网路资讯／CA金钥安全崩盘中？SSL与数位凭证揭秘

作／保罗

一年前，伊朗的Gmail用户突然得面对一个让人恐惧的状况：他们在Google电子邮件中理当受到保护的一些敏感讯息，遭到一些未公开的第三方团体监控。

这些组织模仿Google网站，用Google的名义使用假的数位凭证，让有心人士发动「中间人攻击」(man in the middle attack)，在电子邮件透过Google伺服器发送给收件者之前，进行拦截并加以解码。

在寻找这个假凭证的过程中，各界都把矛头指向位于荷兰Beverwijk 的数位凭证机构DigiNotar。DigiNotar坦承，在事件爆发的过去一个月，公司成为网路攻击的受害者，攻击者制造了数百个假凭证，用的是许多知名网路公司的名号，包括Google、雅虎(Yahoo)、Skype以及匿名网路系统Tor等。

这些假凭证被集中使用在一些伊朗用户的帐号，因此各界猜测，这起攻击事件可能与政府的情治单位有关，当局意图借此打击政治异己。

DigiNotar攻击事件是史上最严重的凭证机构遭骇案件，但这肯定不是单一案例。在这起事件发生的几个月前，另一家位于纽泽西的网路凭证公司Comodo也碰到了类似状况。在那起事件中，攻击者同样用知名网路公司的名号，制造假的数位凭证。

这些成功的攻击事件撼动了整个产业，因为数位凭证与金钥加密技术代表着整个网路通讯的基石。这些技术确保VPN连线、以及传输层安全(Transport Layer Security, TLS) 与安全通讯端层(Secure Sockets Layer, SSL)等协定的安全，让全世界每天上演的数十亿个网路活动与线上交易获得充分保障。

这个系统的核心，就是全球约300家数位凭证公司打造的基础设施网路，这些获得信任的公司会核发凭证给个人或是机构组织。

凭证机构就像是守门员，他们会先查核个人与组织的身份，才会发送含有公开金钥与私人金钥的数位凭证给用户，以确保网路资讯交易的安全无虞。

理论上，数位凭证应该是照这个逻辑运作的，可是当DigiNotar攻击事件爆发时，数位凭证机构不再是保障用户身份的坚固堡垒，他们反而变成了需要被保护的对象。

过去一年来，数位凭证公司遭受到精密策划的攻击，这些攻击骇客可能有国家势力在背后撑腰，突显出重大安全漏洞与内部控制的疲弱。现有系统让重视安全的企业如坐针毡，他们现在比以前更需要安全可靠的网路认证服务，来支撑他们不断扩张的网路版图，但现有系统显然不堪一击。

应该怎么办呢？许多专家认为，凭证科技依然有其重要性，而重视资讯安全的公司仍然可以借由了解系统的缺失、并采取一些简单步骤来避开这些问题。

松散的生态系统

DigiNotar遭骇事件以及后续的骨牌效应，突显出全球公开金钥基础建设系统的深层漏洞。其中最重要的问题，就是有许多公司都在提供认证授权给个人或组织，并担保他们的网路身份。

网路凭证公司Global Sign技术长Ryan Hurst表示，网路始祖Netscape开发SSL后，衍生出来的结果，让凭证公司被视为高度安全的机构，他们只有一个目标：就像是核发护照的单位一样。

然而，随着网路与电子商务的使用量暴增，核发凭证的工作变成了一门生意，而且是能够赚钱的生意。在VeriSign（现为赛门铁克子公司）等公司带头下，许多公司进入这块市场。政府单位、大型企业与商业认证业者成立了自己的凭证机构，由这些公司核发全球认可的凭证。负责管理微软最高层伺服器、以及其它加密计划超过10年的Hurst表示，光是微软一家公司就认可了超过300个凭证，这些凭证又与超过80家公司有关。

对于这个全球网路担保系统，大部分网路使用者都只是略知一二。绝大多数网路服务业者，会让用户选择透过加密连线进行沟通；很多甚至会强制要求。

各大浏览器会用明显的图案，让使用者明白某些特定的活动是受到SSL或其它加密方法的保护。常见的方法是在网址栏位中出现一把「锁」的图案。浏览器会持续追踪名声较好的网路凭证，如果用户进入到可疑的、或是凭证过期的网站，浏览器会提醒用户注意。

如果使用者因为某个网站、或其它目的而需要凭证，也可以很容易向VeriSign与Go Daddy等公司购买，且价格不会太贵。

Online Trust Alliance（推动网路安全的非营利组织）执行长暨创办人Craig Spiezle表示，这些私人经营的商业凭证机构在带来方便之余，也造成整个辨识基础架构的松散。Spiezle表示：「有太多网路上的东西是仰赖SSL以及整个信赖系统，但这是个让人感到困惑、难懂而且松散的生态系统。」

首先，业界没有一个清楚的最高层凭证清单。实际的情况是，每个浏览器平台都有自己的政策，来选择其认可的最高层凭证。

网路资讯256期