ENGLISH 4006-WOSIGN
首页>安全资讯>用PKI技术来保障中国互联网的安全

用PKI技术来保障中国互联网的安全

王高华,沃通电子认证服务有限公司 创始人,CTO

注:本文根据2014中国互联网安全大会演讲稿整理,已被评为优秀演讲。

连接全球的互联网已经几乎成为现代社会各领域的基础设施,并为中国经济、基础设施、公共安全和国家安全提供重要的支撑。互联网已经彻底改变了中国的经济和社会生活,并超乎想象地把人和市场连接在一起,让所有人能充分享用数字革命带来的好处。但是,互联网给人们的生活和工作带来便利的同时,也不断带来了各种安全风险威胁。

一、中国互联网面临的三大安全风险

互联网安全的范围和范畴都非常大,涉及到方方面面。本文仅从分析我国互联网是否已经广泛采用PKI技术来评估中国互联网是否安全,主要从以下三个方面的问题来分析中国互联网的安全风险:

风险一:几乎所有最重要系统都部署美国CA签发的SSL证书

如下图所示,我国前十大银行的网银证书、淘宝网、京东商城、支付宝和财付通都是部署的美国CA颁发的SSL证书

用PKI技术来保障中国互联网的安全

目前,我国各网银网站、各大电商网站、第三方支付网站、网上证券基金网站等等的可信网站身份几乎都是由美国CA来做身份验证,每年花上亿元,美国CA在审查完我国银行、证券、电商、支付等单位的真实身份后签发一张服务器证书给各个网站,用于证明网站的真实身份和用于网站与客户端之间的数据加密传输,保证网站的可信身份和数据加密安全。也就是说:我国的网络空间的最重要的一端—服务器端的安全与可信是由美国CA来保障的,等同于我国的国土安全防务居然是由美国军队来防护!这在现实社会是不可思议的也是不可能的事!但在网络世界,这是大家都不清楚的事实!

其巨大安全隐患和风险,主要表现在以下3个方面:

(1) 服务器证书是可以被吊销的,如果由于各种原因导致美国CA主动吊销了这些重要网银系统的服务器证书,则整个中国的网银系统都将瘫痪,电子商务系统都将瘫痪,轻则影响用户的使用,重则影响到国家金融系统稳定,甚至是影响到国家安全!

(2) 如果发生海底光缆意外断裂(2007年就发生过),中国用户访问不了美国互联网的话,则使用国外CA颁发的证书的网银系统就无法正常使用,因为证书正常使用时需要到美国的签发服务器上查验证书是否已经吊销。

(3) 目前所有中国用户访问网银系统的访问信息,如什么时候访问、从哪里访问、IP地址和使用什么浏览器、每日有多少次访问中国的网银系统、多少次访问支付宝和淘宝网,这些重要的机密信息都完全掌握在国外CA的手中!这也是非常危险的!
如下图所示,演示网站的证书被吊销后,IE浏览器的会终止浏览此网站:

用PKI技术来保障中国互联网的安全

风险二:90%以上的各种重要系统都没有部署SSL证书

与问题一相反的是:我国的电子政务网站几乎100%没有部署保证网站机密信息安全的服务器证书,90%以上的电子商务网站没有部署SSL证书,几乎所有邮件系统都没有部署SSL证书和使用客户端证书来加密邮件。也就是说:这些重要系统中的机密信息都是明文传输的,可以毫不费力地被偷走并且是明文,无需费力去解密!为了确保电子政务网站和电子商务网站的用户机密信息安全,必须部署SSL证书来保证机密信息安全。     

同时,移动APP中90%的连接都没有使用SSL,其中包括银行的移动网银APP、各种社交APP等。而这些裸奔的APP估计有80%以上是在各种免费WIFI上运行!由此可见,各种移动应用包括移动支付的安全问题也是非常严峻的!所有移动APP必须使用https与服务器通信,才能保证移动用户的机密信息安全。

风险三:许多重要的系统部署了浏览器不信任的自签证书

这些系统部署了自签证书当然比不部署证书的系统安全,但是如果用户都习惯了即使浏览器显示不信任的安全警告也继续浏览的话,这就帮了欺诈网站和假冒网站的忙,因为假冒网站往往由于拿不到全球信任的证书而采用自签证书,浏览器会有安全警告,但由于用户已经养成了继续浏览的习惯而遭遇中间人攻击,导致个人账户被盗!值得注意的是:各个高校的VPN系统和各种需要登录的系统都在使用自签证书,正在不断“培养”大批学生养成这种不安全的上网习惯!

