BTC.com手机客户端

《互联网上无权威》

第一比特币 发布在 币头条 14 5968

文 / 第一比特币

“信春哥,得永生”红极一时,但互联网上无“春哥”,互联网最大的价值就在于平等和开放,所以互联网上无权威。

互联网很多信念值得笃信,这些信念是人类社会进步的巨大推动力,但是永远不要过于迷信于互联网的技术,尤其是安全技术。互联网的安全技术从来都不是死的,而是在与时俱进地不断演进,在“魔高一尺道高一丈,道高一尺魔高一丈”中不断进化。

“信息安全/网络安全”一直以来都是相对而言,比如RSA在多年以前只需512比特长度就足够安全了,所以在那些年这是安全标准,但现如今即便768比特长度也是极其不安全的,所以,互联网安全技术里面从没有“绝对”这个词,互联网安全技术里面也从没有“权威”,如果有,那只是自己想象出来的权威,迷信而已。

比特币生态是构建在互联网上的全新金融系统,创业者们都需要依靠互联网的基础设施和基础技术来保证网络安全,但请所有参与到这场伟大实践的创业者们千万注意,由于比特币是完全的数字化生存方式,就不能迷信任何安全技术和协议,每一步都必须严格检验、渗透测试和容灾试验,尤其要注意数据溢出漏洞和随机数后门。安全技术、安全设计和安全协议可以借鉴,但不能采用拿来主义,涉及到资金面的核心代码必须严格检查,涉及到秘钥的核心随机参数必须自己设计,反复查验。

既然互联网上无权威,那么我们该如何做呢?下面谈谈我们容易遇到的极其重要却极易忽视的随机数后门的防范措施。

前段时间,关于“RSA在被广泛使用的电脑加密算法中安置后门”的新闻震动世界IT界,要知道RSAIT业内影响力巨大的电脑安全公司,其每年举办的RSA信息安全大会是全世界最具影响力的IT安全盛会。作为信息安全行业基础性企业,RSA在全球的市场份额达到70%RSA客户遍及各行各业,包括电子商贸、银行、政府机构、电信、宇航业、大学等,其中有超过7000家企业,逾800万用户(包括财富500强中的90%)均使用RSA SecurID认证产品保护企业资料,而超过500家公司在逾1000种应用软件安装有RSA BSafe软件。RSA的加密算法如果被安置后门,影响范围将及其巨大。

这个后门是如何设置的?其实到现在为止,我们也是只知道他们动了手脚,但具体的后门细节在众多顶级安全专家的追踪下仍然没有完全澄清出来。但有一点是可以确定的,就是他们在该软件的随机数生成函数设置了一个极其隐秘的后门,导致用户的私钥根据后门可被有限时间内穷举出来。而一旦私钥失去安全性,那么所有的安全措施就犹如皇帝的新衣,没有任何意义可谈。

为什么众多企业用户包括顶级跨国公司都跟着中招?答案只有一个,那就是误信权威、迷信权威。一方面RSA是顶级的安全公司,另一方面BSafe经过了美国国家安全局NSA的权威安全认证。何曾想,NSA就是全世界的一个最大的最无德的小偷,现在想来,这简直就是一个超级冷笑话。

那么我们有什么办法来预防此类事件的再次发生呢?其实很简单,市面上的安全软件和安全协议仍然可以继续使用,但是核心参数必须弃用,而使用自主设计的参数。随机数算法就属于一套安全算法中的核心,因为现代密码都是算法公开密钥保密的安全思想,而随机数就是得到秘钥的生成种子,一旦随机数被有限控制,那么安全防线就会脆弱得如同一张纸一样形同虚设。其实,随机数生成算法完全可以自己设计,关键代码数量不会超过一页纸,只要随机种子参数多元,并且规模足够高即可,何必冒险信“权威”。

比特币创业者们,你们的网络安全防线中的随机数是自己设计的么?

不当之处,请批评赐教!本文为笔者辛苦写作,转载请注明出处,谢谢!

如果您喜欢本文,请捐助一点比特币吧:1HigxFuB8VUuxMAgtsi3MMtCrEz4Ni8U3Y

感谢您的来访!

版权声明: by nc" sa 作者保留权利。文章为作者独立观点,不代表巴比特立场。

评论:14

您需要登录后才可以回复 登录|注册
    耕耘时刻
    耕耘时刻 966 天前

    @美丽轴心

    +1
    +1
    我要点评
    我看比特币
    我看比特币 969 天前

    回复@第一比特币:对头

    +1
    +1
    我要点评
    杜九一
    杜九一 970 天前

    [威武][威武]//@宋欢平:权威是什么?比特币涵盖经济学,IT互联网,社会传播学,税务和法律。学是学不完的。自己不学习,期待权威给你指路赚钱?好可爱啊。天下有这么容易的赚钱事情?//@巴比特资讯:比特币创业者们,你们的网络安全防线中的随机数是自己设计的么?

    +1
    +1
    我要点评
    麦客三金
    麦客三金 970 天前

    亲们,我的微博名由@你是我的-L 改名为@麦客三金 咯!

    +1
    +1
    我要点评

    老师,没人跟李大嘴做朋友,好伤心啊。我了解电商互联网是我的错吗?我充满商业智慧是我的错吗?我精通品牌营销是我的错吗?我擅长整合传播是我的错吗?我每天抛出重量级的牛B资讯是我的错吗?老师,您说说,真的是我的错吗?

    +1
    +1
    我要点评
    happy空空
    happy空空 970 天前

    //@真聊比特币:我个人也不会核实算法后面有没有后门,我不会啊,怎么办?我个人相信开源软件,只要软件代码是开源的话,我就不怕了,程序员们都盯着呢。当然自己有能力还是要做更多识别工作。

    +1
    +1
    我要点评
    巴比特资讯
    巴比特资讯 970 天前

    比特币创业者们,你们的网络安全防线中的随机数是自己设计的么?

    +1
    +1
    我要点评
    反对山寨币
    反对山寨币 971 天前

    弄个量子随机发生器吧。。。

    +1
    +1
    我要点评
      Author Image
      第一比特币 970 天前

      随机数发生装置只是简单问题,用不了这么大费周折的。

      +1
      +1
      我要点评
    真聊比特币
    真聊比特币 970 天前

    我个人也不会核实算法后面有没有后门,我不会啊,怎么办?我个人相信开源软件,只要软件代码是开源的话,我就不怕了,程序员们都盯着呢。当然自己有能力还是要做更多识别工作。

    +1
    +1
    我要点评
    第一比特币
    第一比特币 970 天前

    @OKCoin比特币 @比特币中国 @比特时代官网 @中国比特币官方微博 @海峡比特币网

    +1
    +1
    我要点评
    第一比特币
    第一比特币 970 天前

    @不卖自萌VV酱 @不飞啦小龙 @笑来的矫情 @胡翌霖 @新闻理科生 @BigChubbyCat

    +1
    +1
    我要点评
    第一比特币
    第一比特币 970 天前

    @货币之王比特币 @松花桂皮 @超级比特币 @暴走恭亲王

    +1
    +1
    我要点评
    第一比特币
    第一比特币 970 天前

    @长铗 @宋欢平 @Magicalbear @真聊比特币 @我看比特币 @巴比特资讯

    +1
    +1
    我要点评