最新公告
  • 欢迎您光临站壳网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 普通端到端加密可能并不那么安全

    正文概述 webmaster   2020-02-24   306

    【51CTO.com快译】消息平台真的是固若金汤吗?

    普通用户可能会天真地认为:像WhatsApp和Signal之类流行的社交聊天工具,对于消息的加密一定十分地周全,而对于业务交流以及隐私的管控一定非常的完美。可是事实恰好相反。由于加密通信的复杂性,和即时通讯的实时并发性,各大企业级消息应用平台可能会让海量的消息变得更加容易泄露,也更加容易遭到黑客的攻击。

    平心而论,WhatsApp和Signal之类的应用已经启用了诸如H-256等高级加密技术,并且能够根据与用户之间的协定,在保留了一段时间后,销毁掉平台上存储的消息。但是正所谓“道高一尺、魔高一丈”,黑客们的技术也是在逐日递增,不断迭代。因此,实时消息被截获、读取、甚至是篡改的风险,一直都存在着。

    普通端到端加密可能并不那么安全

    端到端加密(E2EE)为您保驾护航

    为了保护消息的机密性和内容的隐私性,平台往往在消息的传输过程中采用端到端的加密技术。它的基本原理是:从服务器发出消息之后,端到端加密方法会将消息、或流媒体转换为不可追踪的数据块,也就是我们通常所说的“密文”。密文消息在通信渠道上沿路被传输,直至到达接收对端才被解密。这样我们就保护了消息中的数据信息,不会遭受到未经授权的访问或窥探。

    为了方便起见,您可以将端到端加密理解为一个“保镖”。他从您的家中接到您,帮您带上面具,陪您一起乘坐各种交通工具,最终与您一起步行到达目的地的入口。下图展示了在一个消息传输平台内部,整个端到端加密是如何流转和实现的过程。

    普通端到端加密可能并不那么安全

    企业级消息传输平台需要的不只是端到端加密

    在联邦调查局(FBI)最近一次的调查中,他们发现FBI特工能够轻松地接入聊天进程,并从加密服务器上访问到由前参议院情报委员会助手James Wolfe在Signal平台上发送的消息记录。这些加密消息中的某些内容甚至被披露到了《纽约时报》上。

    FBI到底是如何找到破解密码的后门,又是如何取得加密消息平台的信任,目前尚不得而知(有分析认为他们利用了Pegasus之类的软件技术)。但是值得注意的是:当前技术界存在着一些被低估的协议和操作系统,例如OMEMO和RattleSnake OS。它们专为横跨多种设备的安全消息传输场景而设计。在目前的市场上,像MirrorFly之类的公司,就能够针对消息传输应用提供上述加密协议与操作系统。

    如下图所示,OMEMO是一种使用了Double Ratchet(双棘轮)算法,来为多个客户端(端点)提供加密服务的协议。

    普通端到端加密可能并不那么安全

    OMEMO协议的基本功能包括:

    • 对称的端到端加密:使用相同的密钥在发方进行消息加密,并在收方执行消息的解密。对称算法的最大优势在于简化了密钥交换的复杂性。
    • 独立密钥更新:在该协议算法中,我们不需要对等或公钥基础设施(PKI)来获取新的密钥,只要通过密钥派生函数(key derivation function,KDF),使用伪随机函数从密钥值(如:主密钥)中导出一个或多个密钥即可。
    • 前向保密性(Forward Secrecy):由于为每一条消息都分配并使用了唯一的临时密钥,因此就算某个特定的消息集被破解,所有使用了不同密钥的其他消息仍然可以“保守秘密”。
    • 合理的隐蔽性(Plausible Deniability):即使某条消息被成功截获,窥探者也无法确定是谁发送了该消息。
    • 无乱序消息或消息丢失:每条消息都在其头部被嵌入了会话号。就算某条消息未传输成功,也不会扰乱整条密钥的派生链(derivation chain)。

    Double Ratchet算法的工作原理

    如下图所示,在我们使用AES-256算法加密消息时,虽然算法本身牢不可破,但是最困难的部分是:如何让多个接收方在不安全的通道上共享密钥。

    普通端到端加密可能并不那么安全

    在一对一的通信场景中,Double Ratchet算法的处理过程是由Diffie Hellman(DH)密钥交换来进行的。Double Ratchet算法是同时执行多个Diffie Hellman密钥交换的理想方法。因此,整个通信是通过并行地运行两个Ratchet算法来实现的,即:

    • 根链
    • 发方与收方链

    而上文提到的RattleSnake OS主要被用于防御性的通信场景之中。它利用跨平台工具,使用AWS基础设施来构建自己的操作系统。

    RattleSnake OS在消息传输平台上的优势

    • 就像iOS和Android两种移动端系统那样,我们可以在RattleSnake OS上构建可自定义的聊天通道。
    • RattleSnake OS支持Google Pixel、以及其他品牌的智能手机硬件。
    • 它包含许多增强的安全性功能。
    • 基于RattleSnake OS构建的消息传输平台,可以充当端到端加密和系统功能的混合安全层。

    总结

    综上所述,我们在选用即时通讯工具、特别是企业级消息传输平台时,不可盲目跟风,从而导致用户面临未知的风险,以及高级攻击者的威胁。我们应当通过充分评估,采用类似RattleSnake OS之类更为安全的加密标准,来全面地管控自己的消息应用程序和服务。

    原文标题:End-to-End Encryption Isn’t as Safe as You Think!,作者:Parthiba

    【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 普通端到端加密可能并不那么安全

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者
    • 575会员总数(位)
    • 4697资源总数(个)
    • 119本周发布(个)
    • 17 今日发布(个)
    • 175稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情