公共密鑰、受信硬件與分組鏈接——開發(fā)人員應(yīng)當利用這些技術(shù)工具幫助實現(xiàn)面向每位用戶的互聯(lián)網(wǎng)保護目標。

時至今日，互聯(lián)網(wǎng)已經(jīng)成為認識論層面的混沌深淵。根據(jù)Peter Steiner在其著名的《紐約客》動畫中所提出的假定——同時也得到了數(shù)百萬同行的支持——無論是兇猛的惡犬還是宣稱將捍衛(wèi)我們財產(chǎn)安全的銀行，都沒辦法真正了解我們的交換數(shù)據(jù)包是否被人調(diào)了包。更糟糕的是，Edward Snowden已經(jīng)披露稱，美國國安局可能已經(jīng)將我們的部分或者全部數(shù)據(jù)包進行了備份，這意味著其它國家以及部分黑客組織完全可以效法國安局干出類似的惡行。

[[141546]]

然而，我們?nèi)匀辉趯⒋罅繑?shù)據(jù)傾卸給路由器，并一廂情愿地認為這些小小的傳輸設(shè)備能為自己搞定一切——即使不行，麻煩也處于可控范圍之內(nèi)。黑客們有可能會取得聯(lián)邦政府計算機的root權(quán)限并竊取到稅收資料的副本，但除非他們愿意幫大家交稅（這顯然不可能），否則這類信息外泄好像也沒什么大不了。而在惡意人士竊取到我們的信用卡信息并在Office Depot上購買iPad時，信用卡公司會負責承擔相應(yīng)損失。沒錯，我們很容易陷入這樣一種虛假的安全感當中，并為此沾沾自喜。

雖然大多數(shù)普通群眾都因為上述理由而對互聯(lián)網(wǎng)的混亂不堪與信任缺失狀況視而不見，但這并不代表我們也應(yīng)當繼續(xù)心安理得地聽之任之。這種趨勢除了讓欺詐人士愈發(fā)猖狂之外，還會帶來更為驚人的深層社交成本。畢竟我們每個人都需要承受更為可觀的交易費用，因為其中包含著可觀的潛在欺詐損失成本。這種日益嚴重的信任缺失最終將傷害到我們每一個人。

我們當然沒辦法運起神功讓互聯(lián)網(wǎng)在一夜之間變得完美無瑕，但我們確實能夠添加更多保障性功能，使得用戶對互聯(lián)網(wǎng)的信任逐步提高。有鑒于此，今天的文章將為大家?guī)硪韵戮彭椫笇?dǎo)思路，旨在更為可靠地保護數(shù)據(jù)、隱私以及通信內(nèi)容安全。修復(fù)互聯(lián)網(wǎng)安全問題是一項崇高、甚至有些高不可攀的目標，但如果我們每個人都在項目開發(fā)工作當中將安全考量納入進去，那么相信互聯(lián)網(wǎng)世界終將變成美好的人間。

向主要服務(wù)添加公共密鑰

Facebook公司一直在致力于確保自身所服務(wù)的用戶皆為使用真實姓名的可信群體?？紤]到如此龐大的社交規(guī)模與人類的某些天性，我們沒辦法斷言Facebook在這方面已經(jīng)取得全面成功，但其長期以來堅定推動用戶賬戶實名可信度的作法確實給互聯(lián)網(wǎng)帶來了深遠影響與積極意義。

今年以來最令人振奮的消息，可能莫過于Facebook將允許用戶通過Faceoobk系統(tǒng)分發(fā)其PGP公共密鑰了。任何打算通過PGP向個人發(fā)送郵件的用戶將能夠訪問Facebook并下載到對方的公共密鑰，并以此為起點立即實現(xiàn)安全通信。

出于多種原因，這套方案尚稱不上完美，不過其安全水平至少要比使用保障力度更為低下的公共密鑰庫好得多，而且基本上要比寄希望于隨機網(wǎng)絡(luò)頁面提供的正確公共密鑰更為靠譜。在上一次檢查的時候，我發(fā)現(xiàn)公共PGP服務(wù)器上某些與我姓名相關(guān)聯(lián)的密鑰并不能為我所使用。相比之下，F(xiàn)acebook公司確實邁出了堅實的一步，其效果比那些運行在隨機服務(wù)器上的免費服務(wù)好得多。

