并不夸張的說(shuō)，是PKI(公鑰基礎(chǔ)設(shè)施)將互聯(lián)網(wǎng)黏合在一起，但隨著互聯(lián)網(wǎng)發(fā)展成萬(wàn)物互聯(lián)的多面生態(tài)系統(tǒng)，PKI也必須順應(yīng)時(shí)勢(shì)快速進(jìn)化，以滿足當(dāng)今市場(chǎng)的需求。

[[223957]]

在互聯(lián)網(wǎng)發(fā)展早期的21世紀(jì)初，網(wǎng)絡(luò)管理規(guī)定還不是太多。那個(gè)時(shí)期可謂PKI的“狂野西部”時(shí)期。證書頒發(fā)機(jī)構(gòu)(CA)無(wú)需遵循任何標(biāo)準(zhǔn)，有些機(jī)構(gòu)甚至還會(huì)頒發(fā)出有效期10年的證書。在日新月異的網(wǎng)絡(luò)時(shí)代，10年有效期簡(jiǎn)直堪比英國(guó)女王的“超長(zhǎng)待機(jī)”了。

隨著CA社區(qū)內(nèi)部癥結(jié)的滋生，一組志同道合之人聯(lián)合瀏覽器社區(qū)持類似想法的人士于2005年成立了CA/B論壇(數(shù)字證書/瀏覽器論壇)，通過建立證書頒發(fā)和管理的一系列章程和基本要求來(lái)監(jiān)管數(shù)字證書頒發(fā)過程，意圖標(biāo)準(zhǔn)化證書頒發(fā)，最大程度地減少誤頒現(xiàn)象。

CA/B論壇成立至今，互聯(lián)網(wǎng)規(guī)模已經(jīng)歷了爆炸式增長(zhǎng)，如今常見家電基本都已具備聯(lián)網(wǎng)功能，連小孩子的玩具都能接入互聯(lián)網(wǎng)了。當(dāng)然，黑帽子也結(jié)成了團(tuán)伙，從事各種各樣的網(wǎng)絡(luò)犯罪活動(dòng)，比如網(wǎng)絡(luò)戰(zhàn)、網(wǎng)絡(luò)釣魚等等。

如今，我們的基礎(chǔ)設(shè)施仍然面臨自身的諸多問題，但幸運(yùn)的是，有很多網(wǎng)絡(luò)安全研究人員在協(xié)力CA/B論壇，不斷推動(dòng)新章程的產(chǎn)生，助力PKI跟上當(dāng)前技術(shù)的發(fā)展。

那么2018年，關(guān)于PKI，我們可以期待些什么呢?

1. 采用PKI才合規(guī)

Let’s Encrypt 和谷歌已經(jīng)為“泛在HTTPS”鋪平了道路。如果能獲得免費(fèi)的 DV SSL 證書，有什么理由不用呢?當(dāng)前，超過的68%的Chrome流量已經(jīng)是HTTPS的了，無(wú)論是安卓設(shè)備的還是Windows設(shè)備的。谷歌還計(jì)劃在2018年7月將所有非HTTPS網(wǎng)站都標(biāo)記為“不安全”。

免費(fèi)證書易得，加上“不安全”標(biāo)記的壓力，讓行業(yè)監(jiān)管機(jī)構(gòu)有可能強(qiáng)制業(yè)內(nèi)采用HTTPS。最近涉及PKI的一些法案有：

• GDPR
• eIDAS
• PCI DSS
• HIPAA

前所未有地，所有行業(yè)的公司企業(yè)，無(wú)論規(guī)模大小，都被迫正視數(shù)據(jù)安全的需求了。畢竟，如今數(shù)據(jù)就是資產(chǎn)，保護(hù)數(shù)據(jù)不僅僅意味著保護(hù)消費(fèi)者和客戶，還意味著保護(hù)一個(gè)品牌的信譽(yù)和公司的價(jià)值。

大多數(shù)公司當(dāng)下都正處于從紙質(zhì)到數(shù)字化交易的巨大轉(zhuǎn)變過程中。有些公司正在進(jìn)行全面的數(shù)字化改造方案，實(shí)現(xiàn)一些技術(shù)和過程來(lái)提高服務(wù)效率，自動(dòng)化以往需要人工處理的那些繁瑣過程。

