360發布首款支持國密演算法的瀏覽器對網路安全有哪些影響?
360發布了一款支持國密SM2/3/4演算法的瀏覽器,可以用國產演算法的HTTPS連接網銀訪問,可行嗎?
360發布的這個瀏覽器支持的是GM/T 0024-2014標準,使用雙證書體系,設計出來就是為了老大哥看你底褲用的,這是標準問題,跟加密演算法關係到不是很大.... @掌曉愚
-------------------------------------------
是時候吊銷一波國產證書了2333
再次安利:chengr28/RevokeChinaCerts · GitHub
-------------------------------------------
有的人被老大哥偷窺(其實是光明正大的視奸)還能產生奇怪的快感,YY這是阻止外國邪惡勢力顛*覆所做出的必要犧牲,然而老大哥想看你的底褲才是發自真心2333
搞信息安全的,最忌諱的就是對某些環節有莫名的信任。任何一個環節的疏忽都可能成為安全鏈條上斷裂的一環。不管中國政府還是美國政府,都不應該成為信任的對象。
以下討論僅針對網路安全領域;在嵌入式、晶元等硬體領域有可能得出不同的結論,由於對相關知識不熟,本答案不做討論。
- 演算法風險
作為密碼學演算法,一定要公開接受行業的檢驗。一個好的密碼演算法,當然不是能被設計者自己攻破的演算法。因此,演算法提出來之後,會有無數的眼睛盯著進行破解的嘗試。
現在國際流行的演算法,都是在這種嚴酷的環境之下勝出的。很多演算法在實踐中被發現有漏洞,例如最近一年中,SSL被連續爆出CRIME、BEAST等多個漏洞,導致Google宣布放棄之(永別了:谷歌宣布放棄RC4和SSLv3協議)。
在這個層面上,目前發現的漏洞都是設計者預料之外的。雖然美國政府有一些針對加解密的攻擊行為(後文說明),但是沒有一例是在演算法中故意留下後門未被發現。
當然,沒有發現風險,並不代表不可替代。實際上,在SHA-2系列Hash演算法僅存在理論上的攻擊可能性的情況下,美國NIST就開展了下一代SHA-3演算法的公開徵集,並從中選定了Keccak作為新的Hash演算法標準。在徵集中,NIST就要求候選演算法不得使用Merkle-Damgard結構。但是,作為國密雜湊演算法標準的SM3,依據公開資料,仍然是Merkle-Damgard結構。這就意味著,如果發現了一種針對SHA-1、SHA-2的攻擊手段,它有可能對SM3演算法也能生效。從這一點上看,國密雜湊演算法等相對於目前國際流行的演算法並沒有特殊的優勢。
360這次的國密瀏覽器,並未涉及到新演算法的提出,只是對現有國密演算法的實現,因此不會增加演算法上的風險。如其它答案所說,它最大的意義是對此演算法進行了推廣普及。當然這是建立在政府意志的基礎之上,當政府想要強推的時候,就算沒有360,也會有其它企業或單位接手這件事。
- 實現風險
除了演算法本身的風險之外,演算法的實現過程也有可能面臨各種風險,這些風險可能是緣於實現者對於演算法的理解不到位,或者只是單純的編程bug。著名的HeartBleed漏洞,便是OpenSSL在實現過程中對於輸入參數的有效性驗證不足而引發的。作為一個廣泛使用的開源密碼庫,OpenSSL中存在的問題在相當長的時間內沒有被發現,這說明在演算法實現中面臨的風險要比演算法本身的風險高很多。
除此之外,在實現層面上,密碼演算法可能受到更多的主觀故意的後門影響。例如Freak漏洞,本質原因是利用了美國90年代對於加密演算法出口中要求兼容512位以下的弱密鑰的RSA加密的強制規定;又比如產生RSA密鑰的Dual_EC_DRBG演算法,被發現由NIST選擇了特定的常數,形成了容易預測密鑰的後門(請參考NSA 在 RSA 加密演算法中安置後門是怎麼一回事,有何影響? - 加密/解密)。但是這些風險都源於選擇了特定的參數,而非演算法本身存在缺陷,因而我將它們都歸為實現風險。