我們還需要考慮虛假賬戶的存在以及Facebook與用戶間連接的安全性水平。不過，可以肯定的是真人用戶往往會定期更新當前狀態(tài)，我們能夠很輕松地利用這一點評估其密鑰是否可信。

那么其它服務(wù)是否也會開始分發(fā)公共密鑰？它們是否也會著手建立一套更為可信的網(wǎng)絡(luò)環(huán)境？銀行與信用卡發(fā)卡機構(gòu)可能會率先行動。出納員及分支機構(gòu)員工已經(jīng)非常了解監(jiān)管事務(wù)，他們能夠有效提高公共密鑰庫的受信水平。學(xué)校與大學(xué)對于學(xué)生們的操作活動也比較了解，因此能夠作為另一種理想的起步環(huán)境。總而言之，任何一種能夠幫助我們更接近PGP締造者Phil Zimmerman長久以來所構(gòu)想的理想網(wǎng)絡(luò)信任效果的努力都值得我們稱道并加以推動。

構(gòu)建更出色的隨機數(shù)生成器

如果攻擊者能夠猜出我們的密鑰，那么目前市面上現(xiàn)有的任何加密機制都將失去作用。解決這一問題的傳統(tǒng)辦法之一在于使用由隨機數(shù)生成器所挑選的隨機密鑰。不過新的問題又來了：這種隨機數(shù)生成器是否值得信任？

這絕不僅僅是種理論層面的可能性。2007年，來自微軟公司的兩位研究人員就在Dual_EC_DRBG（即雙橢圓曲線確定性隨機數(shù)位生成器）當中出現(xiàn)了潛在的后門，隨后技術(shù)行業(yè)很快將其打入了冷宮。最后，在經(jīng)過數(shù)年的論證之后，國家標準與技術(shù)協(xié)會于2014年決定徹底中止對該算法的支持。

然而，即使是最出色的研究人員也很難找出那些潛在的后門，因此將希望單純寄托在他們身上將令用戶身陷危險。那么我們該如何確保自己所使用的隨機數(shù)生成器安全可靠？舉例來說，大家可以利用加密安全散列功能提高復(fù)雜性水平，從而進一步提高生成器所生成數(shù)值的隨機性。

任何加擾機制都會加入額外的數(shù)字內(nèi)容，從而提高攻擊者獲取控制權(quán)的難度——舉例來說，他們可能需要投入更多時間或者來自網(wǎng)絡(luò)的全局可下載值，例如比特幣分組鏈接之上的當前散列值。這將有效防止攻擊者們對隨機數(shù)生成器的輸入內(nèi)容加以控制。

隨著越來越多算法開始將加密機制納入自身，我們需要比以往更為豐富的備選隨機密鑰。要擁有一套穩(wěn)定且不易被猜到的隨機密碼生成機制，我們在技術(shù)基礎(chǔ)的構(gòu)建方面還有很長的道路需要探索。

擴展受信硬件

考慮到軟件層以及現(xiàn)代計算機設(shè)備的復(fù)雜性，我們在默認情況下應(yīng)當將它們首先視為不安全狀態(tài)。臺式設(shè)備乃至智能手機當中可能包含有大量潛在后門，就連打印機產(chǎn)品也未必像大家想象的那樣處于全面受控狀態(tài)之下。

技術(shù)研究業(yè)界長期以來都在嘗試創(chuàng)造出一種有針對性的小型計算機設(shè)備。其中一部分專門負責計算特定登錄操作，另一部分則計算數(shù)字簽名。用戶的個人密鑰可以被鎖定在單一芯片當中，這樣惡意人士將很難提取到其中的機密數(shù)據(jù)。盡管我們可能永遠無法保證信息百分之百處于安全狀態(tài)之下，但這類設(shè)備確實能夠構(gòu)建起相對理想的防御體系，從而限制惡意人士的攻擊能力。舉例來說，它能夠利用機械開關(guān)來防止機密數(shù)據(jù)為他人所訪問。另外，每次開關(guān)處于啟用狀態(tài)時，它也可以確保賦值操作只生效一次。

如果每個人都能使用這樣一款小型受信設(shè)備，那么每個人都將能夠創(chuàng)建數(shù)字化簽名，從而將網(wǎng)絡(luò)信任水平推上新的高度。雖然設(shè)備丟失及安全漏洞仍可能構(gòu)成威脅，但這些小部件的出現(xiàn)無疑將令互聯(lián)網(wǎng)變得更加靠譜、也更令人放心。

