正確加密

按照斯諾登先生的說法，現(xiàn)階段我們要保護(hù)自己的隱私，一個(gè)強(qiáng)大的加密系統(tǒng)是唯一的選擇，并且只有在正確實(shí)施加密的情況下方能湊效。下面，CHIP為大家展示如何保護(hù)自己的文件、照片以及基于Web的通信。

通過愛德華·斯諾登曝光的信息我們知道，許多加密方法的可靠性并不如人們想象的那么可靠，并且間諜機(jī)構(gòu)會(huì)利用強(qiáng)大的資源對(duì)加密的數(shù)據(jù)進(jìn)行破解，包括嘗試暴力破解。因而，如果我們希望通過一個(gè)強(qiáng)大的加密系統(tǒng)來保護(hù)自己的數(shù)據(jù)安全，那么我們首先必須要找到一種可以信任的加密算法。通常，標(biāo)準(zhǔn)的選擇是對(duì)稱加密算法，因?yàn)樗鼈兪请x線數(shù)據(jù)加密以及網(wǎng)絡(luò)通信安全（例如HTTS）最主要的加密算法。對(duì)稱加密算法通常有兩種主要的類型：一是塊加密，加密過程將把數(shù)據(jù)劃分為相等的塊，并分別對(duì)每一個(gè)塊進(jìn)行加密；二是流加密，它摒棄了塊加密將數(shù)據(jù)劃分成塊的方法，一氣呵成地加密所有的數(shù)據(jù)，原始數(shù)據(jù)通過異或（eXclusive OR，簡稱XOR）操作并與由偽隨機(jī)數(shù)發(fā)生器產(chǎn)生的數(shù)據(jù)流混合。流加密算法RC4被廣泛地應(yīng)用于加密網(wǎng)絡(luò)連接，但美國國家安全局能夠破解通過該算法加密的數(shù)據(jù)流。在2013年，一個(gè)研究小組已經(jīng)證明了RC4是可以被破解的，只要你擁有足夠的數(shù)據(jù)記錄。

如果使用正確的密鑰，那么對(duì)于攻擊者來說塊加密是一個(gè)很難啃的骨頭。首先，加密的密鑰越長就越能阻止暴力破解的嘗試。例如稱為“高級(jí)加密標(biāo)準(zhǔn)”（Advanced Encryption Standard，簡稱AES）或者雙魚（Twofish）之類的最新加密算法，雖然它們彼此使用不同的數(shù)學(xué)方法進(jìn)行加密，但是它們都可以提供比較高的安全性。由于它們使用的是最短128位長度的密鑰，所以目前已經(jīng)取代了“數(shù)據(jù)加密算法”（Data Encryption Standard，簡稱DES）的標(biāo)準(zhǔn)加密算法，因?yàn)镈ES的密鑰長度僅有56位。在無線局域網(wǎng)、電腦和HTTPS方面，AES已經(jīng)受到了廣泛的認(rèn)同，替代3DES（三重DES加密算法，Triple DES）成為了首選的加密方法。布魯斯·施奈爾等加密專家都認(rèn)為，目前128位AES系統(tǒng)可以提供足夠的保護(hù)，即使應(yīng)對(duì)暴力破解也能夠給予強(qiáng)大的保護(hù)，而3DES則未必能夠勝任。