演算法的任何一種實現也必須像演算法本身一樣,接受長時間大規模的檢驗,才能確定其中是否有風險。這次360瀏覽器對新的演算法進行了新的實現,其可靠性如何還有待驗證。我並非不相信360工程師的技術水平,也肯定360的瀏覽器一定比以前的「綠壩」強很多,但是在安全領域,這種程度的信任是遠遠不足夠的。
- 體系風險
這裡「體系」特指網路安全中的PKI體系。有些答案認為PKI被國外所掌握,我覺得這種觀點是錯誤的。PKI體系中,從演算法到規範,所有的技術細節都是公開的。如果認為國外的有風險,完全可以沿用這些技術自己搭建可信的設施。
實際上,PKI體系仍是一個非常脆弱的體系,因為它依賴於太多的假設條件,例如假設RootCA是可信的、假設DNS結果是可信的、假設本地時間是可信的……這些信任條件都與安全領域最小信任的思想相違背。因而,PKI仍處在不斷優化的過程之中。例如法國ANSSI和中國CNNIC相關的假證書出現之後——暫且不論這之中誰該負多大責任——Google多次力推數字證書透明度技術,以加強證書頒發環節的安全保障。
由此可知,如果認為PKI體系不安全,就應該建立可信的PKI基礎設施,或者修補目前體系中的漏洞;無論哪個方向,都與國密標準中的雙證書體系沒有關係。
360這次推出的瀏覽器,只是體系的一個終端軟體,並沒有過多涉及PKI部分的搭建。理論上,接下來360也可以選擇自己搭建國密兼容的RootCA、KMC等來覆蓋體系全流程,不過這畫面太〇我不敢看……
總結一下,目前國際流行的網路安全體系,都是在假設政府不可靠的前提下,經過了大量的實踐後演變形成的,並且仍處於繼續優化之中。說這套體系不可信當然很容易,但是針對其弱點拿出更優的解決方案很難,目前我並不認為國密演算法做到了這一點。因此,360的這個瀏覽器並沒有增強現有的網路安全性。
PS1:那些說「被中國政府偷窺和被外國政府偷窺沒什麼不同」的,請考慮一下「被自己父母暴打和被鄰居父母暴打」有沒有什麼不同。PS2:個人觀點,接下來的幾年是網路安全發展的關鍵年份。HTTP/2協議標準公布後,很多主流瀏覽器宣稱只針對HTTPS下的HTTP/2協議進行實現,說明大家都意識到了網路安全的重要性,並且希望它能繼續發揮更廣泛的作用。然而,這與某些政府的目的是相反的……
你們還記得WAPI這個東西嗎?
先不說安全性,就說說這個實現的效率。@掌曉愚 的回答中測試了 360 瀏覽器對 SM 的支持。大概下載速度是 1MBps (=8Mbps) 時 CPU 就已經滿了。平均處理每個位元組需要上千個時鐘周期!危乎高哉!
(這說明 360 的實現太差,並不說明「國密」無法高效實現。謝謝 @掌曉愚 在評論中指出。)
對比一下主流加密標準 AES 的實現。平均處理每個位元組需要 20 個時鐘周期。(nist.gov 的數據)
如果可以使用黑科技(AES instruction set),平均每處理一個位元組消耗不到兩個周期。(intel 的測試報告)
作為對比,測試一下 chrome 瀏覽器的下載速度。因為下載不光是解密,還有很多別的活,光比較解密時間並不公平。用 chrome 下載學校伺服器上的文件,使用 https 下載(學校真TM土豪,居然提供的是 https 下載)
下載速度約為 3MBps 時下載進程佔用平均 15% 的單核 CPU 時間。下載 6.6GB 文件使用了約 5min 的 CPU 時間(htop 直接顯示 CPU 時間)。按照我 2GHz 的 CPU 頻率,大概下載每個位元組需要 100 個時鐘周期,其中應該有 2~20 個周期被用來解密。數字公司的實現就是坨屎。效率這麼低,居然還好意思騙國家錢。
網路安全的最大敵人不就是國家嗎?為什麼還有人敢用國家標準?
