Oto uaktualnienie zabezpieczeń, które pozwoli utrzymać 40 milionów ludzi poza siecią

Ta zielona blokada widoczna na pasku adresu wskazuje autentyczne i prywatne połączenie. Ten certyfikat zapewnia, że ​​Twoje informacje pozostają w granicach zaufanej witryny internetowej, a odwiedzana witryna jest w rzeczywistości witryną, którą sama się uważa. Innymi słowy, gdy logujesz się na Facebooku, obiecano ci, że a) twoje informacje - login, komunikacja, zdjęcia itp. - pozostają w bezpiecznych granicach witryny, a b) Facebook jest faktycznie Facebookiem, a nie oszust.

Gdyby ktoś złamał witrynę zaszyfrowaną SHA-1, miałby w rękach niezwykle cenne informacje - czyniąc koszt początkowego włamania znikomym. Osoba, organizacja lub naród mogą powiedzieć, powiedzmy, jako Facebook, przechwytując wszelkie wymiany lub prywatne informacje, które chcieli przechwycić. Innym zagrożeniem jest atak phishingowy, w którym jednostka, organizacja lub naród maskuje się jako witryna w celu kradzieży informacji o użytkownikach.

Biorąc pod uwagę niepewność SHA-1, większość głównych stron zgadza się, że przejście jest spóźnione. Jest jednak minus. Użytkownicy Internetu ze starymi telefonami lub komputerami stacjonarnymi nie będą mogli uzyskać dostępu do witryn zaszyfrowanych SHA-2. Stare telefony lub komputery mają wirtualne sufity, które uniemożliwiają aktualizację programów lub aplikacji. A SHA-2 będzie mieć coś w rodzaju „Musisz być tak wysoki, aby jeździć” w przeglądarkach. Zasadniczo, jeśli Twój telefon lub komputer nie jest „wystarczająco wysoki” - czytaj: wystarczająco nowy, wystarczająco zaktualizowany - aby „jeździć”, witryny zaszyfrowane SHA-2 odwrócą Cię.

CloudFlare, który zbadał problem i dostarczył własne rozwiązanie, wymienił 25 krajów z najmniejszym wsparciem - i stwierdził, że ta lista „pokrywa się z listami najbiedniejszych, najbardziej represyjnych i najbardziej rozdartych wojną krajów na świecie”. świat zostanie oszczędzony: w Ameryce Północnej i Europie Zachodniej ponad 99 procent przeglądarek jest zgodnych z SHA-2. Jednak w Chinach liczba ta spada do około 93 procent, aw Kamerunie, Jemenie, Sudanie, Egipcie, Libii, Wybrzeżu Kości Słoniowej, Nepalu, Ghanie i Nigerii wynosi około 95 procent. Procent wykluczenia wydaje się niski, ale biorąc pod uwagę kontekst, stanowi on oszałamiającą liczbę użytkowników Internetu.

Efektem końcowym jest to, że przeważająca większość użytkowników, którzy zostaną odsunięci od jazdy SHA-2, będzie tymi, którzy mogą najbardziej potrzebować dostępu do stron. (Pomyśl o wpływie Facebooka i Twittera na arabską wiosnę). Ponadto kraje, które mogą nadal kierować infrastrukturę przez przestarzałe platformy, będą narażone na atak.

31 grudnia 2015 r. Niektóre z największych witryn internetowych będą niedostępne dla prawie 40 milionów użytkowników. Rozsądna, ale trudna noworoczna decyzja o uaktualnieniu technologii szyfrowania zablokuje około 5% populacji online krajów rozwijających się z bezpiecznych, certyfikowanych witryn, takich jak Google, Facebook i Twitter.

Jeśli Twój telefon ma więcej niż pięć lat, również zostaniesz wykluczony.

Wszystko to dzięki przejściu na technologię szyfrowania SHA-2 od swojego poprzednika, SHA-1. To trochę mylące, ale oto idzie: przed SHA-1 telefony komórkowe używały technologii szyfrowania MD5, która w 2008 r. Okazała się niepewna. Dopiero w 2013 roku MD5 został całkowicie wycofany, a SHA-1 stał się regułą.

Wkrótce jednak eksperci ds. Bezpieczeństwa złamali SHA-1. A dzięki szybszym i szybszym komputerom łamanie witryn SHA-1 staje się tańsze i tańsze: badanie z 2012 r. Ostrzegło, że chociaż w tym roku kosztowałoby to 2,77 mln USD, liczba w 2015 r. Spadłaby do 700 000 USD. (W 2018 r. Szacunki spadły do ​​173 000 USD, aw 2021 r. Wyniosły zaledwie 43 000 USD). Jednak teraz, gdy jest rok 2015, Ars Technica raporty - „naukowcy uważają, że taki atak można przeprowadzić w tym roku za 75 000 do 120 000 USD”.

Jest to niepokojące lub godne uwagi z dwóch powodów. Po pierwsze, witryny wymagające najwyższego poziomu bezpieczeństwa to witryny, które uzyskują największy ruch, witryny najbardziej popularne. Ponownie, obejmują one (ale nie są ograniczone do) Google, Facebook i Twitter oraz powiązane z nimi strony. Po drugie, użytkownicy, których urządzenia nie przekroczą baru, znajdują się przede wszystkim w krajach rozwijających się, często w krajach spustoszonych przez wojnę i niesprawiedliwość.

Rozwiązaniem CloudFlare, które Facebook odtwarza, jest włączenie funkcji „SHA-1 fallback”. Użytkownicy, którzy w przeciwnym razie byliby zablokowani z witryn CloudFlare lub Facebook, otrzymają dostęp w ramach zabezpieczeń SHA-1. Nie jest to idealne rozwiązanie - wady bezpieczeństwa nadal będą istniały - ale przynajmniej będą mniej wykluczające.

(Już przeszliśmy na SHA-2 tutaj Odwrotność. Jeśli czytasz ten artykuł, możesz mieć pewność, że będziesz mógł uzyskać dostęp do swoich ulubionych witryn w 2016 r.)