哈薩克斯坦將 PKI 武器化 三大瀏覽器封禁根證書
責(zé)編:gltian |2019-09-02 14:36:43一個(gè)多月前,哈薩克斯坦開始要求其公民在瀏覽器中安裝政府的公共根密鑰。政府通過(guò)本國(guó)互聯(lián)網(wǎng)供應(yīng)商 (ISP), 要求用戶必須安裝該根密鑰才可訪問(wèn)互聯(lián)網(wǎng)。
此舉似乎是想通過(guò)中間人攻擊來(lái)截獲和竊聽網(wǎng)絡(luò)通信。如果攻擊者控制有瀏覽器網(wǎng)絡(luò)連接中一方或多方的公共根密鑰,也就是說(shuō)處于觀察者地位的一方擁有可以解密安全通信的密鑰,那么中間人攻擊將變得極其容易。
如此一來(lái),政府機(jī)構(gòu)就可以解密用戶的 HTTPS 流量,捕獲其內(nèi)容,重新加密,再發(fā)送給接收者。事實(shí)上,僅僅是擁有加密對(duì)話其中一方的密鑰,就已經(jīng)能夠開放整個(gè)數(shù)據(jù)流以供竊聽了。換句話說(shuō),即便沒(méi)有安裝該公共根密鑰,或者采取了 VPN 等額外預(yù)防措施的通信參與方,依然會(huì)陷入監(jiān)視之中。
而且,沒(méi)有什么好方法可供用戶分辨什么時(shí)候遭遇了此類監(jiān)視;實(shí)際上,這類監(jiān)視活動(dòng)很可能是徹徹底底的秘密行動(dòng)。
主要目標(biāo)
此類監(jiān)視活動(dòng)的主要目標(biāo)猜都能猜到:政敵、激進(jìn)人士、記者和其他熱衷言論自由及政治的人。畢竟,哈薩克斯坦歷史上也是經(jīng)歷過(guò)動(dòng)亂的:自 1991 年從蘇聯(lián)獨(dú)立出來(lái)之后,哈薩克斯坦便一直處于努爾蘇丹·納扎爾巴耶夫 (Nursultan Nazarbayev) 總統(tǒng)的統(tǒng)治之下,直到 2019 年 3 月政權(quán)交由贏得 2019 年 6 月大選的卡塞姆·托卡耶夫 (Kassym-Jomart Tokayev) 執(zhí)掌。
納扎爾巴耶夫執(zhí)政時(shí)期,哈薩克斯坦曾試圖以同樣的手段控制私密通信。2016 年,該國(guó)向主流瀏覽器申請(qǐng),將其作為可信公共證書頒發(fā)機(jī)構(gòu),納入瀏覽器根存儲(chǔ)中。當(dāng)時(shí),該根存儲(chǔ)權(quán)限未能獲批,其中部分原因就在于對(duì)終端用戶而言弊大于利。
盡管如此,哈薩克斯坦一直在努力監(jiān)視其國(guó)民。2019 年 7 月 17 日,政府發(fā)表官方聲明稱,公共根證書 “旨在增強(qiáng)對(duì)公民、政府機(jī)構(gòu)和私營(yíng)公司的保護(hù),避免遭遇黑客攻擊、互聯(lián)網(wǎng)詐騙和其他類型的網(wǎng)絡(luò)威脅”。隨后,當(dāng)?shù)?ISP 開始引導(dǎo)客戶安裝政府的根證書。
某些情況下,中間人監(jiān)測(cè)也可以是出于好意且接受度高的。比如說(shuō),企業(yè)防火墻可能查看出入站通信,確保其中不含有惡意軟件,或防止機(jī)密信息外流。同樣,瀏覽器上的私密根也未必不好。公司可以要求其防火墻內(nèi)的瀏覽器,在其使用自簽名 CA 的私密根上,信任自身網(wǎng)頁(yè),允許用戶加密訪問(wèn)的同時(shí),防止外部攻擊者創(chuàng)建危險(xiǎn)的副本以執(zhí)行欺騙。
PKI 武器化
然而,大規(guī)模監(jiān)視的情況卻不好說(shuō)。與檢測(cè)和嚇阻欺詐不同,此類大范圍監(jiān)視更有可能被用作查找和監(jiān)視當(dāng)權(quán)者認(rèn)為危險(xiǎn)的個(gè)人。在政治艱難的環(huán)境中,這有可能給言論自由和政治行動(dòng)自由帶來(lái)真實(shí)威脅。
截止目前,Chrome、Firefox 和 Safari 這世界三大瀏覽器,已決意封禁哈薩克斯坦政府的根證書。2019 年 8 月 21 日開始,如果檢測(cè)到 Web 流量是以被封根證書加密的,這些瀏覽器將會(huì)顯示出錯(cuò)信息。該威脅只能在瀏覽器層面上解決,迫使瀏覽器進(jìn)入考慮如何管理器可信根存儲(chǔ)的新領(lǐng)域。采取封禁立場(chǎng),顯示出谷歌、蘋果和 Mozilla 不僅僅是中立的技術(shù)提供商,還有一份保障自身技術(shù)產(chǎn)品使用方式的社會(huì)責(zé)任感。
哈薩克斯坦嘗試攻擊本國(guó)國(guó)民的舉動(dòng)倒是前所未見(jiàn)。但凡取得成功,必會(huì)有其他政府采用同樣的戰(zhàn)術(shù)針對(duì)自身民眾。鑒于哈薩克斯坦持續(xù)嘗試在加密通信中插入其根證書,廣大互聯(lián)網(wǎng)用戶需警惕此類政府對(duì) PKI 基礎(chǔ)設(shè)施的武器化。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!