網路隱私的保護由數據的儲存、傳輸與計算三方面組成,其中在儲存和傳輸中所採用的加密算法可以分為兩種:對稱加密與非對稱加密。
對稱加密的特徵是加密、解密使用同一個密鑰,其優勢是速度快,劣勢是密鑰分發困難、容易洩漏。非對稱加密的特徵是密鑰分為公鑰和私鑰,用公鑰加密的數據只能由其對應的私鑰打開,反之亦然。公鑰由私鑰生成,而由公鑰接近不可能反推私鑰。
非對稱加密讓只有參與通訊的雙方用戶可以讀取通訊數據,有效防止竊聽者輕易地獲取通訊數據。不僅網路犯罪分子無法竊聽到這種通訊訊息,甚至連互聯網服務提供商、通訊服務提供商、以及電信服務提供商,都無法獲取到這類通訊數據。
身份認證在非對稱加密應用場景中的重要程度,之所以遠超其他無加密的互聯網應用場景,是因為非對稱加密的應用目標,始終是確保只有接收者的私鑰能解密訊息,以此達到無需信任就可以向任何公鑰地址(持有者)發送加密訊息,而且沒有第三方可以破解的效果。
熟人社會身份認證
熟人社會身份認證是指找到一個已經信任的中間人,透過中間人的簽名認證去信任陌生的節點,這就好比現實生活中的熟人介紹熟人。
在網路中,「熟人」的這種信任關係可以映射成為「簽名認證」的關係,甚至可以對雙方的信任程度做精細化分類,使得已建立的信任關係可以更好的運用於身份認證。
在1992年的PGP 2.0手冊中,這種熟人認證的思想被應用為一個信賴網路模型,稱為信賴網路協議(Trusted-Web Protocol),其中創始人菲爾·齊默爾曼(Philip R. Zimmermann)對其有一段精確的描述:「隨著時間過去,你累積了許多人的密鑰,其中有些人你也許願意簽署信賴他們,別人也會簽署一些他們自己信賴的他人密鑰。每個人都逐漸累積到一些他人已簽署信賴的密鑰,然後自己再簽署並發散出去。那麼便能期待,下一個拿到這把密鑰的人在簽署名單上,總有一兩個是自己信賴的。這最終能形成所有公鑰的分散式防弊的信賴網路。」
第三方身份認證
由一個信任的第三方機構進行身份認證。這是現今網路中最常見的認證方式,在社交網路和互聯網協議中都有廣泛的應用。
不過,在去中心化的網路中,第三方身份認證明顯違反了網路原則,除了容易造成單點故障,還缺乏經濟動力去維護系統。
以上三種,是針對與人交互的可信互聯網而列舉的有效身份認證方法,在節點與節點交互的場景中還可以透過比如工作量證明(PoW)去認證一個節點,更多的認證方法可以在對抗女巫攻擊的研究中可以找到。
雖然在實際使用中我們很少面對針對性的攻擊,畢竟我們不是FBI、CIA的追蹤對象,但同樣會面對大規模爬蟲、釣魚/詐騙的風險,這些攻擊輕則會侵犯我們的權益,重則面臨財產損失和商業秘密洩漏的損失。
安全穩定的網路基礎是用戶放心使用的信心來源,因此在一個注重隱私,實行加密通訊的網路中,必須推行有效的身份認證底層。
本文為巴比特資訊授權刊登,原文標題為「身份認證在加密通訊網路中的意義」