@xiaoxiao lin 提到的稜鏡事件和Dual_EC_DRBG後門,充分證明了只有斯諾登和中本聰才是網路安全的守護神。聽到什麼國產不國產我就覺得噁心,代碼這東西,只有好代碼壞代碼,適合這個工作的演算法和其他演算法。什麼你產我產的。你有本事就開源,你有本事就不要用別人內核,HTMLCSSJS的渲染全都你自己照著標準去做出來,把你的JS解釋器優化的比V8還牛逼。
用個IE內核和Webkit內核你就發明了個牛逼的詞:雙核瀏覽器。不明真相的用戶還真以為和多核CPU一樣的東西呢!SM演算法是公開的,我讀過SM3的文檔,說一個演算法危害安全,應該至少給出質量問題在哪裡,而不是拿出身說話。
關鍵詞:雙證書體系
《PKI技術(信息安全國家重點實驗室 信息安全叢書)》作者:荊繼武 林璟鏘 馮登國
為建設大中華區域網而努力,數字公司也是會上歷史恥辱柱的
# 先說兩條結論
1. 360的實現是基於國家標準的,沒有夾帶自己的私貨。標準化對國家是好事情,對用戶是好事情,對技術人員是天大的好事情。再難看、簡陋的標準,也強過沒有標準。
2. 這是一件三觀正確的事情,雖然360的實現不盡完備,政府推動的因素也不可忽略。但把技術力量用在這上面,總強過去和各種全家桶撕逼。
# 什麼是360瀏覽器國密專版
* 簡而言之,就是使用國家商用密碼演算法和國家商用密碼協議的版本。
為什麼我國要有自己的密碼演算法?這個問題不在此展開回答了,密碼技術對國家的重要性可以參考二戰時期英美和德國的密碼對抗。
目前我國公開發布的主要商用密碼演算法如下(SM也即拼音「商密」):
- SM2:256位的橢圓曲線演算法,包括密鑰生成,簽名,密鑰交換和公鑰加密四種演算法
- SM3:摘要演算法,輸出長度32位元組(與SHA-256同樣長度)
- SM4:分組長度為16位元組的對稱加密演算法
而目前我國發布的商用密碼協議很多,360實現的協議特指GM/T 0024-2014 《SSLVPN技術規範》。這個協議與國際上SSL/TLS位於同一層次,是HTTPS的基礎。而HTTPS可以說是整個互聯網的安全根基,無數的終端、伺服器環境與之息息相關。
《SSLVPN技術規範》與TLS/SSL的主要區別如下:
1. 使用了獨立的版本號(目前是01 01),不再遵從SSL/TLS的版本規則
2. 定義了獨立的演算法套件(12個)
3. 可以使用SM2的密鑰交換和公鑰加密這兩種演算法來完成密鑰協商,這兩者在TLS協議和美標ECC演算法中都找不到對應。
4. P_HASH演算法基於SM3
5. 使用中國特色的雙證書體系(不做評價,這裡有一篇比較詳細介紹的PPT 11-雙證書體系-2010_圖文)
360就是基於以上演算法和協議規範來實現其國密專版的,這些標準和規範均已公開。
# 360國密專版的功能如何
筆者對該版本進行了簡單的測試和抓包分析,小結如下:
## 功能
* 70分: 具備標準的國密協議和演算法實現。
測試中一些記錄如下:
1. 在輸入帶https的URL後,瀏覽器會發起預訪問,先逐次嘗試TLS 1.2/1.1/1.0和SSL 3.0,如果服務端都返回wrong version,則使用國密協議;而如果服務端對TLS/SSL協議正常返回ServerHello,則不再發起國密協議的ClientHello。
2. ClientHello中聲明的演算法組合只有ECC-SM4-SM3(E0 13),此組合在協議中對應的演算法如下:
