公共密鑰、受信硬件與分組鏈接——開發(fā)人員應(yīng)當(dāng)利用這些技術(shù)工具幫助實(shí)現(xiàn)面向每位用戶的互聯(lián)網(wǎng)保護(hù)目標(biāo)。

時(shí)至今日，互聯(lián)網(wǎng)已經(jīng)成為認(rèn)識(shí)論層面的混沌深淵。根據(jù)Peter Steiner在其著名的《紐約客》動(dòng)畫中所提出的假定——同時(shí)也得到了數(shù)百萬同行的支持——無論是兇猛的惡犬還是宣稱將捍衛(wèi)我們財(cái)產(chǎn)安全的銀行，都沒辦法真正了解我們的交換數(shù)據(jù)包是否被人調(diào)了包。更糟糕的是，Edward Snowden已經(jīng)披露稱，美國(guó)國(guó)安局可能已經(jīng)將我們的部分或者全部數(shù)據(jù)包進(jìn)行了備份，這意味著其它國(guó)家以及部分黑客組織完全可以效法國(guó)安局干出類似的惡行。

[[141546]]

然而，我們?nèi)匀辉趯⒋罅繑?shù)據(jù)傾卸給路由器，并一廂情愿地認(rèn)為這些小小的傳輸設(shè)備能為自己搞定一切——即使不行，麻煩也處于可控范圍之內(nèi)。黑客們有可能會(huì)取得聯(lián)邦政府計(jì)算機(jī)的root權(quán)限并竊取到稅收資料的副本，但除非他們?cè)敢鈳痛蠹医欢悾ㄟ@顯然不可能），否則這類信息外泄好像也沒什么大不了。而在惡意人士竊取到我們的信用卡信息并在Office Depot上購(gòu)買iPad時(shí)，信用卡公司會(huì)負(fù)責(zé)承擔(dān)相應(yīng)損失。沒錯(cuò)，我們很容易陷入這樣一種虛假的安全感當(dāng)中，并為此沾沾自喜。

雖然大多數(shù)普通群眾都因?yàn)樯鲜隼碛啥鴮?duì)互聯(lián)網(wǎng)的混亂不堪與信任缺失狀況視而不見，但這并不代表我們也應(yīng)當(dāng)繼續(xù)心安理得地聽之任之。這種趨勢(shì)除了讓欺詐人士愈發(fā)猖狂之外，還會(huì)帶來更為驚人的深層社交成本。畢竟我們每個(gè)人都需要承受更為可觀的交易費(fèi)用，因?yàn)槠渲邪捎^的潛在欺詐損失成本。這種日益嚴(yán)重的信任缺失最終將傷害到我們每一個(gè)人。

我們當(dāng)然沒辦法運(yùn)起神功讓互聯(lián)網(wǎng)在一夜之間變得完美無瑕，但我們確實(shí)能夠添加更多保障性功能，使得用戶對(duì)互聯(lián)網(wǎng)的信任逐步提高。有鑒于此，今天的文章將為大家?guī)硪韵戮彭?xiàng)指導(dǎo)思路，旨在更為可靠地保護(hù)數(shù)據(jù)、隱私以及通信內(nèi)容安全。修復(fù)互聯(lián)網(wǎng)安全問題是一項(xiàng)崇高、甚至有些高不可攀的目標(biāo)，但如果我們每個(gè)人都在項(xiàng)目開發(fā)工作當(dāng)中將安全考量納入進(jìn)去，那么相信互聯(lián)網(wǎng)世界終將變成美好的人間。

向主要服務(wù)添加公共密鑰

Facebook公司一直在致力于確保自身所服務(wù)的用戶皆為使用真實(shí)姓名的可信群體?？紤]到如此龐大的社交規(guī)模與人類的某些天性，我們沒辦法斷言Facebook在這方面已經(jīng)取得全面成功，但其長(zhǎng)期以來堅(jiān)定推動(dòng)用戶賬戶實(shí)名可信度的作法確實(shí)給互聯(lián)網(wǎng)帶來了深遠(yuǎn)影響與積極意義。