數(shù)字化轉(zhuǎn)型的喧囂中，監(jiān)管機(jī)構(gòu)發(fā)現(xiàn)，圍繞不停流轉(zhuǎn)的數(shù)據(jù)，必須實(shí)施加密和防護(hù)方面的策略。而PKI就是可以幫助公司企業(yè)符合這些策略規(guī)定的工具之一。

2. 物聯(lián)網(wǎng)PKI

以醫(yī)院為例。醫(yī)療物聯(lián)網(wǎng)設(shè)備是我們目前很常見的物聯(lián)網(wǎng)設(shè)備類型。

這些設(shè)備可以實(shí)時(shí)收集患者身體狀態(tài)數(shù)據(jù)，讓醫(yī)生及時(shí)發(fā)現(xiàn)問題，救助患者生命。住院病人身上可以連接傳感器，在生命體征下降的時(shí)候向醫(yī)生發(fā)出警報(bào)。醫(yī)生還可以給出院病人開具帶追蹤器的藥，掌握病人有沒有按時(shí)吃藥的情況。甚至心臟起搏器之類常用醫(yī)療設(shè)備也可以進(jìn)行物聯(lián)網(wǎng)升級(jí)，向患者及其主治醫(yī)生發(fā)送預(yù)示心力衰竭或中風(fēng)的關(guān)鍵指標(biāo)。

物聯(lián)網(wǎng)設(shè)備制造商已漸漸開始意識(shí)到在自家產(chǎn)品中實(shí)現(xiàn)安全的重要性。但直到現(xiàn)在，大部分消費(fèi)者在購(gòu)買物聯(lián)網(wǎng)產(chǎn)品時(shí)還是沒有太重視安全因素。不過，隨著重視安全的消費(fèi)習(xí)慣的養(yǎng)成，制造商為了在市場(chǎng)中領(lǐng)先一步也會(huì)對(duì)安全多家投入。

各國(guó)政府都在大力發(fā)展智慧城市、智能電網(wǎng)、智能醫(yī)療設(shè)備和自動(dòng)駕駛汽車，我們的整個(gè)基礎(chǔ)設(shè)施終有一天會(huì)迎來(lái)天翻地覆的變化。我們必須確保通過互聯(lián)網(wǎng)相互“對(duì)話”的每臺(tái)設(shè)備是可信的，否則只要黑客入侵了設(shè)備，我們就將面臨難以預(yù)料的風(fēng)險(xiǎn)。

如果物聯(lián)網(wǎng)生態(tài)系統(tǒng)沒有加密、身份驗(yàn)證和數(shù)據(jù)完整性的保護(hù)，難以想象我們會(huì)失去什么。

3. HTTPS成標(biāo)準(zhǔn)做法

正如前文提到的，安卓和Windows系統(tǒng)上的Chrome流量已經(jīng)68%都是加密的了。當(dāng)然，并不是所有的瀏覽器都是這種情況。但回顧一下流量加密的指數(shù)級(jí)增長(zhǎng)，那可是1年之內(nèi)就從過去20年才達(dá)到40%的Web加密率直接躍升到了50%啊!而到了2018年1月，加密比例已經(jīng)高達(dá)68%?？芍^相當(dāng)驚人的增長(zhǎng)。

隨著谷歌將在瀏覽器中把非HTTPS標(biāo)記為“不安全”提上日程，網(wǎng)站擁有者為了保住自己在搜索引擎和瀏覽器中的可見性，也不得不全面轉(zhuǎn)向HTTPS。通過這一舉動(dòng)，谷歌為大眾上了一堂網(wǎng)絡(luò)安全教育課，確保人們優(yōu)先考慮加密。2018年7月，當(dāng) Chrome 68 發(fā)布的時(shí)候，Chrome就會(huì)將所有HTTP網(wǎng)站標(biāo)記為“不安全”了。

