Der Google Chrome-Browser hat in letzter Zeit häufig Warnungen ausgegeben: Was ist los?

Wenn Sie in letzter Zeit den Chrome-Browser verwenden, um viele inländische Websites wie z. B. exmail.qq.com zu besuchen, wird Ihnen möglicherweise ein Dialogfeld wie das folgende angezeigt:

Was bedeutet das? Ist der Zugangslink nicht privat?

Ich habe meine E-Mails überprüft und sie sind nicht mehr privat. Was soll ich mit den darin enthaltenen Fotos machen? Ich hatte keine Privatsphäre, als ich früher Computer repariert habe, und jetzt habe ich nicht einmal mehr Privatsphäre, wenn ich im Internet surfe. Werde ich wieder berühmt?

Moment, hier scheint etwas nicht zu stimmen: Was genau ist Web-Datenschutz? Warum erinnerst du mich an diese Frage? Habe ich das Passwort zum Anmelden nicht bereits eingegeben?

Lassen Sie mich von vorne beginnen.

1. Wie ist HTTPS (Secure Hypertext Transfer Protocol) entstanden?

Als CERN 1997 das HTTP-Protokoll erfand und für das World Wide Web verwendete, war es lediglich als Plattform für den Datenaustausch innerhalb der akademischen Gemeinschaft gedacht, und über die Übertragungssicherheit wurde nicht allzu viel nachgedacht. Schließlich war das Internet damals noch sehr klein und nicht jeder konnte sich Computer und teure Netzwerkausrüstung leisten.

Sie hatten sicherlich nicht damit gerechnet, dass das World Wide Web sich später zu einer universellen Plattform für die Informationsübertragung entwickeln würde und dass eine Gruppe von Menschen sogar so weit ging, Dienste wie Web-E-Mail und Online-Banking darauf anzubieten. An diese Art von Diensten werden sehr strenge Anforderungen hinsichtlich Sicherheit und Datenschutz gestellt, denn grundsätzlich möchte niemand, dass sein Bankkennwort oder seine private E-Mail während der Übertragung von Dritten eingesehen werden kann.

Und hier liegt das Problem. HTTP wird im Klartext übertragen, unterstützt jedoch die Kennwortauthentifizierung. Leider wird auch das Passwort im Klartext übertragen.

Als Reaktion auf diese Situation wurde HTTPS durch die Bemühungen einer Gruppe von Wissenschaftlern bei Netscape entwickelt, insbesondere von Dr. Taher Elgamal (bekannt als Vater von SSL).

Bei HTTPS werden alle übertragenen Daten verschlüsselt, so dass Dritte während des Datenübertragungsprozesses keine nützlichen Daten erhalten können und die Vertraulichkeit der Datenübertragung selbstverständlich gewährleistet ist.

Zumindest war es so vorgesehen.

HTTPS ist kein brandneues Protokoll. Tatsächlich basiert es auf HTTP mit SSL (Secure Sockets Layer) oder dem später hinzugefügten TLS (Transport Security Protocol). SSL/TLS funktioniert unter HTTP und ist für die Verschlüsselung aller übertragenen Daten verantwortlich.

Nebenbei bemerkt wurden damals nicht nur HTTP, sondern auch viele Protokolle der oberen Schichten des Internets, nämlich Protokolle der Anwendungsschicht, das E-Mail-Protokoll STMP und dergleichen, größtenteils im Klartext übertragen, während das mobile Internet oder andere Netzwerke alle auf einigen Standardprotokollen basierten, nämlich der TCP/IP-Protokollsuite.

In der Anfangszeit wurden diese Protokolle gemeinsam von Experten im Internetbereich entwickelt, genau wie der Gesetzgebungsprozess heute. Nach einer tatsächlichen Überprüfung wurde jedoch nach und nach ihre Ungenauigkeit entdeckt, sodass man sie auf Grundlage der vorherigen Versionen weiter aktualisierte. So entstand SSL/TLS.

Da SSL/TLS zwischen der TCP-Schicht und der Anwendungsschicht funktioniert, kann es jedes Protokoll der Anwendungsschicht verschlüsseln, einschließlich STMP. Aus dieser Perspektive ist der Beitrag von Netscape zum Internet tatsächlich sehr weitreichend.

HTTPS verwendet einen asymmetrischen Algorithmus zum Austausch von Schlüsseln. Auch dies ist ein sehr ausgefeilter Algorithmus. Interessierte Studierende können

Wie im obigen Bild gezeigt, gibt es beispielsweise tatsächlich keinen Prüfdatensatz, aber das Warnzeichen wurde entfernt. Dies zeigt, dass Google selbst weiß, dass die aktuelle Whitelist-Abdeckung sehr schlecht ist und im Allgemeinen keine Datensätze gefunden werden können und kein spezifisches Warnzeichen hinzugefügt wird.

Sie können es also vorerst ignorieren.

Der Schlüssel ist der zweite:

Diese Site verwendet eine schwache Sicherheitskonfiguration (SHA-1-Signatur), daher ist Ihre Verbindung möglicherweise nicht privat.

Das ist interessanter.

Es geht immer noch um den Ausweis des Polizisten. Um an den Ausweis eines Polizeibeamten zu kommen, können Sie nicht nur stehlen/betrügen/sich in das Ministerium für öffentliche Sicherheit schleichen, um selbst einen echten Ausweis anzufertigen, sondern auch eine Fälschung anfertigen.