將Merkle樹引入文件系統(tǒng)

眾所周知，數(shù)字文件的內(nèi)容能夠輕松進行修改。相較于將修改過程詳細表現(xiàn)出來的紙質(zhì)記錄，數(shù)字文件顯然能夠根據(jù)需要以任意內(nèi)容示人。而更糟糕的是，大部分文件系統(tǒng)并不太關(guān)注內(nèi)容修改時的操作記錄。水平較高的黑客不僅能夠修改文件本身，同時也能夠?qū)τ涗涍M行回溯，從而令人完全看不出其篡改痕跡。

檢測內(nèi)容變更的最簡單辦法就是使用加密安全散列功能，該值的作用類似于對文件進行校驗且很難被攻擊者所偽造。數(shù)據(jù)當中的任何變更都會反映到該散列值當中，而且我們幾乎不可能在不影響散列值變化的前提下對文件內(nèi)容加以修改。

當文件內(nèi)容隨時間推移發(fā)生變化時，散列值序列本身可以通過Merkle樹進行散列化處理。這能夠確保我們了解文件的變化歷史，包括其具體修改時間。像這類經(jīng)過良好計算的散列值已經(jīng)成為Git協(xié)議當中的固有組成部分。只要更多地將此類處理思路納入到總體文件系統(tǒng)當中，我們就能更為準確地把握文件動態(tài)。雖然這些系統(tǒng)只能檢測到是否存在內(nèi)容變更，但卻無法隨時加以修復(fù)，不過仍然要比以往那種一無所知的狀態(tài)好得多。

#p#

構(gòu)建更多分組鏈接并將其拓展到其它領(lǐng)域

比特幣生態(tài)系統(tǒng)包含有眾多政治與社會因素，這讓人們往往忽視了其中分組鏈接機制的存在。人們樂于討論比特幣的出現(xiàn)是否會顛覆中央銀行體系，或者是否會衍生出一個法律無法觸及的匿名犯罪世界。但無論這些問題的正確答案是什么，其重要的核心實質(zhì)并非體現(xiàn)在投機活動之上，而是分組鏈接能夠增加互聯(lián)網(wǎng)的穩(wěn)定性與可信度。

從核心實質(zhì)角度看，比特幣是一種集中式分戶總賬，它所采用的交易記錄方式很難——甚至在某種程度上不可能被修改。分戶總賬當中的條目通常會記錄下誰將比特幣轉(zhuǎn)移給了誰，而我們完全有理由將這種方式用于修復(fù)存在于虛擬實例當中的其它數(shù)據(jù)。如果某位學(xué)生對一份論文作出了輪流補充，那么他或她也可以在分組鏈接當中為該文件記錄一條散列值。如果這篇論文由于垃圾郵件過濾器或者其它技術(shù)故障而發(fā)生丟失，那么學(xué)生還是可以證明該論文已經(jīng)在特定時間曾被提交完成。

我們還可以利用此類方式記錄各種散列值來提高互聯(lián)網(wǎng)受信程度，以應(yīng)對人們對于特定時間段內(nèi)對于操作歷史的驗證需求，目前也已經(jīng)有眾多比特幣初創(chuàng)企業(yè)在利用這種方式探索商業(yè)化可能性。盡管比特幣挖掘領(lǐng)域仍然存在諸多問題，運行分組鏈接的成本也仍然比較高昂，但這項技術(shù)本身確實非?？煽俊⒍易阋栽谪泿沤灰字獍l(fā)揮巨大的安全保護作用。

將鏈接機制引入互聯(lián)網(wǎng)交互

作為互聯(lián)網(wǎng)中最為基礎(chǔ)的組成部分之一，基本HTTP調(diào)用僅僅屬于bit的集合。而HTTPS則在其中添加了安全層，能夠排除監(jiān)聽者的存在并對修改內(nèi)容作出標注，但它同時也會提高所有交互的執(zhí)行成本。

一種較為簡單的解決方案就是為所有交互操作計算Merkle樹。雖然并不是所有HTTP流量都能夠整理成易于進行散列處理的簡單命令列表，但相當一部分仍然適用于這種方法。對于來自某些頁面的AJAX調(diào)用，我們也可以對其架構(gòu)進行細微調(diào)整來實現(xiàn)簡化。