今年以來最令人振奮的消息，可能莫過于Facebook將允許用戶通過Faceoobk系統(tǒng)分發(fā)其PGP公共密鑰了。任何打算通過PGP向個(gè)人發(fā)送郵件的用戶將能夠訪問Facebook并下載到對(duì)方的公共密鑰，并以此為起點(diǎn)立即實(shí)現(xiàn)安全通信。

出于多種原因，這套方案尚稱不上完美，不過其安全水平至少要比使用保障力度更為低下的公共密鑰庫(kù)好得多，而且基本上要比寄希望于隨機(jī)網(wǎng)絡(luò)頁(yè)面提供的正確公共密鑰更為靠譜。在上一次檢查的時(shí)候，我發(fā)現(xiàn)公共PGP服務(wù)器上某些與我姓名相關(guān)聯(lián)的密鑰并不能為我所使用。相比之下，F(xiàn)acebook公司確實(shí)邁出了堅(jiān)實(shí)的一步，其效果比那些運(yùn)行在隨機(jī)服務(wù)器上的免費(fèi)服務(wù)好得多。

我們還需要考慮虛假賬戶的存在以及Facebook與用戶間連接的安全性水平。不過，可以肯定的是真人用戶往往會(huì)定期更新當(dāng)前狀態(tài)，我們能夠很輕松地利用這一點(diǎn)評(píng)估其密鑰是否可信。

那么其它服務(wù)是否也會(huì)開始分發(fā)公共密鑰？它們是否也會(huì)著手建立一套更為可信的網(wǎng)絡(luò)環(huán)境？銀行與信用卡發(fā)卡機(jī)構(gòu)可能會(huì)率先行動(dòng)。出納員及分支機(jī)構(gòu)員工已經(jīng)非常了解監(jiān)管事務(wù)，他們能夠有效提高公共密鑰庫(kù)的受信水平。學(xué)校與大學(xué)對(duì)于學(xué)生們的操作活動(dòng)也比較了解，因此能夠作為另一種理想的起步環(huán)境。總而言之，任何一種能夠幫助我們更接近PGP締造者Phil Zimmerman長(zhǎng)久以來所構(gòu)想的理想網(wǎng)絡(luò)信任效果的努力都值得我們稱道并加以推動(dòng)。

構(gòu)建更出色的隨機(jī)數(shù)生成器

如果攻擊者能夠猜出我們的密鑰，那么目前市面上現(xiàn)有的任何加密機(jī)制都將失去作用。解決這一問題的傳統(tǒng)辦法之一在于使用由隨機(jī)數(shù)生成器所挑選的隨機(jī)密鑰。不過新的問題又來了：這種隨機(jī)數(shù)生成器是否值得信任？

這絕不僅僅是種理論層面的可能性。2007年，來自微軟公司的兩位研究人員就在Dual_EC_DRBG（即雙橢圓曲線確定性隨機(jī)數(shù)位生成器）當(dāng)中出現(xiàn)了潛在的后門，隨后技術(shù)行業(yè)很快將其打入了冷宮。最后，在經(jīng)過數(shù)年的論證之后，國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)于2014年決定徹底中止對(duì)該算法的支持。

然而，即使是最出色的研究人員也很難找出那些潛在的后門，因此將希望單純寄托在他們身上將令用戶身陷危險(xiǎn)。那么我們?cè)撊绾未_保自己所使用的隨機(jī)數(shù)生成器安全可靠？舉例來說，大家可以利用加密安全散列功能提高復(fù)雜性水平，從而進(jìn)一步提高生成器所生成數(shù)值的隨機(jī)性。

任何加擾機(jī)制都會(huì)加入額外的數(shù)字內(nèi)容，從而提高攻擊者獲取控制權(quán)的難度——舉例來說，他們可能需要投入更多時(shí)間或者來自網(wǎng)絡(luò)的全局可下載值，例如比特幣分組鏈接之上的當(dāng)前散列值。這將有效防止攻擊者們對(duì)隨機(jī)數(shù)生成器的輸入內(nèi)容加以控制。

隨著越來越多算法開始將加密機(jī)制納入自身，我們需要比以往更為豐富的備選隨機(jī)密鑰。要擁有一套穩(wěn)定且不易被猜到的隨機(jī)密碼生成機(jī)制，我們?cè)诩夹g(shù)基礎(chǔ)的構(gòu)建方面還有很長(zhǎng)的道路需要探索。