密鑰長度和模式必須兼容

然而，一個(gè)糟糕的密碼將會(huì)讓強(qiáng)大的AES變得脆弱，因?yàn)槊艽a是加密密鑰的基礎(chǔ)，加密軟件將通過哈希函數(shù)將密碼轉(zhuǎn)換成一個(gè)AES密鑰。某些AES加密工具生成密碼的模式可能存在問題。例如，通過所謂的電子密碼本（Electronic codebook，簡稱ECB）產(chǎn)生一個(gè)“看起來”像輸入的密碼，特別是Android默認(rèn)的加密庫則更是被專家們點(diǎn)名批評(píng)。伯克利加州大學(xué)的研究人員發(fā)現(xiàn)，70%的開發(fā)者使用加密庫開發(fā)相關(guān)應(yīng)用的加密功能。另有許多加密程序和微軟的BitLocker一樣使用密碼分組鏈接（Cipher-block chaining，簡稱CBC）模式，在CBC模式中，每個(gè)數(shù)據(jù)塊需要與前一個(gè)密文塊進(jìn)行異或后再進(jìn)行加密。從理論上講，這種模式更好且更復(fù)雜，所以在離線加密時(shí)CBC是一個(gè)很好的選擇。然而，當(dāng)涉及到網(wǎng)絡(luò)通信時(shí)，情況則有所不同。

涉及到網(wǎng)絡(luò)時(shí)，安全的HTTPS連接是關(guān)鍵。它需要通過兩個(gè)步驟建立：瀏覽器與相關(guān)的服務(wù)器使用非對(duì)稱加密方式建立加密連接，交換密鑰用于加密后續(xù)網(wǎng)絡(luò)通信。接下來，將通過對(duì)稱的加密方式加密，例如使用AES執(zhí)行加密網(wǎng)絡(luò)通信。如果經(jīng)由RSA非對(duì)稱方法建立加密連接，那么服務(wù)器會(huì)生成兩個(gè)密鑰：一個(gè)是僅用于解密的專用密鑰，密鑰將保留在服務(wù)器上；另一個(gè)公共密鑰則僅用于加密信息，它將被提供給每一個(gè)瀏覽器，以便它們可以在與服務(wù)器接觸時(shí)使用。在數(shù)學(xué)上，用素?cái)?shù)生成的密鑰對(duì)，密鑰越長，攻擊者成功破解的機(jī)率越低。除此之外，服務(wù)器和瀏覽器還可以使用Diffie-Hellma（簡稱DH）密鑰交換協(xié)議來傳遞密鑰。

DH密鑰交換協(xié)議中服務(wù)器和瀏覽器只交換特定值，而不直接傳遞密鑰。它們將使用交換的數(shù)值各自獨(dú)立地計(jì)算出對(duì)稱密鑰。密鑰的計(jì)算通過一個(gè)數(shù)學(xué)函數(shù)實(shí)現(xiàn)，這與此前的加密算法相同，數(shù)值越大越安全。DH密鑰交換協(xié)議的優(yōu)點(diǎn)在于，每個(gè)會(huì)話將生成新的密鑰，并且每個(gè)會(huì)話結(jié)束之后密鑰將被丟棄。這個(gè)過程，被稱為“短暫的DH”（ephemeral DH，簡稱DHE）或“完全向前保密”，它可以避免RSA的一個(gè)缺點(diǎn)：如果攻擊者竊取服務(wù)器的私鑰，那么其就可以解密服務(wù)器所有網(wǎng)絡(luò)通信的數(shù)據(jù)。DHE最新的一個(gè)變體ECDHE使用橢圓曲線進(jìn)行計(jì)算，可以減少DHE的長度和計(jì)算工作量。這使得它可以更適應(yīng)網(wǎng)絡(luò)加密的需要：384位ECDHE密鑰的安全性與一個(gè)8192位RSA密鑰相當(dāng)。

找出HTTPS的薄弱點(diǎn)

在Chrome或Firefox瀏覽器上，我們可以檢查與服務(wù)器的HTTPS加密連接的質(zhì)量。只需單擊瀏覽器地址欄上的鎖頭符號(hào)，瀏覽器將列出當(dāng)前網(wǎng)站的證書以及所采用的加密技術(shù)。不同的安全傳輸協(xié)議使用不同的加密技術(shù)。目前，從SSL 3.0起各版本的安全協(xié)議都被認(rèn)為是安全的，而最新的版本（TLS 1.2）則被認(rèn)為是最安全的安全協(xié)議。而無論使用哪種HTTPS連接，服務(wù)器應(yīng)該完全避免使用過時(shí)的SSL 2.0。不幸的是，SSL 3.0協(xié)議允許系統(tǒng)通過版本回滾來繼續(xù)使用SSL 2.0，而這種模式可以通過一個(gè)中間人攻擊（Man-In-The-Middle，簡稱MITM）來激活。通過MITM攻擊，攻擊者可以截取瀏覽器和服務(wù)器之間的加密通信，操縱它并分析結(jié)果，以便確定可以被利用的薄弱點(diǎn)。

