近期Facebook宣布將為其消息傳遞服務(wù)采用OpenPGP加密，同時(shí)允許用戶在他們的Facebook配置文件中張貼公鑰。這些改進(jìn)如何改善Facebook的安全性?其他服務(wù)和消息傳遞應(yīng)用是否也該依法效之呢?

[[156637]]

斯諾登事件增加的人們對(duì)網(wǎng)絡(luò)隱私的擔(dān)憂，幾家大型互聯(lián)網(wǎng)公司都開(kāi)始加強(qiáng)其安全控制以保障其用戶在線數(shù)據(jù)和通信安全以防被窺探。舉例來(lái)說(shuō)，現(xiàn)在最受歡迎的網(wǎng)站使用數(shù)字證書，從而讓用戶能夠查看跨HTTPS的頁(yè)面，HTTPS加密服務(wù)器和瀏覽器之間的流量。Facebook也使用了這種安全控制，也采用了HTTP嚴(yán)格傳輸安全機(jī)制，是瀏覽器只能在使用HTTPS連接Facebook。對(duì)于哪些想要額外隱私保護(hù)的用戶，F(xiàn)acebook提供了一個(gè)在線Tor。(注意下，這個(gè)連接只能在開(kāi)啟Tor的瀏覽器上運(yùn)行。)

不過(guò)Facebook的加密部署間仍有些許空檔，比如說(shuō)，目前Facebook Messenger不提供端到端加密，雖然該公司使用TLS來(lái)保障安全連接到用戶的電子郵件提供商，它發(fā)送給他們的個(gè)人電子郵件地址消息是明文的。這意味著盡管從Facebook服務(wù)器到用戶帶女子郵件服務(wù)器的消息是加密的，但是一旦傳送，就可能被任何取得用戶權(quán)限的人閱讀。Facebook給用戶發(fā)送各種郵件安全提醒通知，例如密碼重置，都包含敏感信息，這需要更好的保護(hù)措施。

對(duì)于非技術(shù)人員，端到端加密是很難理解并使用的，因?yàn)樗ǔＰ枰謩?dòng)處理來(lái)交換發(fā)送方和接收方之間的公鑰，在任意時(shí)間它們發(fā)送郵件或任何其他類型的消息。這已為電子郵件加密所廣泛采用。

盡管如此，F(xiàn)acebook宣布其打算通過(guò)允許用戶上傳他們的OpenPGP公鑰到他們的配置文件中來(lái)支持端到端電子郵件加密。這將允許任何人，包括Facebook通過(guò)使用基于PGP的加密來(lái)給用戶發(fā)送加密的郵件。假如用戶郵件賬戶被攻擊或消息被攔截，F(xiàn)acebook使用帶有用戶公鑰的加密郵件將呈不可讀狀態(tài)。Facebook也將為對(duì)外傳至選擇使用自己的OpenPGP公鑰接收加密通知的用戶的消息進(jìn)行標(biāo)記。

OpenPGP是一個(gè)已存在近20年的開(kāi)源的端到端加密標(biāo)準(zhǔn)。雖然它使用數(shù)字證書，但并不依賴證書認(rèn)證方來(lái)認(rèn)證其公鑰信息。相反，證書經(jīng)由證書列表上其他支持公鑰協(xié)會(huì)的用戶簽署。這種分散的信任模型被稱作為信任網(wǎng)絡(luò)。Facebook已選用一個(gè)廣為使用并自由部署OpenPGP標(biāo)準(zhǔn)的GNU隱私保護(hù)(GPG)。該軟件需要生成及管理一對(duì)兒PGP密鑰，其中帶有操作指南，可以從GPG網(wǎng)站上下載。

目前，F(xiàn)acebook新的OpenPGP加密功能只適用于臺(tái)式機(jī)，尚未支持移動(dòng)設(shè)備，不過(guò)通過(guò)促進(jìn)其使用，F(xiàn)acebook可增加加密的使用來(lái)保護(hù)一些列在線服務(wù)的郵件內(nèi)容安全。加密最好是無(wú)處不在且自動(dòng)的，這也意味著不能從高敏感會(huì)話中區(qū)分出簡(jiǎn)單會(huì)話。

Facebook并不是唯一一家添加加密服務(wù)的公司。雅虎和谷歌的端到端帶女子郵件加密擴(kuò)展也是基于OpenPGP加密的，同時(shí)，Open Whisper Systems、Silent Circle以及蘋果公司的iMessage都提供端到端加密。政府憂心該做法會(huì)限制其對(duì)抗恐怖主義威脅的能力，不過(guò)另一些人則認(rèn)為這是一項(xiàng)保護(hù)隱私的技術(shù)。這是需要探討的另外一個(gè)話題，不過(guò)我們能看到的是越來(lái)越多的供應(yīng)商將加密納入到其服務(wù)和消息傳遞應(yīng)用程序當(dāng)中去。