擴(kuò)展受信硬件

考慮到軟件層以及現(xiàn)代計(jì)算機(jī)設(shè)備的復(fù)雜性，我們?cè)谀J(rèn)情況下應(yīng)當(dāng)將它們首先視為不安全狀態(tài)。臺(tái)式設(shè)備乃至智能手機(jī)當(dāng)中可能包含有大量潛在后門，就連打印機(jī)產(chǎn)品也未必像大家想象的那樣處于全面受控狀態(tài)之下。

技術(shù)研究業(yè)界長(zhǎng)期以來都在嘗試創(chuàng)造出一種有針對(duì)性的小型計(jì)算機(jī)設(shè)備。其中一部分專門負(fù)責(zé)計(jì)算特定登錄操作，另一部分則計(jì)算數(shù)字簽名。用戶的個(gè)人密鑰可以被鎖定在單一芯片當(dāng)中，這樣惡意人士將很難提取到其中的機(jī)密數(shù)據(jù)。盡管我們可能永遠(yuǎn)無法保證信息百分之百處于安全狀態(tài)之下，但這類設(shè)備確實(shí)能夠構(gòu)建起相對(duì)理想的防御體系，從而限制惡意人士的攻擊能力。舉例來說，它能夠利用機(jī)械開關(guān)來防止機(jī)密數(shù)據(jù)為他人所訪問。另外，每次開關(guān)處于啟用狀態(tài)時(shí)，它也可以確保賦值操作只生效一次。

如果每個(gè)人都能使用這樣一款小型受信設(shè)備，那么每個(gè)人都將能夠創(chuàng)建數(shù)字化簽名，從而將網(wǎng)絡(luò)信任水平推上新的高度。雖然設(shè)備丟失及安全漏洞仍可能構(gòu)成威脅，但這些小部件的出現(xiàn)無疑將令互聯(lián)網(wǎng)變得更加靠譜、也更令人放心。

將Merkle樹引入文件系統(tǒng)

眾所周知，數(shù)字文件的內(nèi)容能夠輕松進(jìn)行修改。相較于將修改過程詳細(xì)表現(xiàn)出來的紙質(zhì)記錄，數(shù)字文件顯然能夠根據(jù)需要以任意內(nèi)容示人。而更糟糕的是，大部分文件系統(tǒng)并不太關(guān)注內(nèi)容修改時(shí)的操作記錄。水平較高的黑客不僅能夠修改文件本身，同時(shí)也能夠?qū)τ涗涍M(jìn)行回溯，從而令人完全看不出其篡改痕跡。

檢測(cè)內(nèi)容變更的最簡(jiǎn)單辦法就是使用加密安全散列功能，該值的作用類似于對(duì)文件進(jìn)行校驗(yàn)且很難被攻擊者所偽造。數(shù)據(jù)當(dāng)中的任何變更都會(huì)反映到該散列值當(dāng)中，而且我們幾乎不可能在不影響散列值變化的前提下對(duì)文件內(nèi)容加以修改。

當(dāng)文件內(nèi)容隨時(shí)間推移發(fā)生變化時(shí)，散列值序列本身可以通過Merkle樹進(jìn)行散列化處理。這能夠確保我們了解文件的變化歷史，包括其具體修改時(shí)間。像這類經(jīng)過良好計(jì)算的散列值已經(jīng)成為Git協(xié)議當(dāng)中的固有組成部分。只要更多地將此類處理思路納入到總體文件系統(tǒng)當(dāng)中，我們就能更為準(zhǔn)確地把握文件動(dòng)態(tài)。雖然這些系統(tǒng)只能檢測(cè)到是否存在內(nèi)容變更，但卻無法隨時(shí)加以修復(fù)，不過仍然要比以往那種一無所知的狀態(tài)好得多。