- 身份認證:SM2簽名演算法
- 密鑰交換:SM2公鑰加密演算法
- 對稱加密:SM4對稱加密演算法
- HMAC摘要計算:SM3摘要演算法
- P_HASH計算:SM3摘要演算法
3. 對服務端證書未做CRL或OCSP校驗(抓包時未發現瀏覽器有下載CRL或OCSP訪問的動作)
4. 具備SSL Session重用功能——頁面刷新時,會使用原先的SSL Session進行連接。
* 50分:還有待改進
20160818更新:
基於最新的360se7.1.1.781版本測試,SM4下載速度提升到了30Mbps以上,
但仍然是單個連接,下載大文件時,其他頁面資源無法操作。
1. 在XP和Windows 7上,性能表現都不佳,64M的文件下載要接近1分鐘,推算出的性能大約是8Mbps。而此時360se.exe進程已經把單個CPU核心用滿。
2. 測試中發現360對於一個網站只有一個SSL連接,多個頁面的訪問是串列的,如果某個在下載的資源較大,那就無法並行處理其他資源。
# 如何評價這個版本
首先,360這個版本的確是基於國家標準來實現的,就這一點而言要給100個贊。雖然從目前提供的功能和表現來看,還不盡如人意,但相信很快會有後續的改進版本(據知情人士稱這個項目1年前就啟動了,從時間成本上來說,管理層一定是下了決心的)
360發布這個版本之後,接下來首先影響到的是政府和金融行業。從筆者了解到的客戶情況來看,這可以直接加速整個行業的標準化進程——國內大大小小有資質的CA平台,這些年基本上都升級到支持國產演算法的版本了,但沒有瀏覽器的支持,這些CA發出的SM2證書就沒法真正落地。各大銀行的網銀證書數量早已過千萬,但使用SM2演算法的寥寥無幾。為了推進國產演算法的證書,CFCA之前都自己攢了一把瀏覽器但也沒推廣開。而現在有360了,並且是基於國家行業標準的實現,各大銀行和政務網站搭建基於國產演算法的安全Web服務的最大障礙掃清了。
除此之外,國內大小SSL產品廠商將面臨一次洗牌:踏實做事的廠商終於可以在市場上來證明自己的價值,偷換概念打插邊球的廠商也無法再濫竽充數了。從這點上來說,360的發布對安全行業是一次明確的推動。
# 對後續版本的一些期待
目前的版本是一個基本及格的版本,如果360真有野心,筆者覺得後續可以做的工作還很多:
首先,360可以藉助這個版本,建立一套網上銀行安全的標準,包括SSL,網站可信檢測,安全密碼輸入控制項,基於數字證書的U盾環境等。把現有網上銀行涉及到的多種技術和演算法,用更統一的模式進行封裝,真正體現出與通用瀏覽器的差異。
其次,在Android端,我覺得360可以為各網銀APP提供國產演算法的SSL引擎,同時推動一下360手機版。
再走遠一點,360可以同步打造對應的支持國產演算法的雲端環境——在提供伺服器虛擬化的同時,還提供支持國密協議的SSL服務。
最後,在純技術層面,我認為360還可以做的改進如下:
1. 優化SM3/SM4演算法的性能,這部分的上升空間還是很大的。
2. 支持SM2密鑰交換(而不僅僅是現在的SM2公鑰加密),實現Perfect Forward Secrecy(Forward secrecy)。
3. 實現CRL和OCSP校驗,對服務端證書進行更嚴格的校驗。
4. 優化國密協議的IO模型,避免單個連接阻塞整個頁面訪問。
