目前,加密网站正处理着世界一半以上的网络流量,但这些连接的密钥交换和验证方式却已经20年多年没有变化了。
当前的系统是依赖于全球认证中心(CA)网络来验证公钥及每个安全网站的所有者。但长期以来一直因创造失败的中心点而被批评。
有些人认为区块链 – 这个管理着250亿美元的比特币网络密钥交换技术,可能会是一个安全的替代方案。
最初的想法
就像区块链一样,CA一开始也是作为促进商业连接的方式。曾帮助设立了第一个认证机构VeriSign的资深开发人员Christopher Allen表示,他想在一个系统中设置多个CA,这样用户就可以选择到底信任哪一个了。
但随着系统的不断扩展,普通用户想要管理他们对不同机构的信任是不切实际的。现在大多数用户都依赖于浏览器的默认设置。这样浏览器公司便能有效地控制信任,在证书行业产生巨大的影响力。
Allen说:“我们有一个新的中心,那就是大型浏览器公司”。
目前面临的风险
虽然对信任的控制已经实现中心化,但证书颁发机构的数量也在增长。现在世界各国已经有数百家认证机构,他们其中有任何一个失败都会破坏整个系统。
迄今为止,最糟糕的要属2011年荷兰DigiNotar倒闭事件了。被攻击的DigiNotar导致30万伊朗Gmail帐户被窥视,并被迫临时关闭了许多荷兰政府的在线服务。
从那时起已经发现了数十次CA发行未经证实的不合标准安全性的证书,甚至试图欺骗浏览器公司的情况。自2011年以来,虽然该行业已经多次提高安全标准,但还是有人认为现在时候该寻找长期替代CA的方案了。
2015年,Allen在其主办的“重启网络信任”研讨会上,曾在公布过一个代替方案。该文件规定了去中心化公钥基础设施(dpki)的目标,取代了目前的中心化系统。
“去中心化公钥基础设施(dpki)的目标是确保…没有一个单一的第三方可以威胁整体的整合性和安全性。”
取替了将域名所有权记录在DNS中的当前系统,接下来的密钥将由CA验证,重新启动网络信任(Rebooting Web of Trust)还设想了一种安全的命名空间,其中域名注册和每个域名的密钥都将被记录在区块链上。
新的命名空间
以太坊域名系统(ENS)正试图为以太坊社区创建相同类型的安全命名空间。它使我们首次见证了在现实工作中实施这些想法的挑战和机会。
开发人员Alex Van de Sande说:他的团队经常使用三明治的比喻来解释ENS的设计。ENS三明治中的“面包”是两个简单的合同。 一个规定,如果您拥有该域名,则您也有权获得其子域名。另一个则是付款处理。
像三明治一样,ENS最复杂的是中间订立域名注册规则的合同部分。 ENS希望避免域名抢注-这个在最初互联网域名昌盛期间非常常见的问题。
同时他们也追求“最不惊奇原则”,人们不应该对拥域名的人感到惊讶。这就像是美国银行应该优先拥有 bank of america.eth域名一样,是非常常见的。但Van de Sande说,设计一个执行这一原则的系统是非常具有挑战性的,甚至是不切实际的。
他还补充说,ENS将在重新推出后的第一年学习如何改进注册规则。 如果规则改变,那域名的所有者将可以选择升级或退款注销域名。
Van de Sande表示,他希望ENS能够成为广泛使用类似想法的模板,并补充说:
“ENS反映了我们所希望的互联网方式,但这并不意味着事实会如你所愿。”
Blockstack模型
去中心化安全在线通信基础设施的另一种方法是确保用户可以验证其接收的实际信息,而不是尝试保护服务器 – 客户端连接。
参与合作2015年的“重新启动信任网络”白皮书的工程师Jude Nelson告诉CoinDesk记者说:这是其初创公司Blockstack一直以来的目标。
目前的Blockstack系统属于Alpha版本,允许用户在比特币区块链上记录其唯一的域名和密钥,然后查找另一个用户,以验证他们接收的信息。
Nelson说“我们的开发人员正在通过Blockstack构建无服务器的去中心化应用程序,使得用户可以拥有自己的数据,并且不设置密码,开发人员也不必托管其中的任何一个。”
这样总有一天会减少对网站加密的需求。
所有权身份及其障碍
每一个项目都反映了相同的总体目标:减少第三方的作用,并给予用户更多的控制权。
Allen自2015年以来每六个月都召集一次重启网络信任小组会议,他说他正在致力于为用户提供真正的主权。
现在许多代表个人的在线字母和数字字符都已经注册到第三方。 Allen说:“所以你不是真的购买它,而是在租用,你没有真正的所有权”。
但是Allen也看到了前方的许多挑战。 一是可用性。 为技术熟练用户工作的系统可能不会扩展到大多数依赖默认值应用程序的用户,并且关于选择信任谁的问题也没有准备好。
Allen说:
“我们了解到,在技术方面让用户选择往往不起作用。”
同时,去中心化系统也在变化。 Google正在推出自己的CA系统陷阱的解决方案 – 一个名为“证书透明度”的计划,该计划要求CA在公开视野中记录所有受信任的证书。
Google表示,它可以通过Merkle 树验证日志的真实性,该系统已经允许研究人员捕获一些不良证书。
Google想保留第三方,但删除对其的信任。但这种方法对于想要摆脱这两个方面的区块链项目来说,可能会是一个长期的竞争对手。
翻译:cici@比特币中文网
网址:http://www.coindesk.com/blockchains-key-future-web-encryption/【声明:此文为本站原创翻译,如有不当之处请多指教!欢迎转载,转载请务必注明译者以及转自比特币中文网!】
(免责声明:本文仅代表作者本人观点,不代表比特币中文网立场)