#p#

構(gòu)建更多分組鏈接并將其拓展到其它領(lǐng)域

比特幣生態(tài)系統(tǒng)包含有眾多政治與社會(huì)因素，這讓人們往往忽視了其中分組鏈接機(jī)制的存在。人們樂于討論比特幣的出現(xiàn)是否會(huì)顛覆中央銀行體系，或者是否會(huì)衍生出一個(gè)法律無法觸及的匿名犯罪世界。但無論這些問題的正確答案是什么，其重要的核心實(shí)質(zhì)并非體現(xiàn)在投機(jī)活動(dòng)之上，而是分組鏈接能夠增加互聯(lián)網(wǎng)的穩(wěn)定性與可信度。

從核心實(shí)質(zhì)角度看，比特幣是一種集中式分戶總賬，它所采用的交易記錄方式很難——甚至在某種程度上不可能被修改。分戶總賬當(dāng)中的條目通常會(huì)記錄下誰(shuí)將比特幣轉(zhuǎn)移給了誰(shuí)，而我們完全有理由將這種方式用于修復(fù)存在于虛擬實(shí)例當(dāng)中的其它數(shù)據(jù)。如果某位學(xué)生對(duì)一份論文作出了輪流補(bǔ)充，那么他或她也可以在分組鏈接當(dāng)中為該文件記錄一條散列值。如果這篇論文由于垃圾郵件過濾器或者其它技術(shù)故障而發(fā)生丟失，那么學(xué)生還是可以證明該論文已經(jīng)在特定時(shí)間曾被提交完成。

我們還可以利用此類方式記錄各種散列值來提高互聯(lián)網(wǎng)受信程度，以應(yīng)對(duì)人們對(duì)于特定時(shí)間段內(nèi)對(duì)于操作歷史的驗(yàn)證需求，目前也已經(jīng)有眾多比特幣初創(chuàng)企業(yè)在利用這種方式探索商業(yè)化可能性。盡管比特幣挖掘領(lǐng)域仍然存在諸多問題，運(yùn)行分組鏈接的成本也仍然比較高昂，但這項(xiàng)技術(shù)本身確實(shí)非常可靠、而且足以在貨幣交易之外發(fā)揮巨大的安全保護(hù)作用。

將鏈接機(jī)制引入互聯(lián)網(wǎng)交互

作為互聯(lián)網(wǎng)中最為基礎(chǔ)的組成部分之一，基本HTTP調(diào)用僅僅屬于bit的集合。而HTTPS則在其中添加了安全層，能夠排除監(jiān)聽者的存在并對(duì)修改內(nèi)容作出標(biāo)注，但它同時(shí)也會(huì)提高所有交互的執(zhí)行成本。

一種較為簡(jiǎn)單的解決方案就是為所有交互操作計(jì)算Merkle樹。雖然并不是所有HTTP流量都能夠整理成易于進(jìn)行散列處理的簡(jiǎn)單命令列表，但相當(dāng)一部分仍然適用于這種方法。對(duì)于來自某些頁(yè)面的AJAX調(diào)用，我們也可以對(duì)其架構(gòu)進(jìn)行細(xì)微調(diào)整來實(shí)現(xiàn)簡(jiǎn)化。

建立交叉鏈接認(rèn)證網(wǎng)站

基礎(chǔ)Git庫(kù)的作用并不僅僅是提供文件存儲(chǔ)空間。其協(xié)議能夠在保存文件之外將其發(fā)送至其它庫(kù)當(dāng)中，同時(shí)在提交過程中通過計(jì)算全部文件的SHA-1散列監(jiān)控其內(nèi)容修改情況。

不過為什么要止步于單一存儲(chǔ)庫(kù)？為什么不將數(shù)字簽名或者散列值與其它庫(kù)進(jìn)行交換，從而借此提升網(wǎng)絡(luò)受信水平？

Inter Planetary文件系統(tǒng)就是這樣一種實(shí)驗(yàn)性方案，其嘗試將Web轉(zhuǎn)化為一套龐大而且相互連接的文件系統(tǒng)。我們需要探索更多方式將來自不同網(wǎng)站的信息進(jìn)行對(duì)接。策劃者可以將這些資源加以整合，從而立足多個(gè)站點(diǎn)構(gòu)建起整套受信網(wǎng)絡(luò)體系。