# 其他
360開發國密版瀏覽器的項目,從去年知道消息到昨天正式發布,差不多經歷了1年多的時間,筆者的公司間接參與了一部分技術調試工作。
1. 有新的加密演算法用,是好事,但這是一個學術問題,不應該有國界;
2. 支持這個標準,是好事,但如果沒有確鑿的證據說明所有之前通用的標準不能用,請不要強迫任何人使用;
3. 希望看到更多的軟體支持這一演算法,如果它真的值得被廣泛應用的話。
反對高票答案。
我痛恨牆,反對任何信息封鎖手段。但是從國家層面上講,建立自主加密標準和證書體系是非常必要的。毫不誇張地說,跟北斗衛星導航系統一樣,關係到國家安全和社會民生。
首先說一下,自主加密標準的主要目的不是為了watching you。
1,老大哥要查看國內網站的底褲非常簡單,每個大型網站必須自己審查,包括bat,微博,微信等都配備了大量人力和技術手段過濾,封禁敏感信息,否則你就不可能在國內經營下去。老大哥甚至有api能夠直接查看後台明文數據。在國內可謂是予取予求,來去自如。不管你怎麼加密,只要在國內網站展現,存儲,完全沒必要動用自主加解密演算法,因為即使有密鑰,解密也非常消耗cpu和時間。
2,至於境外網站嘛,有牆,不管你怎麼加密,不讓你訪問就行了。
3,至於360瀏覽器,任何密文都需要在瀏覽器解密,360能夠上傳,窺探用戶全部的明文數據,不管有多隱私。所以除了測試,我從來沒用過它家產品。
4,跟中國政府一樣,美國政府同樣存在信息檢查制度,雖然沒有老大哥這麼惡劣嚴格。但即使秉承不做惡價值觀的Google也需要向nsa提供所需信息。
綜上,老大哥要查底褲有很多簡單方便的手段,完全不需要搞一個更加複雜的演算法來實現。所以這個問題還請大家理性看待。
那為什麼又要搞一個更複雜的自主演算法標準呢?為了國家安全。為什麼會選擇360?因為他的瀏覽器市場份額國內最大。在安全技術方面也有實力,比如參與了牆的建設,控股了wosign等。
解釋下為什麼跟國家安全有關係。
1,國外加密演算法可能有後門,什麼叫後門?就是在不知道它的情況下,加解密非常安全,但是一量旦後門泄露,解密就非常簡單。比如rsa就被質疑過配合nsa安插後門,請自行百度或者Google。ecc演算法雖然是公開的,但是大規模使用的時間不長,幾條推薦的曲線和參數都是nsa和fips審核通過的,對於ecc的質疑一直都存在,數學家和密碼學家們也從來沒有停止過對它的破解攻擊。而且很多時候,nsa都能夠掌握後門,或者提前破解,但是它從來就不會公開,比如nsa其實很早就知道了heartbleed漏洞。再說美國監聽全世界也不是一天兩天了,連最重要的盟友都不放過。
2,證書信任的錨點掌握在美國大公司手裡。什麼叫信任的錨點?就是你能夠信任對方的最重要的憑證,沒有它,就沒有信任,瀏覽器就有可能中斷連接,不讓你繼續訪問。比如根證書及驗證策略,絕大部分掌握在美國大公司手裡。從商業角度講,證書信任體系沒有這麼脆弱,但是現在有很多政府,外交相關的網站也在使用這些證書,如果哪一天他們宣布中國公司的證書全部過期或者失效,瀏覽器就會無法訪問這些網站。(比如前不久chrome宣布吊銷CNNIC證書,當然這是因為竊聽,所以是它活該)還有那些銀行,支付寶,財富通,證券系統,也都是使用這些證書。如果信任錨點被撤銷,甚至能癱瘓一個國家的金融系統。不要說這個可能性很小,概率很低。美國停用gps,使用原子彈的概率也小吧?我們為什麼自主研發呢?
