【文/ 觀察者網(wǎng)專欄作者 徐令予】
2018年3月23日,國(guó)際互聯(lián)網(wǎng)工程任務(wù)組(IETF)批準(zhǔn)了TLS1.3的正式運(yùn)行版本,為互聯(lián)網(wǎng)安全筑起了新的長(zhǎng)城。這是互聯(lián)網(wǎng)發(fā)展道路上的一塊重要里程碑。
TLS是有關(guān)互聯(lián)網(wǎng)傳輸層的安全協(xié)議,TLS1.3是TLS的最新標(biāo)準(zhǔn)。TLS為互聯(lián)網(wǎng)上密鑰的產(chǎn)生和分發(fā)、數(shù)據(jù)傳輸時(shí)加密解密、用戶的身份認(rèn)證及電子簽名等制定統(tǒng)一的標(biāo)準(zhǔn)和算法,網(wǎng)絡(luò)服務(wù)商和軟件開發(fā)商將根據(jù)TLS1.3的標(biāo)準(zhǔn)開發(fā)出相應(yīng)的軟件包和程序庫(kù)。網(wǎng)頁(yè)瀏覽、微信、電子郵件等應(yīng)用程序在處理數(shù)據(jù)傳輸時(shí)都會(huì)自動(dòng)調(diào)用這些具有統(tǒng)一標(biāo)準(zhǔn)的軟件包和程序庫(kù),以確保數(shù)據(jù)在互聯(lián)網(wǎng)傳輸時(shí)的絕對(duì)安全。
當(dāng)你使用IE、火狐、UC等任何一款瀏覽器訪問(wèn)互聯(lián)網(wǎng)上的網(wǎng)站,這些瀏覽器和網(wǎng)站服務(wù)器都會(huì)首先調(diào)用TLS軟件包。TLS制定的公鑰密碼算法為通信雙方分別產(chǎn)生公鑰和私鑰;然后通過(guò)握手程序交換公鑰和身份認(rèn)證信息;接著根據(jù)TLS提供的算法驗(yàn)證對(duì)方身份并計(jì)算出共享的對(duì)稱密鑰;最后使用共享密鑰對(duì)傳輸數(shù)據(jù)(這其中包括了用戶的口令、信用卡號(hào)碼和帳戶余額等數(shù)據(jù))作加密和解密,保證這些數(shù)據(jù)在公共網(wǎng)絡(luò)傳輸過(guò)程中不被破解和篡改。
微信、電子郵件和互聯(lián)網(wǎng)上各種其它應(yīng)用程序也都是在TLS規(guī)約下按照上述相似流程來(lái)保證數(shù)據(jù)在公共網(wǎng)絡(luò)上安全地傳輸。TLS就是互聯(lián)網(wǎng)安全的基石,它是每個(gè)網(wǎng)民的護(hù)身符!
長(zhǎng)久以來(lái)人們都把密碼與軍事、外交聯(lián)系在一起,印象中使用密碼的人物如果不是躲在陰暗角落的間諜特務(wù)就是捍衛(wèi)國(guó)家安全的孤膽英雄。事實(shí)上,隨著互聯(lián)網(wǎng)的普及,今天每個(gè)普通人都離不開密碼,密碼技術(shù)已經(jīng)“飛入尋常百姓家”。當(dāng)你在網(wǎng)上購(gòu)物,當(dāng)你用手機(jī)通話或收發(fā)微信,所有信息都在開放共享的網(wǎng)絡(luò)上傳輸,現(xiàn)代通訊技術(shù)使得信息的傳輸變得越來(lái)越方便、迅速和高效,但是也使得信息非常容易被黑客截獲,沒(méi)有密碼技術(shù)保護(hù)在網(wǎng)上發(fā)送短信、用支付寶付款、在無(wú)線網(wǎng)上通話等等都是難以想象的。