Bei digitalen Zertifikaten ist die digitale Signatur der wichtigste Bestandteil zur Identifizierung der Authentizität. Da digitale Zertifikate jedoch im Allgemeinen nicht klein sind, ist es unmöglich, jedes Byte zu signieren. Im Allgemeinen wird ein Hashwert des digitalen Zertifikats signiert.

Wenn Sie nicht wissen, was ein Hash-Wert ist, möchte ich Ihnen ein Beispiel geben. Wenn Sie ein digitales Zertifikat sind, dann ist Ihr Foto Ihr Hash.

Es enthält die folgenden zwei Bedingungen:

- Mit den richtigen Mitteln kann Ihr Foto aus Ihnen erstellt werden, Sie können jedoch nicht aus dem Foto erstellt werden. Was ich meine ist: Es muss Sie geben, bevor es ein Foto geben kann.

- Nur Sie können Ihre Fotos präzise erstellen, niemand sonst kann das. Sie sind einzigartig und verfügen über Eigenschaften, die andere nicht haben.

Möchte man also den Polizeiausweis einer Person prüfen, muss man lediglich schauen, ob das Foto zur Person passt (der Hashwert stimmt überein) und ob der Zwischenzeilenstempel auf dem Foto übereinstimmt (digitale Signatur). Dieser Zwischenstempel muss allerdings nur auf das Foto gestempelt werden, nicht auf das Gesicht des Beamten.

Natürlich weiß ich, dass diese Metapher viele akademische Ungenauigkeiten aufweist, aber sie ist eine der am einfachsten zu verstehenden Metaphern, die ich bisher finden konnte.

Bei digitalen Zertifikaten ist SHA-1 ein gängiger Hash-Algorithmus, der wie eine Kamera einen eindeutigen Wert (Foto) für Ihr digitales Zertifikat generieren kann.

Es gibt nur ein Problem mit diesem Algorithmus. Diese Funktion wurde zu früh entwickelt und weist eine unzureichende Robustheit auf, was dazu führen kann, dass derselbe Wert mit zwei verschiedenen digitalen Zertifikaten generiert wird.

Es ist, als hätten Sie eine Kamera, die Passfotos macht, aber diese magische Kamera macht so unscharfe Fotos, dass durch spezielle Einstellungen eine andere Person ein identisches Foto des echten Polizisten machen kann.

Herzlichen Glückwunsch, wenn Sie diese Einstellung entdecken, können Sie im großen Stil gefälschte Polizeiausweise herstellen.

Dieses Phänomen wird bei Hash-Funktionen als „Kollision“ bezeichnet.

Für den SHA-1-Algorithmus sind zum Finden dieser „Sondereinstellung“ etwa 2 hoch 74 Operationen erforderlich. Einige Dokumente weisen auch darauf hin, dass zur Ausführung lediglich 2 hoch 61 Operationen erforderlich sind. Dies war undenkbar, als SHA-1 erfunden wurde, und ist auch heute praktisch nicht umsetzbar. Allerdings könnte es bei der aktuellen Geschwindigkeit der Computerentwicklung theoretisch um das Jahr 2018 mit einem preisgünstigen Servercluster geknackt werden (siehe hier ).

Chrome geht daher davon aus, dass jede Hash-Funktion, die SHA-1 verwendet, potenziell unsicher ist. Daher gibt es Warnungen für alle Website-Zertifikate aus, die SHA-1 verwenden, und fordert alle Websites, die SHA-1 verwenden, auf, auf SHA-2 umzusteigen.

Beachten Sie jedoch, dass dies nur potenziell unsicher ist. Derzeit gibt es keinen praktikablen und zuverlässigen SHA-1-Kollisionsalgorithmus.

Daher sind diese Websites vorerst sicher, wir hoffen jedoch auch, dass die Webmaster ihr Sicherheitsbewusstsein schärfen, da SHA-1 kurz davor steht, „geknackt“ zu werden. Die oben beschriebene Situation ist sehr wahrscheinlich: Jemand findet den Kollisionsalgorithmus oder knackt ihn und erstellt dann eine falsche Polizeidienst-ID.

Aufgrund meiner Arbeit ist Opera Mitglied des Chromium-Sicherheitsteams, daher bin ich mit dieser Insider-Geschichte besser vertraut. Bei Interesse können Sie sich die Streitbeiträge in der Diskussionsgruppe anschauen. Ich habe einen Screenshot gemacht und ihn hier eingefügt:

Als Gewinner des Qingyun-Plans von Toutiao und des Bai+-Plans von Baijiahao, des Baidu-Digitalautors des Jahres 2019, des beliebtesten Autors von Baijiahao im Technologiebereich, des Sogou-Autors für Technologie und Kultur 2019 und des einflussreichsten Schöpfers des Baijiahao-Vierteljahrs 2021 hat er viele Auszeichnungen gewonnen, darunter den Sohu Best Industry Media Person 2013, den dritten Platz beim China New Media Entrepreneurship Competition Beijing 2015, den Guangmang Experience Award 2015, den dritten Platz im Finale des China New Media Entrepreneurship Competition 2015 und den Baidu Dynamic Annual Powerful Celebrity 2018.