安全何其难：HTTPS无法保护隐私

tianzc

[p=22, null, left][font=arial][color=#696969][backcolor=transparent] [/backcolor][/color][/font][/p][p=22, null, left][font=arial][color=#696969]棱镜门事件后全球的安全专家都建议企业和应用尽可能低启用HTTPS（超文本传输协议和SSL/TLS的组合）加密web服务，例如电子邮件和社交网络，来确保数据隐私安全，使用HTTPS加密连接访问网站可以防止监听，监听者将无法了解你具体访问了哪些网页，从而确保个人隐私。[/color][/font][/p][p=22, null, left][font=arial][color=#696969]但是HTTPS（SSL/TLS）真的靠谱吗？[/color][/font][/p][p=22, null, left][font=arial][color=#696969]事实上[backcolor=transparent]SSL/TLS本身也存在安全漏洞[/backcolor]，2013年安全专家发现采用CBC和RC4的SSL/TLS协议存在安全漏洞，而目前网络上大约50%的流量采用的是RC4进行加密。由于CBC模式的块加密和RC4式的流加密都出现了漏洞，并且有了现实的攻击手法，专家建议企业最好选择在SSL/TLS加密方式上选择更为安全的AES-GCM方式。[/color][/font][/p][p=22, null, left][font=arial][color=#696969]近日HTTPS的安全性又传来噩耗，加州伯克利大学大学的研究者们本周发布的论文《[backcolor=transparent]I Know Why You Went to the Clinic: Risks and Realization of HTTPS Traffic Analysis[/backcolor]》，显示，新的攻击可以通过分析加密数据流量分析出用户的个人隐私信息，甚至具体到健康问题，财务问题甚至性取向。[/color][/font][/p][p=22, null, left][font=arial][color=#696969]该论文基于此前的对SSL流量分析的研究，Tor和SSH隧道暴露的HTTPS的漏洞可导致队协议的精确攻击并泄露敏感的个人信息。[/color][/font][/p][p=22, null, left][font=arial][color=#696969]加州伯克利大学研究者采用了全新的攻击技术，测试分析了包括医疗、金融、法律和视频网站的600个知名网站的6000多个网页的加密流量数据特征，然后分析用户加密流量会话，通过高斯分布寻找加密流量之间的相似性，进而判断用户具体访问了哪个网页，新的攻击算法成功将HTTPS流量分析的错误率降低了三倍多，网页识别的 准确率提高到89%。但是研究者也发现了一种防御技术，通过加强HTTPS数据包的防护成功将流量分析的成功率降低了27%。[/color][/font][/p][p=22, null, left][font=arial][color=#696969]加州伯克利大学的发现表明，HTTPS的安全缺陷意味着网络服务商可以进行更加深入的用户数据挖掘，推送更加有针对性和倾略性的广告，企业主也能更有效的监控员工网络流量，对于专制体制的自由倡导者来说也意味着更大的风险。[/color][/font][/p]