最近如果使用Chrome浏览器访问国内的很多网站的时候,比如exmail.qq.com, 你可能会注意到这样一个对话框:
这个是什么意思?访问链接没有私密性吗?
我上个邮箱,连私密性都没有了,那里面的照片应该怎么办?以前修电脑没有私密性,现在连上网都没有私密性,难道我又要红了?
等等,这里好像有点不对:网页私密性到底是个啥?为啥会提醒我这个问题?我不是已经输了密码登录了嘛?
事情要从头说起。
一、HTTPS(安全超文本协议)怎么来的?
1997年,CERN发明HTTP协议并用于万维网的时候,仅仅是为了在学术界内部做一个共享数据的平台, 并没有想到太多传输中的安全性。毕竟当年网络规模非常小,而计算机以及昂贵的网络设备并不是每个人都可以买得起的。
他们当然没有料到之后万维网居然成了一个信息传递的通用平台,一帮人甚至丧心病狂地在上面做起了Web电子邮箱、网络银行一类的服务。这类服务对安全性和私密性的要求都非常严格, 因为基本上没有人希望自己的银行密码,私人的邮件在传输中被第三方看到。
所以问题就来了,HTTP是明文传输的,倒是支持密码认证,只是不巧的是,密码也是明文传的。
针对这种情况,在网景的一帮科学家,特别是Dr. Taher Elgamal (号称SSL之父)的努力下,HTTPS横空出世了。
HTTPS里面,所有传输的数据都是加密过的,于是第三方无法在数据的传输过程中获得任何有用的数据,数据传输中的私密性自然得到了保证。
至少当初设计的目的是这样子。
HTTPS并非是一个全新的协议,其实是在HTTP的基础上,加了SSL(安全套接字)或者是后来的TLS(传输安全协议)。SSL/TLS工作在HTTP之下,负责加密所有传输的数据。
说个题外话,当时不仅仅是HTTP,众多的互联网上层协议,即应用层协议,STMP电子邮件协议一类,大多都是明文传输的,而移动互联网或者其他网络,都是基于一些标准的协议,就是TCP/IP协议簇。
早期时候,这些协议是由互联网领域专家联合制定的,就像现在制定法律的过程一样,而经过实际的验证,其不严谨性渐渐被发现,于是人们在此前的基础上进行不断更新,SSL/TLS就是这样出来的。
SSL/TLS由于是工作在TCP层和应用层之间,它可以加密任何应用层协议,包括STMP一类。从这个角度说来,网景对互联网的贡献其实是非常深远的。
HTTPS使用非对称算法交换密钥,这个也是一个非常精巧的算法,有兴趣的同学可以
比如上图所显示的,其实也没有审核纪录,不过警告的标示去掉了,说明谷歌其实自己也知道目前白名单的覆盖很差,一般找不到记录,并不会加上确切的警告标示。
所以,目前你可以忽略它。
关键在第二个:
本网站采用较弱的安全配置(SHA-1签名),所以你的连接可能不是私人的。
这个就比较有意思了。
还是那个警官证的问题。要搞一个警官证除了去偷/骗/潜入公安部自己做一个真的以外,你还可以做个假的嘛。
对于数字证书来说,最重要的鉴别真假的部分是数字签名,而鉴于数字证书一般不小,不可能对每个字节都签一次名,一般来说是对数字证书的一个哈希值进行签名。
如果你不知道哈希值是什么,我给你打个比方。如果你是一个数字证书,那你的照片就是你的哈希值。
它包含下面2个条件:
- 通过合适的手段,可以从你产生你的照片,但是没法从照片产生你。意思是,先有你,才能有照片。
- 只有你可以精确的产生你的照片,别人都不行。你就是唯一的,你的特征是别人没有的。
所以如果想检查一个人的警官证,只需要看看照片能不能对上人(哈希值符合),照片上面的骑缝章对不对(数字签名),但是这个骑缝章只需要盖在照片上,而不需要盖在警官兄的脸上。
当然我知道这个比喻有非常多学术上的不严谨性,不过这个是我目前能找到最容易理解的比喻之一了。
数字证书中,SHA-1就是一种常见的哈希算法,可以像照相机一样,给你的数字证书生成一个唯一值(照片)。
只是这个算法有一个问题。这个函数由于设计时间早,强度太差,导致有可能用两个不同的数字证书可能会生成同样一个值。
这个就像如果你有一个照身份照的照相机,不过这个神奇的照相机拍的太模糊,以致于通过特殊的设定,可以用另外一个人照出和真实警官一模一样的照片。
恭喜你,如果你发现了这个设定,你就可以大规模的制作套牌警官证了。
这种现象在哈希函数中被称为“碰撞”。
对于SHA-1算法,如果要找到这个“特殊的设定”大概需要2的74次方个操作,也有论文指出只需要2的61次方个操作即可完成。这在SHA-1发明的时候是不可想象,其实现在也是不可行的,不过按照现在计算机的发展速度,2018年左右使用价格合适服务器集群理论上就可以破解(可以参考这里)。
电科技(www.diankeji.com)是一家专注于全球TMT行业的领先资讯媒体。
作为今日头条青云计划、百家号百+计划获得者,2019百度数码年度作者、百家号科技领域最具人气作者、2019搜狗科技文化作者、2021百家号季度影响力创作者,曾荣获2013搜狐最佳行业媒体人、2015中国新媒体创业大赛北京赛季军、 2015年度光芒体验大奖、2015中国新媒体创业大赛总决赛季军、2018百度动态年度实力红人等诸多大奖。
投稿、商务合作请联络微信公众号
声明:本站原创文章文字版权归电科技所有,转载务必注明作者和出处;本站转载文章仅仅代表原作者观点,不代表电科技立场,图文版权归原作者所有。如有侵权,请联系我们删除。