近期Facebook宣布將為其消息傳遞服務(wù)采用OpenPGP加密,同時允許用戶在他們的Facebook配置文件中張貼公鑰。這些改進如何改善Facebook的安全性?其他服務(wù)和消息傳遞應(yīng)用是否也該依法效之呢?
斯諾登事件增加的人們對網(wǎng)絡(luò)隱私的擔憂,幾家大型互聯(lián)網(wǎng)公司都開始加強其安全控制以保障其用戶在線數(shù)據(jù)和通信安全以防被窺探。舉例來說,現(xiàn)在最受歡迎的網(wǎng)站使用數(shù)字證書,從而讓用戶能夠查看跨HTTPS的頁面,HTTPS加密服務(wù)器和瀏覽器之間的流量。Facebook也使用了這種安全控制,也采用了HTTP嚴格傳輸安全機制,是瀏覽器只能在使用HTTPS連接Facebook。對于哪些想要額外隱私保護的用戶,F(xiàn)acebook提供了一個在線Tor。(注意下,這個連接只能在開啟Tor的瀏覽器上運行。)
不過Facebook的加密部署間仍有些許空檔,比如說,目前Facebook Messenger不提供端到端加密,雖然該公司使用TLS來保障安全連接到用戶的電子郵件提供商,它發(fā)送給他們的個人電子郵件地址消息是明文的。這意味著盡管從Facebook服務(wù)器到用戶帶女子郵件服務(wù)器的消息是加密的,但是一旦傳送,就可能被任何取得用戶權(quán)限的人閱讀。Facebook給用戶發(fā)送各種郵件安全提醒通知,例如密碼重置,都包含敏感信息,這需要更好的保護措施。
對于非技術(shù)人員,端到端加密是很難理解并使用的,因為它通常需要手動處理來交換發(fā)送方和接收方之間的公鑰,在任意時間它們發(fā)送郵件或任何其他類型的消息。這已為電子郵件加密所廣泛采用。
盡管如此,F(xiàn)acebook宣布其打算通過允許用戶上傳他們的OpenPGP公鑰到他們的配置文件中來支持端到端電子郵件加密。這將允許任何人,包括Facebook通過使用基于PGP的加密來給用戶發(fā)送加密的郵件。假如用戶郵件賬戶被攻擊或消息被攔截,F(xiàn)acebook使用帶有用戶公鑰的加密郵件將呈不可讀狀態(tài)。Facebook也將為對外傳至選擇使用自己的OpenPGP公鑰接收加密通知的用戶的消息進行標記。
OpenPGP是一個已存在近20年的開源的端到端加密標準。雖然它使用數(shù)字證書,但并不依賴證書認證方來認證其公鑰信息。相反,證書經(jīng)由證書列表上其他支持公鑰協(xié)會的用戶簽署。這種分散的信任模型被稱作為信任網(wǎng)絡(luò)。Facebook已選用一個廣為使用并自由部署OpenPGP標準的GNU隱私保護(GPG)。該軟件需要生成及管理一對兒PGP密鑰,其中帶有操作指南,可以從GPG網(wǎng)站上下載。
目前,F(xiàn)acebook新的OpenPGP加密功能只適用于臺式機,尚未支持移動設(shè)備,不過通過促進其使用,F(xiàn)acebook可增加加密的使用來保護一些列在線服務(wù)的郵件內(nèi)容安全。加密最好是無處不在且自動的,這也意味著不能從高敏感會話中區(qū)分出簡單會話。
Facebook并不是唯一一家添加加密服務(wù)的公司。雅虎和谷歌的端到端帶女子郵件加密擴展也是基于OpenPGP加密的,同時,Open Whisper Systems、Silent Circle以及蘋果公司的iMessage都提供端到端加密。政府憂心該做法會限制其對抗恐怖主義威脅的能力,不過另一些人則認為這是一項保護隱私的技術(shù)。這是需要探討的另外一個話題,不過我們能看到的是越來越多的供應(yīng)商將加密納入到其服務(wù)和消息傳遞應(yīng)用程序當中去。