如说明确《公开信任证书颁发和管理基线要求》、《拓展验证证书和办法管理指南》、《网络与证书系统安全》。同时还会联合CA审计机构、CA机构以及各大浏览器厂商共同执行这些标准,相互制衡。

牵头做根证书,不只是自家的浏览器,也会帮助竞品一起构建安全的数字证书环境,这对国内的网络安全环境来说会起到重要推动作用。

给中国互联网加上“盾牌”

为了建立自主可控的根证书,360未雨绸缪做了三件事情。

1、发布自有根证书计划,设立入根认证流程及入根要求等,360浏览器会为使用web服务器的终端用户证书用于SSL/TLS认证公布了认证策略,对不符合策略的CA机构,360有权移除任何证书,甚至包括操作系统信任的根证书。

2、组建生态圈,构建类CA/B组织,目前已有13家CA的53个根证书加入360根证书计划,这些厂商成了第一批吃螃蟹的人,网页地址安全性也因此得到了大大提升。

3、号召建立国密根证书行业联盟,联合国产操作系统、浏览器厂商、应用商店厂商、CA机构以及以及国家密码局参与其中。虽然这一步还没有正式迈出仅仅只是一个比较完整的构想。

牵头做根证书,无异于是重起炉灶,而且这件事情又苦又脏又累还不挣钱。

这就像是华为拼死拼活也要搞“备胎”,在10年前,华为就在开始了一个名为“商业可持续管理”的战略,每一个元器件都会有两个供应来源,甚至会自己研制。

这是为未来长期发展做打算。这也是周鸿祎会公开,建议华为将鸿蒙操作系统开源,成为中国互联网产业共同系统的原因。

正如哈维尔一句话所说的,我们坚持一件事情,并不是因为这样做了会有效果,而是坚信,这样做是对的。

“自主可控”在互联网重要技术领域再怎么强调也不为过。

“自主”更多的是强调经济问题,如果没有自主知识产权的软件,就必须采购别人的软件,可能要付出高昂的代价,还要时时受制于人;

而“可控”更多的是强调安全,强调对信息和系统实施安全监控管理,防止非法利用信息和信息系统,尤其在特殊情况下,信息系统一旦失控,后果不堪设想。

可以说,360独立自主可控根证书正在为中国互联网加上一道“盾牌”。

--------------------------------------------

作者 | 吴俊宇 公众号 | 深几度

作者系独立撰稿人,微信号852405518

关注科技公司、互联网现象的解读

曾获钛媒体2015、2016、2018年度作者

新浪创事记2018年度十大作者

品途网2016年度十大作者

腾讯科技2015年度最具影响力自媒体

希望看到您的想法,请您发表评论x