而在定于2018年4月16日發(fā)布的 Chrome 66 中，2016年6月1日之前頒發(fā)的賽門鐵克證書將不再被Chrome信任。到 Chrome 70 發(fā)布之時(shí)，所有2017年12月1日之前頒發(fā)的賽門鐵克SSL證書不受谷歌Chrome信任。

目前大量網(wǎng)站仍在使用賽門鐵克或其子公司(GeoTrust、Verisign和RapidSSL)的證書。TechTarget估測(cè)，Alexa上排名前100萬(wàn)的網(wǎng)站中大約有10.3萬(wàn)在用賽門鐵克根證書。約1.1萬(wàn)證書將隨著 Chrome 66 的發(fā)布而退出歷史舞臺(tái)，另外9.1萬(wàn)會(huì)在 Chrome 70 發(fā)布時(shí)被更換。

當(dāng)這一切發(fā)生時(shí)，大量網(wǎng)站會(huì)以“不安全”的形象出現(xiàn)，人們更有理由想起SSL的重要性了。

4. 驗(yàn)證方法進(jìn)化

最近某安全研究人員稱，互聯(lián)網(wǎng)上出現(xiàn)代碼簽名證書販賣現(xiàn)象。這些證書來(lái)自合法公司的被盜信息，在惡意軟件混淆中非常有效，而合法公司絲毫不知道自己的證書被挪作他用了。

安全研究人員曝光系統(tǒng)中存在漏洞的事并不罕見，但證書被惡意使用的新聞報(bào)道扎堆，就讓業(yè)內(nèi)專家的視線聚焦到分析和調(diào)整當(dāng)前驗(yàn)證機(jī)制上面了。CA/B論壇已宣布將舉行“驗(yàn)證峰會(huì)”，讓CA和瀏覽器廠商相聚一堂，共同探討當(dāng)前驗(yàn)證方法中存在的問題，提出相應(yīng)的改進(jìn)方案。

這應(yīng)該不會(huì)是本年度有關(guān)驗(yàn)證方法的最后一場(chǎng)大討論。CA應(yīng)盡可能嚴(yán)格地執(zhí)行驗(yàn)證(即便對(duì) DV SSL 證書也應(yīng)如此)，而安全人員則應(yīng)努力提出能提升互聯(lián)網(wǎng)整體安全性的新方法。

5. 量子安全算法競(jìng)賽

量子計(jì)算機(jī)破解當(dāng)前加密方法的那一天是否已經(jīng)臨近?聲稱我們已經(jīng)身處量子計(jì)算時(shí)代的文章倒是不少，但同時(shí)也有其他文章認(rèn)為量子計(jì)算機(jī)制造艱難，我們?nèi)杂泻荛L(zhǎng)一段路要走。事實(shí)上，制造量子計(jì)算機(jī)確實(shí)困難，但這并不意味著就不應(yīng)該擔(dān)心量子計(jì)算機(jī)對(duì)加密造成的沖擊。超級(jí)計(jì)算機(jī)依然存在，需要量子安全算法的應(yīng)用依然存在!

NSA和NIST號(hào)召密碼學(xué)家研究量子安全算法，以此響應(yīng)公眾對(duì)加密會(huì)被破解的擔(dān)憂。那么，下一個(gè)加密算法會(huì)是基于代碼的還是基于格的?或者是基于散列的?

或許我們距離擔(dān)心量子計(jì)算打敗現(xiàn)有計(jì)算方法還很遠(yuǎn)，但眼下誰(shuí)也不確定量子計(jì)算會(huì)有多快，破解當(dāng)前加密會(huì)有多迅速。于是，我們又怎么知道哪種算法能防住量子計(jì)算破解加密呢?

不過，需要指出的是，量子計(jì)算誕生的時(shí)候PKI尚未衰亡。PKI一直在進(jìn)化。我們根據(jù)摩爾定律創(chuàng)造出新的算法來(lái)?yè)魯×孔铀懔Γ覀円灿心芰屜纫徊窖邪l(fā)出這些算法。不妨將目光放到SHA-3上。目前人們還沒看到SHA-3被廣泛應(yīng)用的原因，不過是SHA-2依然堅(jiān)挺而已。