建立交叉鏈接認證網(wǎng)站

基礎(chǔ)Git庫的作用并不僅僅是提供文件存儲空間。其協(xié)議能夠在保存文件之外將其發(fā)送至其它庫當中，同時在提交過程中通過計算全部文件的SHA-1散列監(jiān)控其內(nèi)容修改情況。

不過為什么要止步于單一存儲庫？為什么不將數(shù)字簽名或者散列值與其它庫進行交換，從而借此提升網(wǎng)絡(luò)受信水平？

Inter Planetary文件系統(tǒng)就是這樣一種實驗性方案，其嘗試將Web轉(zhuǎn)化為一套龐大而且相互連接的文件系統(tǒng)。我們需要探索更多方式將來自不同網(wǎng)站的信息進行對接。策劃者可以將這些資源加以整合，從而立足多個站點構(gòu)建起整套受信網(wǎng)絡(luò)體系。

添加同態(tài)加密機制

服務(wù)器能夠以多種方式存儲信息，從而保證其既得到加密又仍然擁有可用性。換句話來說，服務(wù)器能夠在不影響用戶隱私的前提下對數(shù)據(jù)進行持續(xù)存儲。感興趣的朋友可以點擊此處查閱《半透明數(shù)據(jù)庫》一書了解更多詳盡細節(jié)（英文原文）。

在過去幾年當中，以加密形式處理數(shù)據(jù)這一難題已經(jīng)在理論層面上取得了一系列激動人心的成果。各類數(shù)據(jù)庫能夠?qū)σ?guī)模龐大的個人信息集合進行分類及搜索，而無需保留未經(jīng)加密的版本。它們能夠在無需獲取底層信息的前提下執(zhí)行計算任務(wù)。

對我們無法實際查看或者讀取的數(shù)據(jù)進行計算，這聽起來有點怪力亂神的意思，不過我們已經(jīng)擁有多種理想的實踐解決方案達成這一目標。其中最出色的可能要數(shù)Unix密碼文件，它能夠保存一條經(jīng)過加密的密碼安全散列值，而非密碼內(nèi)容本身。當用戶進行登錄時，該系統(tǒng)可以對輸入字符串進行散列處理，并將其與數(shù)據(jù)庫內(nèi)的值進行比對。不過任何一位獲得密碼文件訪問權(quán)限的用戶都無法真正查看到實際密碼內(nèi)容，因為該文件當中存儲的僅僅是其散列化版本。

這種新型解決方案極具發(fā)展?jié)摿?，但卻遠遠未能融入實際應(yīng)用層面。某些方案需要耗費數(shù)年時間才能解決非常簡單的計算難題，但它們在速度方面正逐步向可行性方向邁進。雖然尚需要加以進一步研究，但這類承諾幫助企業(yè)簡化數(shù)據(jù)庫情報處理任務(wù)、同時又能避免個人隱私泄露的技術(shù)成果確實相當令人興奮。

添加加密機制

單純采取規(guī)模最大且最簡單的解決方案似乎非常愚蠢，但事實上，將更多加密機制引入其中確實能夠讓惡意人士的監(jiān)聽活動變得更加困難。目前已經(jīng)有谷歌、Facebook以及蘋果等一系列知名網(wǎng)站開始在默認情況下開啟SSL加密，而其它站點也應(yīng)當加入這一行列。將SSL納入全部網(wǎng)絡(luò)流量雖然會帶來額外負載壓力，但也會提供更理想的可管理性空間。

我們也可以通過其它多種標準實現(xiàn)加密機制的添加。IPSec與TLS都能夠為游走于客戶端及服務(wù)器之間的數(shù)據(jù)包提供良好的加密效果。不過這些算法仍然默認信任服務(wù)器，這種解決思路對于某些服務(wù)確實可行，但在服務(wù)器僅僅充當中介機制的情況下則不太理想。

將端到端加密工具同電子郵件及聊天產(chǎn)品相整合已經(jīng)成為強化通訊活動基礎(chǔ)安全水平的必要方式。雖然攻擊者能夠從服務(wù)器以及操作系統(tǒng)層面破解這種保護手段，但其仍然是幫助人們建立互聯(lián)網(wǎng)安全及可控信任度的最簡單辦法。

原文標題：9 ways developers can rebuild trust on the Internet