2018年PKI五大(dà)發展趨勢

并不誇張的說，是PKI(公鑰基礎設施)将互聯網黏合在一(yī)起，但随着互聯網發展成萬物(wù)互聯的多面生(shēng)态系統，PKI也必須順應時勢快速進化，以滿足當今市場的需求。

在互聯網發展早期的21世紀初，網絡管理規定還不是太多。那個時期可謂PKI的“狂野西部”時期。證書(shū)頒發機構(CA)無需遵循任何标準，有些機構甚至還會頒發出有效期10年的證書(shū)。在日新月異的網絡時代，10年有效期簡直堪比英國女王的“超長待機”了。

随着CA社區内部症結的滋生(shēng)，一(yī)組志(zhì)同道合之人聯合浏覽器社區持類似想法的人士于2005年成立了CA/B論壇(數字證書(shū)/浏覽器論壇)，通過建立證書(shū)頒發和管理的一(yī)系列章程和基本要求來監管數字證書(shū)頒發過程，意圖标準化證書(shū)頒發，最大(dà)程度地減少誤頒現象。

CA/B論壇成立至今，互聯網規模已經曆了爆炸式增長，如今常見家電(diàn)基本都已具備聯網功能，連小(xiǎo)孩子的玩具都能接入互聯網了。當然，黑帽子也結成了團夥，從事各種各樣的網絡犯罪活動，比如網絡戰、網絡釣魚等等。

如今，我(wǒ)們的基礎設施仍然面臨自身的諸多問題，但幸運的是，有很多網絡安全研究人員(yuán)在協力CA/B論壇，不斷推動新章程的産生(shēng)，助力PKI跟上當前技術的發展。

那麽2018年，關于PKI，我(wǒ)們可以期待些什麽呢?

1. 采用PKI才合規

Let’s Encrypt 和谷歌已經爲“泛在HTTPS”鋪平了道路。如果能獲得免費(fèi)的 DV SSL 證書(shū)，有什麽理由不用呢?當前，超過的68%的Chrome流量已經是HTTPS的了，無論是安卓設備的還是Windows設備的。谷歌還計劃在2018年7月将所有非HTTPS網站都标記爲“不安全”。

免費(fèi)證書(shū)易得，加上“不安全”标記的壓力，讓行業監管機構有可能強制業内采用HTTPS。最近涉及PKI的一(yī)些法案有：

• GDPR
• eIDAS
• PCI DSS
• HIPAA

前所未有地，所有行業的公司企業，無論規模大(dà)小(xiǎo)，都被迫正視數據安全的需求了。畢竟，如今數據就是資(zī)産，保護數據不僅僅意味着保護消費(fèi)者和客戶，還意味着保護一(yī)個品牌的信譽和公司的價值。

大(dà)多數公司當下(xià)都正處于從紙(zhǐ)質到數字化交易的巨大(dà)轉變過程中(zhōng)。有些公司正在進行全面的數字化改造方案，實現一(yī)些技術和過程來提高服務效率，自動化以往需要人工(gōng)處理的那些繁瑣過程。

數字化轉型的喧嚣中(zhōng)，監管機構發現，圍繞不停流轉的數據，必須實施加密和防護方面的策略。而PKI就是可以幫助公司企業符合這些策略規定的工(gōng)具之一(yī)。

2. 物(wù)聯網PKI

以醫院爲例。醫療物(wù)聯網設備是我(wǒ)們目前很常見的物(wù)聯網設備類型。

這些設備可以實時收集患者身體(tǐ)狀态數據，讓醫生(shēng)及時發現問題，救助患者生(shēng)命。住院病人身上可以連接傳感器，在生(shēng)命體(tǐ)征下(xià)降的時候向醫生(shēng)發出警報。醫生(shēng)還可以給出院病人開(kāi)具帶追蹤器的藥，掌握病人有沒有按時吃藥的情況。甚至心髒起搏器之類常用醫療設備也可以進行物(wù)聯網升級，向患者及其主治醫生(shēng)發送預示心力衰竭或中(zhōng)風的關鍵指标。

物(wù)聯網設備制造商(shāng)已漸漸開(kāi)始意識到在自家産品中(zhōng)實現安全的重要性。但直到現在，大(dà)部分(fēn)消費(fèi)者在購買物(wù)聯網産品時還是沒有太重視安全因素。不過，随着重視安全的消費(fèi)習慣的養成，制造商(shāng)爲了在市場中(zhōng)領先一(yī)步也會對安全多家投入。

各國政府都在大(dà)力發展智慧城市、智能電(diàn)網、智能醫療設備和自動駕駛汽車(chē)，我(wǒ)們的整個基礎設施終有一(yī)天會迎來天翻地覆的變化。我(wǒ)們必須确保通過互聯網相互“對話(huà)”的每台設備是可信的，否則隻要黑客入侵了設備，我(wǒ)們就将面臨難以預料的風險。