像貴賓犬（Google介紹的一種攻擊方法）之類最新的HTTPS攻擊方法，主要依賴于SSL 3.0中CBC模式的弱點(diǎn)，也就是SSL 3.0對(duì)數(shù)據(jù)塊隨機(jī)進(jìn)行填充的缺陷，而從TLS 1.0開始，該缺陷已經(jīng)不再存在。術(shù)語“填充”指的是向最后的數(shù)據(jù)塊填充數(shù)據(jù)，這對(duì)于塊加密技術(shù)來說通常都是必須的，因?yàn)閯澐謹(jǐn)?shù)據(jù)塊進(jìn)行加密，要求所有的數(shù)據(jù)塊都必須是相同的尺寸。雖然填充區(qū)填充的數(shù)據(jù)將同樣被加密，但消息認(rèn)證碼（Message Authentication Code，簡稱MAC）并不保護(hù)其完整性。填充區(qū)最后一個(gè)字節(jié)總是包含填充區(qū)的長度，這可能是256個(gè)不同的值。由于缺乏完整性檢查，所以在一定范圍內(nèi)修改最后一個(gè)字節(jié)，數(shù)據(jù)仍有可能被服務(wù)器接受。因而，MITM攻擊者可以通過最后一個(gè)字節(jié)的測(cè)試，檢測(cè)填充區(qū)的長度并判定MAC的正確位置。

攻擊者現(xiàn)在知道了加密數(shù)據(jù)中MAC的位置，而且也知道自己的實(shí)際目標(biāo)：會(huì)話Cookie。獲得這個(gè)Cookie，他就可以通過服務(wù)器的驗(yàn)證。為了將會(huì)話Cookie解密，攻擊者將再一次利用上述方法，復(fù)制會(huì)話Cookie密文的最后一個(gè)字節(jié)到加密塊含有填充長度的區(qū)域。接下來，開始發(fā)出請(qǐng)求，每一個(gè)請(qǐng)求需不斷改變填充字節(jié)數(shù)。當(dāng)字節(jié)數(shù)與填充區(qū)長度（即Cookie的字節(jié)）匹配后，即可完成解密操作。然后，他重復(fù)此過程解密會(huì)話Cookie的倒數(shù)第二個(gè)字節(jié)，并不斷循環(huán)直至Cookie被完全解密。

由于SSL 3.0被發(fā)現(xiàn)存在上述缺陷，所以作為應(yīng)急措施所有最新的瀏覽器都停用SSL 3.0。從技術(shù)上講，采用伽羅瓦/計(jì)數(shù)器模式（Galois/Counter Mode，簡稱GCM）的TLS 1.2是一個(gè)很好的解決方案。GCM的每一個(gè)數(shù)據(jù)塊都包含完整性標(biāo)簽，而且完整性標(biāo)簽是結(jié)合輸入數(shù)據(jù)使用異或操作產(chǎn)生的，這使得貴賓犬之類的攻擊不能再起作用。

相關(guān)信息

對(duì)稱加密方法

有兩種不同的類型：一種是類似RC4這樣的流加密，使用一個(gè)XOR（異或）將數(shù)據(jù)逐位與隨機(jī)值相結(jié)合；另一種是塊加密，將數(shù)據(jù)劃分為相同大小的塊，每一個(gè)塊可以經(jīng)過幾輪的加密。

AES：選擇正確的模式

各種不同模式的AES加密質(zhì)量有所不同，電子密碼本（ECB）不是一個(gè)很好的選擇，因?yàn)橄嗤拿魑臅?huì)產(chǎn)生相同的密文。密碼塊鏈接（CBC）改變每一個(gè)塊的密鑰，生成隨機(jī)的密鑰輸出。

