Twitter对转发保密的使用应该引起所有网站管理员的警觉
Twitter 现在正在部署一种稳健的安全性形式,称为“安全套接字层(SSL)加密的正向保密性”,以进一步保护其用户。尽管缺乏广泛实施,但“向前保密”并不是一个新主意。
SSL技术是大多数Web安全的基础,为数据传输提供加密。每次您访问银行网站并在Web浏览器窗口的一角看到那个小挂锁时,您都在使用SSL。对于许多组织而言,正确实施SSL都是一个挑战,因为它涉及多个配置步骤,这些步骤有时甚至无法始终正确执行。
SSL通常的工作方式是在服务器上驻留一个私有加密密钥。如果该密钥被攻击者或美国政府的三个字母的代理机构破解,则可能会截获并解密服务器上的所有加密流量。SSL的Forward Secrecy提供了加密弹性的保证,即使服务器的私钥在某个时候受到损害也是如此。
当加密连接使用完美的前向保密性时,这意味着服务器生成的会话密钥是真正的临时密钥,甚至某个可以访问该密钥的人以后也无法导出相关的会话密钥,该会话密钥将允许她解密任何特定的HTTPS会议,”电子前沿基金会的帕克·希金斯(Parker Higgins)在最近的博客文章中写道。“因此,即使以后泄露了网站的秘密密钥,也可以防止截取的加密数据在未来很长一段时间内被窃取。
涉及前向保密的机制非常复杂,并在1992年由密码学传奇人物Whit Diffie撰写的论文中首次描述。Forward Secrecy引入的计算复杂性和开销意味着到目前为止,它还不是SSL常规操作的一部分。
随着有关国家安全局(NSA)侦听的最新披露,再加上现代芯片的计算能力的增强,现在正处于广泛部署正向保密的时代。
Twitter仍然是少数,因为大多数站点尚未正确实施Forward Secrecy。根据最新的SSL Pulse统计数据,目前有54%的SSL站点根本不支持转发保密。只有0.6%的人完全实施了可靠的前向保密方案,其余的则具有递增的前向保密能力。
尽管Forward Secrecy可能会涉及旧硬件的性能成本,但是使用开源Web服务器技术可以在不花费软件成本的情况下实现它。安全厂商Qualys的著名SSL专家Ivan Ristic在去年夏天撰写了一篇文章,内容涉及如何为Forward Secrecy配置开源Apache和Nginx Web服务器。
前向保密的使用是互联网安全和隐私向前迈出的重要一步,这大大减少了未经授权的各方截取和解密通信和数据的可能性。Twitter的公开声明是使用Forward Secrecy,希望这对各地的网站管理员来说是一个警钟,它是时候推动Web安全。