隨著中國經濟和互聯網的發展,建立自主加密標準和證書體系勢在必行。因為這關乎國家安全和利益。只有努力造牆阻礙信息流通的人的人是可恥的,提出這些安全加密標準並為之奮鬥的專家是值得尊敬的。
由於在高鐵上用手機答的題,有些材料沒有羅列,不是很嚴謹。
居然這麼古老的問題被我碰到了,看了一下已有的回答,都是基於中間人攻擊的風險來說的,但是作為加密體系,起作用的不只是加密演算法,還包括根證書等一系列附屬設計,而根證書則與系統安全密切有關,因為許可權控制與便利性相矛盾,所以大部分的系統都是對擁有數字簽名的可執行文件不設防的。一個沒有數字簽名的文件,在請求UAC的時候,微軟會告訴你有風險,而有數字簽名的則沒有這麼明顯。
數字簽名另一個危險的地方在於,軟體自動更新通常是根據數字簽名來判斷是否被篡改,因此就有了美國情報機構通過哈希碰撞破解微軟更新用的證書,將flamme病毒偽造成微軟更新感染目標計算機的例子了。所以,任何被國家支持的加密演算法、證書都是不可信任的,要使用的證書必須是國際化的,被國際社會廣泛使用的證書體系。
有人提到如果發生戰爭,中國公司的證書被外國公司吊銷會產生影響。對於這種論調,我只能說,這個世界有一個牛X的國家叫外國,佔據了80%的經濟產值,95%的先進技術。任何一家被國際廣泛採用的證書廠商,我相信都算的過這筆賬來。
CNNIC顯然就是這樣一個算不過這筆賬的證書公司,濫發中間人攻擊證書導致被主流瀏覽器廠商吊銷,而某個國家的公司顯然都好不到哪裡去,不然也不會有奶粉里摻三聚氰胺這種事情了。所以CNNIC為例,看一下證書都有哪些用途。在cmd中輸入certmgr.msc就可以打開證書管理器,證書的作用如右側的圖顯示,看看有多少是你不知道的。把這麼多東西託付給一個你完全不了解,品德不佳的公司,你放心嗎?沒人邀,硬來。
首先,360支持國家加密演算法,只是順應標準的事情。對於一個商業公司來說,多支持一種標準,多佔據一部分與該標準相關的可能市場,純粹是個投入產出的問題,所謂在商言商。
其次,這世界上標準很多,並不是只有燈塔美帝的。雖然美帝在科技標準中佔據了很大份額的席位,但如果認為只有美帝才好,別的都是渣,這行徑跟70-80年前跪拜德國小鬍子沒啥差別。
第三,國產加密演算法至少在目前沒有人從理論上證明它有致命缺陷,否則推這玩意不是自尋死路么?真當研究演算法的整個行業是傻子?
