保护互联网-数据保护和加密

根据英国国家统计局(Office for National Statistics)的数据，在英国，超过75%的家庭现在可以上网，而且我们的生活越来越多地转向网络。金融部门表示，英国有超过2000万人在网上银行，许多政府服务，包括部分税收系统，现在都是无纸化的，完全通过网络运作。同时，在这个国家的任何地方都可以访问医疗记录的系统也在筹备中，福利系统也将被放到互联网上。现在，这意味着敏感的个人数据必须通过网络传输。那么，怎样才能保证它的安全呢?克里斯·史密斯采访了网络安全专家罗斯·安德森。他来自剑桥大学的计算机安全小组……

罗斯:数据保护可以追溯到20世纪60年代，加密可以追溯到很多很多世纪。很长一段时间以来，人们一直在使用各种技术来加密他们的信息。但最近有了很大的变化。在过去，50年前或100年前，限制您加密数据或信息安全能力的因素是终端人员执行计算以替换数字的字母、打乱字母等等的能力。这意味着很难制造出复杂到足以抵抗数学分析的系统。但在过去的20年左右，现在我们都有了可以运行软件的个人电脑和移动电话，这个问题已经消失了，取而代之的是，现在的问题是在所有端点上如何安全。

克里斯:你说它消失了，是因为电脑基本上不像人那样有注意力持续时间吗?它可以毫不留情地尝试一件又一件事情，直到代码被破坏。

罗斯-不。随着技术的进步，这对密码制作者比密码破译者更有利，因为如果你把密钥的长度增加一点点，你就会大大增加破译的难度。在过去的20年里，我们已经开发了许多加密算法，现在已经非常好了。他们不再是链条上的薄弱环节。

克里斯:你能解释一下，当你说加密算法时，它到底是什么意思吗?人们对数据做了什么，这样别人就不能随便弄明白它说了什么?

罗斯:嗯，我不打算描述现代加密算法的内部，因为在黑板上做数学已经够难的了，更不用说在空中了。但粗略地说，在像AES这样的现代加密算法中发生的事情是，你有一系列的回合，其中调换和替换一个接一个地伴随着密钥材料的混合。这意味着，除非您知道或能够猜出密钥，否则实际上不可能从密文中恢复明文。

克里斯-所以你有钥匙。那就是当你在家里的路由器上看到PSK(预共享密钥)，它是字母和数字或符号的某种组合。它以某种方式与数据混合在一起，这样数据就会使用那个键中的信息被改变除非你知道那个键是什么，否则你无法逆转这个过程。

这或多或少是对的，但这不是现在有趣或相关的事情。这基本上是一个解决了的问题。一个更大的问题是，英国大约6%的个人电脑都装有恶意软件。所以即使你认为你和你的银行共用一把钥匙，事实并非如此。6%左右的人实际上可能与俄罗斯的一些坏人分享了这笔钱。

克里斯——换句话说,当我登录到我的银行账户,我产生了某种随机系列的,通常与其中一个数字小的手持设备,银行知道这个数字是什么,我知道这个数字是什么,所以数据应该是安全的,但我没有意识到这一点,也让别人通过软件在我的电脑数量,这样他们就可以窃听的谈话我有银行。

罗斯-这才是根本的问题。如果你的电脑感染了恶意软件，或者如果银行的电脑感染了恶意软件，那么坏人可能会拦截你给塞恩斯伯里支付20英镑的订单，而不是把它变成向百慕大黑手党房地产公司支付2万英镑的订单。随着银行支付变得越来越快、越来越大，所有这些带来的风险和风险敞口也在不断上升。

为什么像你这样聪明的人不能发现这种拦截发生了?因为关于Schrödinger的猫和量子问题的关键在于光子知道它在从一个地方到另一个地方的过程中是否被观察到。我们能不能在互联网上做类似的事情，如果一段数据被其他人探测或检查，而不是它的目标用户，你可以看出?

罗斯:嗯，20、25年前量子密码学最初提出的承诺，由于各种技术原因，实际上并没有实现。但无论如何，这都不是一项大规模使用的可行技术。问题是，大多数银行已经决定，与其给客户提供特殊的软件或设备，不如使用商品产品，比如你购买电脑时自带的网络浏览器。这意味着俄罗斯、巴西、尼日利亚或其他地方的坏人只需要编写一次攻击，就可以在任何地方运行。

Chris -所以你可以拥有这个非常棒的加密和解密系统，但它只有在保证密钥安全的情况下才能发挥作用。如果因为你的电脑上有不可靠的软件而出现漏洞，那么你的系统可能会更弱，因为它实际上不是无懈可击的。

罗斯:没错。因此，密码学的数学不再是弱点，你必须从博弈论和各种银行面临的动机，恶意软件编写者面临的动机开始研究。现在，为Mac OS或Linux编写病毒并不比为pc编写病毒困难，但由于pc的数量越来越多，因此为Windows操作系统编写恶意软件的人也越来越多。因此，如果你使用的是装有Windows的电脑，你更有可能成为恶意软件攻击的受害者。这不是密码学，这是博弈论，完全是另一种数学。

Chris -刚收到一条推特@裸体科学家。Shib说:“恶意软件和计算机病毒的区别是什么?”它们实际上是同一件事吗?其实并没有什么区别，对吧?

罗斯:嗯，病毒是一种恶意软件。因此，就目前的目的而言，并没有真正的区别。

克里斯-实际上，这些东西的来源是什么?难道我们不解决这个恶意软件的根本原因或来源吗?难道我们不只是说，“好吧，我们知道这个东西存在。我们可以编写更好的软件来找到它，并阻止它在你的电脑上自动安装?”

罗斯:最好的办法就是全世界的警察都投入精力去抓那些写恶意软件的人，把他们关进监狱。有一两个警察单位，特别是联邦调查局，在这方面付出了一些努力，但我担心许多警察部队只是认为这是“太难”的类别。毕竟，如果这些人在圣彼得堡这样的地方，你就会说到相互司法协助，你就会说到引渡，你就会说到每件案子数十万英镑。

当然，你说的是雇佣他们，把他们变成雇员，因为他们可能对其他国家很有用。

罗斯:有一个问题，许多政府发现他们的使命是相互冲突的。一方面，如果政府把重点放在维持治安上，它就会努力抽干沼泽。它可以清理僵尸网络，阻止人们编写恶意软件，等等。但另一方面，站在进攻方的人，比如GCHQ, MOD等等，他们更喜欢这样的想法，那里有一个大沼泽，因为这意味着他们可以把他们的邪恶活动隐藏在里面。因此，你最终会在警务任务和情报任务之间，在进攻和防御任务之间产生紧张关系。不幸的是，进攻往往会胜出，因为GCHQ对首相的影响力远远超过伦敦警察局局长。

纳税人和银行客户实际上是在买单……由于罗斯。