如果物(wù)聯網生(shēng)态系統沒有加密、身份驗證和數據完整性的保護，難以想象我(wǒ)們會失去(qù)什麽。

3. HTTPS成标準做法

正如前文提到的，安卓和Windows系統上的Chrome流量已經68%都是加密的了。當然，并不是所有的浏覽器都是這種情況。但回顧一(yī)下(xià)流量加密的指數級增長，那可是1年之内就從過去(qù)20年才達到40%的Web加密率直接躍升到了50%啊!而到了2018年1月，加密比例已經高達68%。可謂相當驚人的增長。

随着谷歌将在浏覽器中(zhōng)把非HTTPS标記爲“不安全”提上日程，網站擁有者爲了保住自己在搜索引擎和浏覽器中(zhōng)的可見性，也不得不全面轉向HTTPS。通過這一(yī)舉動，谷歌爲大(dà)衆上了一(yī)堂網絡安全教育課，确保人們優先考慮加密。2018年7月，當 Chrome 68 發布的時候，Chrome就會将所有HTTP網站标記爲“不安全”了。

而在定于2018年4月16日發布的 Chrome 66 中(zhōng)，2016年6月1日之前頒發的賽門鐵克證書(shū)将不再被Chrome信任。到 Chrome 70 發布之時，所有2017年12月1日之前頒發的賽門鐵克SSL證書(shū)不受谷歌Chrome信任。

目前大(dà)量網站仍在使用賽門鐵克或其子公司(GeoTrust、Verisign和RapidSSL)的證書(shū)。TechTarget估測，Alexa上排名前100萬的網站中(zhōng)大(dà)約有10.3萬在用賽門鐵克根證書(shū)。約1.1萬證書(shū)将随着 Chrome 66 的發布而退出曆史舞台，另外(wài)9.1萬會在 Chrome 70 發布時被更換。

當這一(yī)切發生(shēng)時，大(dà)量網站會以“不安全”的形象出現，人們更有理由想起SSL的重要性了。

4. 驗證方法進化

最近某安全研究人員(yuán)稱，互聯網上出現代碼簽名證書(shū)販賣現象。這些證書(shū)來自合法公司的被盜信息，在惡意軟件混淆中(zhōng)非常有效，而合法公司絲毫不知(zhī)道自己的證書(shū)被挪作他用了。

安全研究人員(yuán)曝光系統中(zhōng)存在漏洞的事并不罕見，但證書(shū)被惡意使用的新聞報道紮堆，就讓業内專家的視線聚焦到分(fēn)析和調整當前驗證機制上面了。CA/B論壇已宣布将舉行“驗證峰會”，讓CA和浏覽器廠商(shāng)相聚一(yī)堂，共同探讨當前驗證方法中(zhōng)存在的問題，提出相應的改進方案。

這應該不會是本年度有關驗證方法的最後一(yī)場大(dà)讨論。CA應盡可能嚴格地執行驗證(即便對 DV SSL 證書(shū)也應如此)，而安全人員(yuán)則應努力提出能提升互聯網整體(tǐ)安全性的新方法。

5. 量子安全算法競賽

量子計算機破解當前加密方法的那一(yī)天是否已經臨近?聲稱我(wǒ)們已經身處量子計算時代的文章倒是不少，但同時也有其他文章認爲量子計算機制造艱難，我(wǒ)們仍有很長一(yī)段路要走。事實上，制造量子計算機确實困難，但這并不意味着就不應該擔心量子計算機對加密造成的沖擊。超級計算機依然存在，需要量子安全算法的應用依然存在!

NSA和NIST号召密碼學家研究量子安全算法，以此響應公衆對加密會被破解的擔憂。那麽，下(xià)一(yī)個加密算法會是基于代碼的還是基于格的?或者是基于散列的?

或許我(wǒ)們距離(lí)擔心量子計算打敗現有計算方法還很遠，但眼下(xià)誰也不确定量子計算會有多快，破解當前加密會有多迅速。于是，我(wǒ)們又(yòu)怎麽知(zhī)道哪種算法能防住量子計算破解加密呢?

不過，需要指出的是，量子計算誕生(shēng)的時候PKI尚未衰亡。PKI一(yī)直在進化。我(wǒ)們根據摩爾定律創造出新的算法來擊敗量子算力，我(wǒ)們也有能力搶先一(yī)步研發出這些算法。不妨将目光放(fàng)到SHA-3上。目前人們還沒看到SHA-3被廣泛應用的原因，不過是SHA-2依然堅挺而已。