用PKI技术来保障中国互联网的安全

二、欧美互联网安全的最佳实践

在欧美,几乎所有电子政务网站和所有电商网站都部署了SSL证书来保证机密信息的安全;著名免费邮件系统(如:Hotmail/Gmail)都部署SSL证书来保证登录和邮件安全,Gmail从2010年就已经实现全站https加密,从2014年3月开始,所有Google IDC之间的Gmail服务器之间的内部数据传输也采用https加密方式。

用PKI技术来保障中国互联网的安全

各大知名网站(如:PayPal, Twitter, Facebook, Gmail, Hotmail等)纷纷采用Always On SSL(全站https)技术措施来保证用户机密信息安全和交易安全(防止会话攻击和中间人攻击),以前仅仅是登录页面采用https。

用PKI技术来保障中国互联网的安全

用PKI技术来保障中国互联网的安全

密歇根大学的研究人员利用Zmap 工具进行追踪研究后发现,在过去一年时间里,排名前100万名的网站对于https的使用量已经增长了23%左右,而https的整体数量则已经增长了将近20%。而EV SSL证书(绿色地址栏)部署量增长了18%。

用PKI技术来保障中国互联网的安全

德国将通过“可信赖的硬软件”打造为“全球第一加密大国”。德国电邮用户发送的信息将使用加密技术传送。所有加密数据信息都将存储在德国境内的数据中心里。德国将鼓励各个企业数据加密,政府给予技术支持。德国国家工作人员的手机配备上,也应逐步加入德国加密芯片。德国将扩大数字安全基础建设,在技术上独立于美国,实现加密技术本土化。

三、采用PKI技术来保障我国互联网的安全

鉴于目前各种硬件、软件、操作系统、芯片等无法做到完全国产化的现实,建议国家把数据加密列为第一重要大事,所有数据都用证书加密了,即使采用国外的产品也可以防止信息泄露!

1、PKI(公钥基础设施)技术及其应用

PKI (Public Key Infrastructure,公钥基础设施),是保障互联网安全的唯一可靠技术,PKI 是指由数字证书、证书颁发机构 (CA) 和证书注册机构(RA)组成的一套系统,包括数字证书公钥和私钥,加密算法和摘要算法、证书链(受信任的根证书颁发机构-中级根证书颁发机构-用户证书)、证书管理(申请、颁发、吊销、重新颁发、续期)等等。数字证书主要用途是加密与解密、身份认证与数字签名。有两大核心应用:

  1. 核心应用之一是“加密”。也就是说:为了确保重要机密信息的安全,只有加密这些机密信息,才是目前唯一可靠的解决方案,当然,首选采用国产密码算法SM2来加密。
  1. 核心应用之二是“数字签名”。各种原先是纸质的签名和盖章都可以依据《电子签名法》来使用数字签名来代替,彻底实现网络化、数字化和无纸化!
  1. 采用PKI技术的具体技术措施

2、只有广泛采用PKI技术,才能确保互联网的安全可信,具体技术措施有:

  1. 加密所有通信:服务器部署SSL证书加密所有http通信、加密POP /SMTP/IMAP等,确保机密数据传输安全;同时,服务器上机密数据用证书加密存储,解密后在https下浏览;
  2. 所有电子邮件都必须有数字签名来确保邮件的真实身份,含有机密信息的电子邮件都必须用证书加密发送;
  3. 所有机密文件都必须转换成PDF格式后并用证书加密,这些加密后机密文件就算丢在大街上也没有人要,彻底解决内网物理隔离解决不了泄密问题!
  4. 各种软件(包括PC代码和移动代码)都要有数字签名,来保证代码的真实可信身份和防止代码被恶意篡改;
  5. 所有网上提交的各种申请和各种材料都可以用数字签名来代替手写签名,确保网上办事的法律效力和不可抵赖性;
  6. 所有联网设备都一个可信计算芯片和可信身份证书,用于证明设备可信身份和加密各种数据与各种通信。

3、具体建议

为了国家金融安全和重要信息系统安全,我国有必要出台强制政策,要求重要的关系基础设施和民生的电子政务系统、电子商务系统、金融系统、电信基础服务信息系统等都不得部署国外CA签发的证书,都必须强制部署有工信部颁发的《电子认证服务许可证》的CA签发的服务器证书(如:沃通签发的SSL证书),从而保证这些重要信息系统的安全。

同时,我国应该尽快出台网上隐私保护法,从法律体系来保障用户机密信息安全。为什么美国的系统几乎100%都部署SSL证书?因为美国有相关的网上隐私保护法律法规,要求凡是网站要求用户输入个人机密信息和需要用户登录的网站都必须部署SSL证书来保证机密信息安全!各种网站如果需要用户输入信用卡信息,都必须部署SSL证书!而我国没有此类法律法规,无法从法律层面形成对网站业主的约束。

对于部署自签证书的网站,建议尽快部署全球信任的SSL证书,这样才能有效地保护用户的机密信息,不给攻击者有可乘之机。目前已经有多家全球信任的CA(如:沃通)提供全球信任的免费SSL证书和免费电子邮件加密证书来让用户可以零成本地部署全球信任的证书来保证网站的机密信息安全。