Web正確的密鑰長度

HTTPS使用非對(duì)稱加密方式傳遞密鑰和簽名，512位的密鑰可以很容易被破解，1024位的密鑰是否安全仍有爭議，但2 048位長度的密鑰目前被認(rèn)為是安全的。如果利用橢圓曲線（EC）加密，則較短的密鑰就可以提供足夠的安全性。

相關(guān)信息

檢查網(wǎng)絡(luò)加密強(qiáng)度

單擊地址欄的鎖頭符號(hào)，瀏覽器將顯示有關(guān)HTTPS連接的詳細(xì)信息。具備一定的相關(guān)知識(shí)，即可確定網(wǎng)絡(luò)加密的強(qiáng)度。

了解HTTPS版本的弱點(diǎn)

HTTPS存在不同的版本，SSL 2.0被認(rèn)為是不安全的，RC4加密有可能被破解，CBC模式和壓縮功能的缺陷有可能被用于實(shí)施中間人攻擊，TLS 1.2是目前最安全的，如果服務(wù)器停用壓縮功能。

進(jìn)行身份驗(yàn)證后加密

HTTPS中消息認(rèn)證碼（MAC）被用于保護(hù)數(shù)據(jù)的完整性，在CBC模式下最后的數(shù)據(jù)塊將通過填充操作以確保數(shù)據(jù)塊的尺寸一致，填充區(qū)域的最后一個(gè)字節(jié)用于指定填充的長度。而在解密的過程中，將被用于識(shí)別MAC的位置。

加密文件

對(duì)于云端的數(shù)據(jù)、硬盤驅(qū)動(dòng)器和文件，不同的情況下我們需要使用各自專用的加密工具。

許多重要的個(gè)人信息、文檔和媒體文件都是以數(shù)字形式存儲(chǔ)的，這些數(shù)據(jù)以及所在的存儲(chǔ)介質(zhì)都是我們必須妥善保護(hù)的。有許多采用AES和Twofish算法的加密工具可以供我們選擇，而我們必須做的是根據(jù)不同的情況精選加密工具。通常對(duì)于不同的加密對(duì)象，我們需要選擇不同的加密工具。這是因?yàn)?，加密一個(gè)硬盤驅(qū)動(dòng)器所需的加密操作與加密一個(gè)文件截然不同。

長期以來，TrueCrypt都是個(gè)人用戶的首選工具，它可以對(duì)整個(gè)驅(qū)動(dòng)器進(jìn)行加密或備份數(shù)據(jù)到加密的容器中，但是該工具目前已經(jīng)停止開發(fā)。因而，以TrueCrypt的代碼為基礎(chǔ)的另一個(gè)開源項(xiàng)目VeraCrypt（veracrypt.codeplex.com）成為了當(dāng)之無愧的接班人。而且，VeraCrypt在TrueCrypt的基礎(chǔ)上進(jìn)一步地發(fā)展，加密的質(zhì)量有所提高。例如VeraCrypt改善了從密碼生成密鑰的方式。不采用CBC擴(kuò)展模式進(jìn)行全盤加密，而是采用XTS模式。XTS加密原則上和ECB差不多，但是它是一個(gè)結(jié)合了扇區(qū)號(hào)和硬盤驅(qū)動(dòng)器偏移量的加密方案。對(duì)于XTS所能夠提供的安全性，專家們?nèi)匀粵]有得出結(jié)論。因此，VeraCrypt提供使用多種算法循環(huán)加密的選項(xiàng)，例如首先使用AES，然后再利用Twofish進(jìn)行加密。

