为了思考我们今天如何保持现代技术的安全,剑桥大学计算机科学家马库斯·库恩加入了克里斯·史密斯和亚当·墨菲的行列。他们真的用熔岩灯来生成这样的随机数吗?
马库斯:不完全是!熔岩灯是个公关噱头。但它确实说明了计算机存在的一个问题。计算机是非常具有确定性的设备:每次你要求它们做同样的事情时,它们都会这样做。所以这实际上是一个问题:你如何让计算机生成一个随机数。例如,你有从生产线末端下来的设备,互联网路由器、物联网设备等设备出现了问题,这些设备实际上有很多类似的密钥……
克里斯-我支持你。所以当你在生产线上安装一个安全摄像头的时候,不管这个系统有什么缺陷会让它选择自己的秘密号码,这个缺陷会让所有的摄像头都犯同样的错误选择相似的号码会让它们更容易被破解?
Markus -有研究表明,人们扫描了数百万个互联网摄像头使用的密钥,他们确实发现了数千个实际上使用相同密钥的原因:因为制造商没有熔岩灯,或者其他安全机制来创建随机数!
克里斯-那他们是怎么解决的呢?他们用的是什么?
Markus -所以鼠标移动非常好……
克里斯-…你是说,在生产线上,有一群人那样摆弄鼠标!肯定不是!
Markus -如果是一个微处理器进入这些路由器,物联网的东西,最现代的实际上有一个特殊的硬件随机数生成器在芯片上,他们通常使用的是一个噪声放大器。所以他们故意制造了一个糟糕的放大器和一个麦克风输入,然后他们只是采样从模拟电子放大器发出的噪声一秒钟左右……
克里斯-…这就产生了随机噪音?
马库斯:这就是随机性。是的。
Chris -近年来,互联网上的加密连接有了很大的转变。所以当你上Facebook,或者你打开你的电子邮件,现在我们寻找的是“HTTPS”和那个小挂锁图标。这到底是什么意思?
Markus -所以HTTPS协议做了三件事:它加密你的连接;它为你提供了保密性,所以如果有人窃听你的电话线,他们实际上无法看到你在网络上做什么;它保护连接的完整性,因此它防止有人修改数据,并保护连接的真实性。因此,例如,如果你访问你的银行网站,你可以确信这实际上是真正的银行网站,而不是黑手党复制了银行网站并将你的流量重定向到它以窃取你的密码。
克里斯:那你怎么知道呢,或者说你怎么防范呢,假设我设置了一个Wi-Fi热点,亚当过来了,他连上了Wi-Fi热点,他连上了他的银行,做了一些网上银行业务。但假设我实际上拿走了他发送的数据我骗他以为他有一个安全的连接——因为我给他建立了一个连接——同时,我拿走了他发送给我的数据,我把这个发送给银行。你们都认为自己找对了人,但实际上我只是在复制你们之间传递的所有信息。这是如何防御的呢?
Markus -这是可以做到的。这就是所谓的“国际象棋大师攻击”,因为这是一个非常类似的把戏,你可以假装在国际象棋中击败一位国际象棋大师,你只需要与两位不同的国际象棋大师进行两场国际象棋比赛,你只需要将他们的走法传递给对方。他们都认为他们实际上是在和你一起玩,而你实际上是在让他们互相对抗。在密码学中,这也被称为“中间人攻击”。因此,确认这两个通信实际上使用相同的密钥的真实性是非常重要的。这是通过一种叫做“数字证书”的东西来完成的,它用你的银行正在使用的密钥对主机名(计算机的名称)进行数字签名。有些组织会给认证机构打电话,它们会发布一种电话簿,告诉你哪个组织在使用哪个密钥。Web浏览器做的就是让这种电话簿查找银行提供的密钥与银行的官方密钥是否匹配?
克里斯-但如果我的网络浏览器能做到这一点,罪犯也能做到,不是吗?怎样才能阻止罪犯查到这些钥匙然后模仿或复制呢?
Markus -他们可以查找公钥,但公钥仅用于验证真实性:公钥不能用于实际签名遇到的数据包。为此,您需要相应的密钥,但这是由银行保存的。所以银行电脑里有一段信息是罪犯无法访问的。
克里斯-犯罪策划者们在做什么来试图蒙骗这一切?
Markus:所以今天大多数针对互联网上这些系统的攻击实际上并没有破坏加密技术,因为这些方法已经变得非常安全,非常复杂。它们通常会欺骗用户,让他们不会特别注意。例如,他们会更改计算机的名称,使其听起来与您的银行相似。但实际上,有些字母来自不同的字母表。因此,曾经有过这样的情况,一家知名银行的名字被拼成了西里尔字母,其中一些字母看起来一模一样,人们没有意识到他们实际上是在和一个稍微拼写错误的银行说话。所以非常重要的是,你要非常仔细地查看你的银行名称在这个栏的网页上方。
克里斯:最后,马库斯,你能给我们的听众提供三个避免上当受骗的最好建议吗?
Markus -使用密码管理器-在每个网站上使用单独的密码-可能是最受欢迎的。第二点是,当你输入密码时,确保你先检查地址,这就是你想要的地址。第三个最重要的建议是,无论何时收到未经请求的电子邮件,都要非常怀疑其中的任何链接,因为这很可能是一封欺诈性电子邮件,它只是为了引诱你进入一个虚假的公司网站……
- 以前的你有多喜欢冒险?
- 下一个间谍学间谍和监视的科学
评论
添加注释