在我們每天使用的電腦、手機(jī)中都有執(zhí)行TLS協(xié)議的整套軟件,它們?cè)诤笈_(tái)默默無(wú)聲、忠實(shí)無(wú)悔地守護(hù)著互聯(lián)網(wǎng)用戶的隱私和秘密,它們是新時(shí)代為網(wǎng)民服務(wù)的好戰(zhàn)士。當(dāng)我們享受著互聯(lián)網(wǎng)種種福利時(shí),又有多少人會(huì)感謝那些設(shè)計(jì)、運(yùn)行和維護(hù)TLS的工程技術(shù)人員呢?“誰(shuí)知網(wǎng)上游,步步皆辛苦!”沒(méi)有了TLS,網(wǎng)上的日子一分鐘也沒(méi)法過(guò)。
TLS的前身是安全套接層協(xié)議SSL。SSL誕生于九十年代初期,它的2.0版本在1995年2月發(fā)布,但因?yàn)榇嬖跀?shù)個(gè)嚴(yán)重的安全漏洞而在一年后被3.0版本替代。進(jìn)入二十一世紀(jì)后,更為先進(jìn)有效的TLS代替SSL扛起了互聯(lián)網(wǎng)安全衛(wèi)士的重任,互聯(lián)網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩珕?wèn)題一直困擾著人們,SSL/TLS一次次的變遷和升級(jí)就是一部互聯(lián)網(wǎng)抗擊黑客的血淚史。
目前網(wǎng)上廣泛使用的安全協(xié)議TLS1.2始于2008年,這些年來(lái)它為網(wǎng)民們遮風(fēng)擋雨立下汗馬功勞,但是在滿世界黑客的明槍暗箭攻擊下也是滿目滄桑。為了修補(bǔ)漏洞,執(zhí)行TLS1.2協(xié)議的軟件打滿了補(bǔ)丁,俗話說(shuō):“新三年舊三年,縫縫補(bǔ)補(bǔ)又三年。” 九年多了,TLS1.2也到了功成身退的時(shí)候了。
在眾人矚目中即將登臺(tái)上任的TLS1.3究竟有些什么亮點(diǎn)呢?TLS1.3是一次全面升級(jí),與此前版本相比,它具有兩大優(yōu)勢(shì):
舊版TLS1.2為了向下兼容,接收了太多90年代遺留下來(lái)的落后的加密方式,背上了沉重的包袱。TLS1.2雖然具有很強(qiáng)的兼容性,但是它也成為了過(guò)去幾年來(lái)受到攻擊的主因。
TLS1.3實(shí)施“少而精”的原則,取消了對(duì)一些陳舊落后的加密和哈希算法的支持,諸如SHA—1、SHA-224 、RC4、MD5、DES、3DES等算法均被剔除,取而代之的是ChaCha20, Poly1305, Ed25519, x25519, and x448等更為安全的算法。這意味著一系列潛在的漏洞將被永久關(guān)閉。
TLS 1.3具有抵御降級(jí)攻擊的功能,這是它最為突出的優(yōu)點(diǎn)。這樣就堵死了攻擊者誘騙服務(wù)器降級(jí)使用較舊版本的可能,杜絕黑客利用舊版軟件中漏洞的任何機(jī)會(huì)。
為了保護(hù)數(shù)據(jù)傳輸,用戶訪問(wèn)網(wǎng)站時(shí),雙方必須依靠TLS先行取得共享的對(duì)稱密鑰,這個(gè)被稱為握手過(guò)程。為完成握手過(guò)程,TLS1.2需要在用戶和網(wǎng)站之間傳遞信息6次,而新版TLS1.3僅需4次。減短握手的過(guò)程就可更早地傳遞有效數(shù)據(jù),也就加快了網(wǎng)頁(yè)傳輸?shù)乃俣取?/p>
不僅如此,對(duì)于近期訪問(wèn)過(guò)的站點(diǎn),TLS1.3可以在第一次給服務(wù)器發(fā)消息時(shí)就發(fā)送有用的數(shù)據(jù)。這叫做“零消息往來(lái)”模式(0-RTT),這會(huì)使網(wǎng)頁(yè)傳輸變得更快。
雖然新版TLS1.3為每次網(wǎng)頁(yè)加載節(jié)省的時(shí)間有限(大約十分之一秒),但是積少成多,對(duì)于每天接受千萬(wàn)次以上訪問(wèn)的大型網(wǎng)站,這個(gè)提速影響不容小覷。不信到雙十一節(jié)可以試試!