添加同態(tài)加密機(jī)制

服務(wù)器能夠以多種方式存儲(chǔ)信息，從而保證其既得到加密又仍然擁有可用性。換句話來說，服務(wù)器能夠在不影響用戶隱私的前提下對(duì)數(shù)據(jù)進(jìn)行持續(xù)存儲(chǔ)。感興趣的朋友可以點(diǎn)擊此處查閱《半透明數(shù)據(jù)庫(kù)》一書了解更多詳盡細(xì)節(jié)（英文原文）。

在過去幾年當(dāng)中，以加密形式處理數(shù)據(jù)這一難題已經(jīng)在理論層面上取得了一系列激動(dòng)人心的成果。各類數(shù)據(jù)庫(kù)能夠?qū)σ?guī)模龐大的個(gè)人信息集合進(jìn)行分類及搜索，而無需保留未經(jīng)加密的版本。它們能夠在無需獲取底層信息的前提下執(zhí)行計(jì)算任務(wù)。

對(duì)我們無法實(shí)際查看或者讀取的數(shù)據(jù)進(jìn)行計(jì)算，這聽起來有點(diǎn)怪力亂神的意思，不過我們已經(jīng)擁有多種理想的實(shí)踐解決方案達(dá)成這一目標(biāo)。其中最出色的可能要數(shù)Unix密碼文件，它能夠保存一條經(jīng)過加密的密碼安全散列值，而非密碼內(nèi)容本身。當(dāng)用戶進(jìn)行登錄時(shí)，該系統(tǒng)可以對(duì)輸入字符串進(jìn)行散列處理，并將其與數(shù)據(jù)庫(kù)內(nèi)的值進(jìn)行比對(duì)。不過任何一位獲得密碼文件訪問權(quán)限的用戶都無法真正查看到實(shí)際密碼內(nèi)容，因?yàn)樵撐募?dāng)中存儲(chǔ)的僅僅是其散列化版本。

這種新型解決方案極具發(fā)展?jié)摿Γ珔s遠(yuǎn)遠(yuǎn)未能融入實(shí)際應(yīng)用層面。某些方案需要耗費(fèi)數(shù)年時(shí)間才能解決非常簡(jiǎn)單的計(jì)算難題，但它們?cè)谒俣确矫嬲鸩较蚩尚行苑较蜻~進(jìn)。雖然尚需要加以進(jìn)一步研究，但這類承諾幫助企業(yè)簡(jiǎn)化數(shù)據(jù)庫(kù)情報(bào)處理任務(wù)、同時(shí)又能避免個(gè)人隱私泄露的技術(shù)成果確實(shí)相當(dāng)令人興奮。

添加加密機(jī)制

單純采取規(guī)模最大且最簡(jiǎn)單的解決方案似乎非常愚蠢，但事實(shí)上，將更多加密機(jī)制引入其中確實(shí)能夠讓惡意人士的監(jiān)聽活動(dòng)變得更加困難。目前已經(jīng)有谷歌、Facebook以及蘋果等一系列知名網(wǎng)站開始在默認(rèn)情況下開啟SSL加密，而其它站點(diǎn)也應(yīng)當(dāng)加入這一行列。將SSL納入全部網(wǎng)絡(luò)流量雖然會(huì)帶來額外負(fù)載壓力，但也會(huì)提供更理想的可管理性空間。

我們也可以通過其它多種標(biāo)準(zhǔn)實(shí)現(xiàn)加密機(jī)制的添加。IPSec與TLS都能夠?yàn)橛巫哂诳蛻舳思胺?wù)器之間的數(shù)據(jù)包提供良好的加密效果。不過這些算法仍然默認(rèn)信任服務(wù)器，這種解決思路對(duì)于某些服務(wù)確實(shí)可行，但在服務(wù)器僅僅充當(dāng)中介機(jī)制的情況下則不太理想。

將端到端加密工具同電子郵件及聊天產(chǎn)品相整合已經(jīng)成為強(qiáng)化通訊活動(dòng)基礎(chǔ)安全水平的必要方式。雖然攻擊者能夠從服務(wù)器以及操作系統(tǒng)層面破解這種保護(hù)手段，但其仍然是幫助人們建立互聯(lián)網(wǎng)安全及可控信任度的最簡(jiǎn)單辦法。

原文標(biāo)題：9 ways developers can rebuild trust on the Internet