第四,扯什麼big brother,真監聽還需要動用這種不靠譜手段?幾乎全世界所有的國家都有合法監聽法規,並有嚴格的技術實現要求。無論是看不懂這句話,還是對此視而不見而言它,都沒有必要再多說半個字。
最後,斯諾登在燈塔美帝是叛國罪。別的就不說啥了,願意跟他一起的可以去一起,估計沒人攔著。以為演算法是誰出的,誰就能解密的,可以說對密碼學簡直屁都不懂
當然這個加密標準到底安不安全是另一回事
自己的HTTPS標準終於有了瀏覽器支持,對於推動國家自有密碼體系的建設是非常有好處的。以360的用戶數量來說,現在支持『國密』的客戶端終於到了一個可以說的上話的數量級上了。
我在這個問題下不想說關於政府監控的問題。國密原理演算法都是公開的,為什麼要雙證書,雙證書是幹什麼用的大家去看看就知道了。我只來說下應用和推廣。
就推廣來說已經成功了一半——億用戶量級的瀏覽器支持。可以說是國家自有的加密體系第一次出現在了政府機關之外的應用領域。
但是伺服器那邊的技術,現在的水平還不夠。
首先是沒有一個易用的高性能的開源加密組件。畢竟演算法已公開,雖然網上有各種實現的版本,但是性能有很大的問題。眾多加密企業的商用實現不僅價格高,而且因為國內行情,大家都把技能樹點在了硬體加密上,軟體加密性能有沒有openssl高都說不好。
第二點也是最致命的一點:審查嚴格,證書發放困難。這也是為何中國許多網站寧願裸奔也不願用上HTTPS的最大困難。畢竟裸奔是可以的,隨便用個證書是不可以的,完整走審核流程。。。。。一般的網站受不了啊。。。。
如果國密證書做不到全程網上籤發,交齊材料快速審核和立即簽發。那永遠也得不到廣泛應用。
https是個筐,演算法協商好就可以往裡裝。如果訪問的網站需要用國密演算法,瀏覽器不支持,那不就無法達成通信而訪問了嗎?360比其他家瀏覽器快了一步,就是這樣子的。只要未來某些網站需要使用國密演算法強制握手,其他瀏覽器一定會跟上的。而強制使用還是有現實需求的,不要小題大做。
至於演算法的安全性,既然已經公開,說明其設計方法肯定是符合現代密碼學設計規範和流程的,對於已知攻擊的防禦是到位的。當然,一個演算法是否安全,至少需要十幾到幾十年的反覆檢驗。1:聯繫到360的惡意推廣360殺毒軟體的流氓行為,WIFI推出「孕婦模式」,有證據證明360參與到GFW的建設之中。我們可以得出結論:只要是360做的,大部分都是沒節操的。
2:聯繫到中國一貫喜歡推出:中國自主知識產權的XXXX。而那個做出來的自主知識產權XXXX一般都是個渣渣。我們可以得出結論:只要掛著個國產自主知識產權的前綴的,一半都是不靠譜的。騙經費的居多。
一個沒節操的公司,實現了一個不靠譜的「國產」標準。我們可以得出結論:360隻不過是在跪舔國家相關部門而已,而國家相關部門只是想強行使用國家標準來佔領互聯網行業安全陣地而已,和GFW的心態差不多。
要怎麼看待呢?妓女遇上尋歡客。
我們應不應該要用?呵呵,誰敢用誰用。反正我是不敢用的。
而如果一旦這個所謂的「國密」得以推廣,那即將是國內網民的災難。上面那麼多的答案大談安全,我覺得國際標準的加密已經夠用了,並沒有任何證據證明這個「國密」比其他的標準更安全。而因為出身問題,我更願意相信它是一個有後門的加密演算法。果然根據「惡之化」的考證,是一個"Big Brother is Watching you"的加密演算法。還是那句話:誰愛用誰用。"國密"的正確名稱是不是"可以被偷窺的加密"?
360在幾年前便入股了國內第二大伺服器證書廠商沃通(己於2013年通過國密演算法安審,並取得工信部資質),現在又推出支持國產演算法的瀏覽器,估計內置了沃通的根證書。下一步的動作一定是遊說工信部出台政策,要求各網銀的伺服器證書必須支持國產演算法,進而將其他瀏覽器排除在外,自己一家獨大。目前該項目是建行的試點項目,如果360這個事情做的好,對互聯網圈和密碼行業都會產生一定影響。
推薦閱讀:
※自動更換ip地址的刷票軟體是如何實現的?
※為什麼中國很多的網站在登錄時都不採用HTTPS 加密協議呢?
※如何看待中國安全研究團隊多次獲得特斯拉致謝?
※怎樣才能更全面的刪除網路上與自己有關的信息?
※全球互聯網治理聯盟是個什麼樣的組織?