作/保羅
一年前,伊朗的Gmail用戶突然得面對一個讓人恐懼的狀況:他們在Google電子郵件中理當受到保護的一些敏感訊息,遭到一些未公開的第三方團體監控。
這些組織模仿Google網站,用Google的名義使用假的數位憑證,讓有心人士發動「中間人攻擊」(man in the middle attack),在電子郵件透過Google伺服器發送給收件者之前,進行攔截並加以解碼。
在尋找這個假憑證的過程中,各界都把矛頭指向位於荷蘭Beverwijk 的數位憑證機構DigiNotar。DigiNotar坦承,在事件爆發的過去一個月,公司成為網路攻擊的受害者,攻擊者製造了數百個假憑證,用的是許多知名網路公司的名號,包括Google、雅虎(Yahoo)、Skype以及匿名網路系統Tor等。
這些假憑證被集中使用在一些伊朗用戶的帳號,因此各界猜測,這起攻擊事件可能與政府的情治單位有關,當局意圖藉此打擊政治異己。
DigiNotar攻擊事件是史上最嚴重的憑證機構遭駭案件,但這肯定不是單一案例。在這起事件發生的幾個月前,另一家位於紐澤西的網路憑證公司Comodo也碰到了類似狀況。在那起事件中,攻擊者同樣用知名網路公司的名號,製造假的數位憑證。
這些成功的攻擊事件撼動了整個產業,因為數位憑證與金鑰加密技術代表著整個網路通訊的基石。這些技術確保VPN連線、以及傳輸層安全(Transport Layer Security, TLS) 與安全通訊端層(Secure Sockets Layer, SSL)等協定的安全,讓全世界每天上演的數十億個網路活動與線上交易獲得充分保障。
這個系統的核心,就是全球約300家數位憑證公司打造的基礎設施網路,這些獲得信任的公司會核發憑證給個人或是機構組織。
憑證機構就像是守門員,他們會先查核個人與組織的身份,才會發送含有公開金鑰與私人金鑰的數位憑證給用戶,以確保網路資訊交易的安全無虞。
理論上,數位憑證應該是照這個邏輯運作的,可是當DigiNotar攻擊事件爆發時,數位憑證機構不再是保障用戶身份的堅固堡壘,他們反而變成了需要被保護的對象。
過去一年來,數位憑證公司遭受到精密策劃的攻擊,這些攻擊駭客可能有國家勢力在背後撐腰,突顯出重大安全漏洞與內部控制的疲弱。現有系統讓重視安全的企業如坐針氈,他們現在比以前更需要安全可靠的網路認證服務,來支撐他們不斷擴張的網路版圖,但現有系統顯然不堪一擊。
應該怎麼辦呢?許多專家認為,憑證科技依然有其重要性,而重視資訊安全的公司仍然可以藉由瞭解系統的缺失、並採取一些簡單步驟來避開這些問題。
鬆散的生態系統
DigiNotar遭駭事件以及後續的骨牌效應,突顯出全球公開金鑰基礎建設系統的深層漏洞。其中最重要的問題,就是有許多公司都在提供認證授權給個人或組織,並擔保他們的網路身份。
網路憑證公司Global Sign技術長Ryan Hurst表示,網路始祖Netscape開發SSL後,衍生出來的結果,讓憑證公司被視為高度安全的機構,他們只有一個目標:就像是核發護照的單位一樣。
然而,隨著網路與電子商務的使用量暴增,核發憑證的工作變成了一門生意,而且是能夠賺錢的生意。在VeriSign(現為賽門鐵克子公司)等公司帶頭下,許多公司進入這塊市場。政府單位、大型企業與商業認證業者成立了自己的憑證機構,由這些公司核發全球認可的憑證。負責管理微軟最高層伺服器、以及其它加密計畫超過10年的Hurst表示,光是微軟一家公司就認可了超過300個憑證,這些憑證又與超過80家公司有關。
對於這個全球網路擔保系統,大部分網路使用者都只是略知一二。絕大多數網路服務業者,會讓用戶選擇透過加密連線進行溝通;很多甚至會強制要求。
各大瀏覽器會用明顯的圖案,讓使用者明白某些特定的活動是受到SSL或其它加密方法的保護。常見的方法是在網址欄位中出現一把「鎖」的圖案。瀏覽器會持續追蹤名聲較好的網路憑證,如果用戶進入到可疑的、或是憑證過期的網站,瀏覽器會提醒用戶注意。
如果使用者因為某個網站、或其它目的而需要憑證,也可以很容易向VeriSign與Go Daddy等公司購買,且價格不會太貴。
Online Trust Alliance(推動網路安全的非營利組織)執行長暨創辦人Craig Spiezle表示,這些私人經營的商業憑證機構在帶來方便之餘,也造成整個辨識基礎架構的鬆散。Spiezle表示:「有太多網路上的東西是仰賴SSL以及整個信賴系統,但這是個讓人感到困惑、難懂而且鬆散的生態系統。」
首先,業界沒有一個清楚的最高層憑證清單。實際的情況是,每個瀏覽器平台都有自己的政策,來選擇其認可的最高層憑證。
網路資訊256期
讀者迴響