隨機(jī)數(shù)和強(qiáng)密碼

MAXA Crypt Portable（www.maxa-tools.com/mcse.php）和AxCrypt（www.axantum.com/AxCrypt/）這樣的免費(fèi)程序可以很好地完成加密單個(gè)文件的任務(wù)。作為一個(gè)開源項(xiàng)目，AxCrypt很值得推薦，但在安裝過程中需要特別注意，該軟件安裝程序?qū)L試安裝其他的一些附加工具。而對(duì)于一般用戶來說，所有額外的軟件都是不必要的。軟件的使用很簡單，右鍵單擊文件或者文件夾，選擇加密并輸入密碼（或打開密鑰文件），AxCrypt將開始執(zhí)行操作。該工具在CBC模式下使用128位AES算法進(jìn)行加密，為了產(chǎn)生一個(gè)安全的初始化向量（Initialization Vector，簡稱IV），AxCrypt安裝了一個(gè)偽隨機(jī)數(shù)發(fā)生器。對(duì)于CBC模式來說，IV必須是真正的隨機(jī)數(shù)，否則加密質(zhì)量將被削弱。MAXA Crypt Portable也采用類似的做法，但它的加密方案密鑰長度可以長達(dá)256位。這是非常安全的，但將需要比較長的時(shí)間才能夠完成加密。

如果準(zhǔn)備將個(gè)人信息上傳到云存儲(chǔ)服務(wù)，例如Google或Dropbox的云服務(wù)，那么Boxcryptor（www.boxcryptor.com）可以提供適當(dāng)?shù)谋Ｗo(hù)。該工具將在系統(tǒng)中創(chuàng)建一個(gè)虛擬驅(qū)動(dòng)器，然后將用戶指定的云存儲(chǔ)服務(wù)離線文件夾與之關(guān)聯(lián)起來，加密其中的所有文件，必要時(shí)用戶也可以通過簡單的單擊加密和解密文件。以往，CHIP曾經(jīng)多次在不同的文章中為大家介紹如何使用該工具加密云端數(shù)據(jù)。

相關(guān)信息

安裝和使用加密驅(qū)動(dòng)器

和TrueCrypt一樣，VeraCrypt通過向?qū)椭脩魟?chuàng)建加密驅(qū)動(dòng)器，另外也可以保護(hù)現(xiàn)有的磁盤分區(qū)。

生成加密密碼

MAXA Crypt Portable是一個(gè)免費(fèi)的程序，提供快速使用AES算法加密文件的功能。此外，該工具還提供產(chǎn)生隨機(jī)密碼的功能，按一下按鈕即可生成一個(gè)足夠安全的密碼。

加密云端文件

Boxcryptor可以在將文件上傳到Dropbox或者Google等云服務(wù)之前加密它們，軟件默認(rèn)使用256位密鑰的AES加密系統(tǒng)。

密碼管理器

長密碼更安全但不容易記憶，因而我們需要一個(gè)能夠生成安全密碼并能夠管理它們的工具，以便能夠在使用各種加密工具時(shí)使用高強(qiáng)度的密碼。

網(wǎng)絡(luò)加密

如果身份驗(yàn)證方式被破解，那么即使是最好的網(wǎng)絡(luò)加密也是沒有用的，而除此之外，網(wǎng)絡(luò)加密的成敗基本取決于密鑰的大小。

一個(gè)安全的網(wǎng)絡(luò)加密方法是很重要的，但它并不是萬能的。證書在其中發(fā)揮著核心作用，因?yàn)闉g覽器需要通過服務(wù)器的證書來驗(yàn)明正身。通過證書用戶可以確定自己所登錄的確實(shí)是網(wǎng)上銀行的網(wǎng)站，而不是某個(gè)頁面看起來一樣，但實(shí)際上卻是會(huì)騙取用戶登錄信息的釣魚網(wǎng)站。通過瀏覽器可以在網(wǎng)上查詢證書，證書頒發(fā)機(jī)構(gòu)（Certificate Authorities，簡稱CA）提供在線等證書列表系統(tǒng)。不幸的是，Comodo（最大的認(rèn)證機(jī)構(gòu)之一）等一些CA已經(jīng)被證明是不值得信任的，甚至曾經(jīng)出具假證書，這種性質(zhì)惡劣的行為為實(shí)施中間人攻擊的攻擊者提供了便利。最近一次相關(guān)的事件是預(yù)裝在聯(lián)想筆記本電腦上的廣告程序快魚，該程序在Windows中安裝了一個(gè)RSA加密的根證書。它的私鑰設(shè)置了一個(gè)非常容易被猜到的密碼，并且可以很容易地提取出來，這導(dǎo)致攻擊者可以很容易地利用該證書攔截并操縱與該軟件相關(guān)的網(wǎng)絡(luò)通信數(shù)據(jù)。那些受到這一問題影響的用戶必須執(zhí)行一個(gè)在線檢查，確定是否有必要手動(dòng)刪除證書，以確保自己不會(huì)成為MITM攻擊的受害者。

瀏覽器的防護(hù)措施

Mozilla和Google等一些瀏覽器廠商都開始修復(fù)證書制度，這些新的瀏覽器將保存自己的名單，并附加其他額外的保護(hù)機(jī)制：通過HTTP嚴(yán)格的安全傳輸（HTTP Strict Transport Security，簡稱HSTS）可以防止SSL剝離，SSL剝離是一種MITM攻擊方式，通過切換HTTPS連接到未加密的HTTP連接實(shí)施攻擊。通過HTTP公共密鑰識(shí)別（HTTP Public Key Pinning，簡稱HPKP）可以減少虛假證書的影響，在第一次訪問網(wǎng)站時(shí)瀏覽器將保存服務(wù)器發(fā)送的識(shí)別碼，如果瀏覽器稍后再次訪問該網(wǎng)站，那么該網(wǎng)站的服務(wù)器必須同時(shí)使用證書和識(shí)別碼來證明其身份。

對(duì)網(wǎng)絡(luò)加密的安全性起決定性作用的另一重要因素是諸如RSA等非對(duì)稱加密技術(shù)的密鑰長度。很長一段時(shí)間以來1 024位的密鑰被認(rèn)為是安全的，但是現(xiàn)在情況已經(jīng)有所改變。威斯特伐利亞大學(xué)互聯(lián)網(wǎng)安全預(yù)警系統(tǒng)項(xiàng)目的負(fù)責(zé)人多米尼克·彼得森建議人們使用2 048位系統(tǒng)，對(duì)于擁有足夠的計(jì)算能力并且比較容易受到黑客攻擊的網(wǎng)站，他建議使用4096位的密鑰，但是這種長度的密鑰目前尚沒有加密程序?qū)崿F(xiàn)。許多用戶使用GnuPG（GNU Privacy Guard，簡稱GPG）加密工具，它可以生成專用的RSA密鑰，用戶可以將公鑰發(fā)給所有需要給自己發(fā)送加密郵件的朋友。

相關(guān)信息

檢查有問題的證書

偽造或被破解的證書將可能被用于實(shí)施網(wǎng)絡(luò)攻擊，通過在線服務(wù)（filippo.io/Badfish）我們可以檢查當(dāng)前的系統(tǒng)是否存在類似的證書。

HTTPS的最佳瀏覽器

許多新的瀏覽器通過額外的功能提高網(wǎng)絡(luò)連接的安全性，HPKP檢查證書兩次，HSTS在條件允許的情況下強(qiáng)制使用HTTPS。另外，HSTS不受信任的連接提示進(jìn)一步地提高了安全性。

HSTS阻止不安全的連接

Firefox、Chrome和Safari瀏覽器已經(jīng)實(shí)現(xiàn)了提示HSTS不受信任連接的功能，如果用戶訪問一個(gè)認(rèn)證信息不安全的位置，那么瀏覽器將拒絕訪問并提示相關(guān)的信息。

強(qiáng)大的郵件加密工具

Gpg4win（www.gpg4win.org）可以幫助用戶生成安全郵件的通信密鑰，我們應(yīng)該設(shè)置密鑰長度為2 048或3 072位。