身份认证在加密通信网络中的意义
网络隐私的保护由数据的储存、传输与计算三方面组成,其中在储存和传输中所采用的加密算法可以分为两种:对称加密与非对称加密。
对称加密的特征是加密、解密使用同一个密钥,其优势是速度快,劣势是密钥分发困难,容易泄漏。非对称加密的特征是密钥分为公钥和私钥,用公钥加密的数据只能由其对应的私钥打开,反之亦然。公钥由私钥生成,而由公钥接近不可能反推私钥。
非对称加密让 只有参与通信的双方用户可以读取通信数据,有效防止窃听者轻易地获取通信数据。不仅网络犯罪分子无法窃听到这种通信信息,甚至连互联网服务提供商、通信服务提供商、以及电信服务提供商都无法获取到这类通信数据。
身份认证在非对称加密 应用 场景中的重要程度之所以远超其他无加密的互联网应用场景,是因为非对称加密的应用目标始终是确保只有接收者的私钥能解密消息,以此达到无需信任就可以向任何公钥地址(持有者)发送加密消息,而 且 没有第三方可以破解的效果。
这个时候公钥的可信任问题变得至关重要。假如接收者的身份由一开始就是假的/错误的,那么冒充者就能够接收并解密你所发的消息,一系列的加密措施相当于徒劳无功,应用场景的设定已经崩溃。在无加密的互联网场景中,消息发送者对消息没有加密的需求,那么消息错误 地发送给其他人也无所谓,不会造成严重的损失;但如果发送者有意使用非对称加密,而发送者无法确定接收者身份的可靠性,一旦消息被发送至虚假/错误的接收者,发送者将面临极大的风险和损失,这个风险直接让发送者失去了继续发送消息的动力。
在现实生活中,我们可以进行面对面的身份确认,交换公钥,确保“你”就是网络中的“你”。在网络中,如果双方已经沟通过并且达成一定的信任,那么用户可以直接向对方索要公钥。但如果在双方没有建立过任何沟通,没有信任基础的情况下,身份认证就变得尤其重要,必须找到方法去证明我们得到的公钥地址对应的就是我们预期的对方本人。
社交身份证明
身份防伪与商品防伪在溯源方面有着一定的一致性,伪造商品本身容易,但伪造商品整个生产过程就难得多;同样的,一时假装某人容易,但一直假装某人确很难。人们在社交网络上长期的活跃留下了很多历史数据沉淀,这些社交身份难以伪装,并且与主体高度匹配,是高度可信的,可以用作身份认证,即比如“我的推特”就是“我”。一个公钥拥有的社交身份证明越多,并且这些不同平台的社交身份与主体的匹配具有一致性,那么这个公钥的身份可信度越高。不同的社交身份可以延伸至电话号码、邮箱、支付账户等。
熟人社会身份认证
熟人社会身份认证是指找到一个已经信任的中间人,通过中间人的签名认证去信任陌生的节点,这就好比现实生活中的熟人介绍熟人。
在网络中,“熟人”的这种信任关系可以映射成为“签名认证”的关系,甚至可以对双方的信任程度做精细化分类,使得已建立的信任关系可以更好的运用于身份认证。
在1992年的PGP 2.0手册中,这种熟人认证的思想被应用为一个信赖网络模型,称为信赖网络协议(Trusted-Web Protocol),其中创始人菲利普·齐默曼(Philip R. Zimmermann)对其有一段精确的描述:
“ 随着时间过去,你累积到许多人的密钥,其中有些人你也许愿意签署信赖他们,别人也会签署一些他们自己信赖的他人密钥。每个人都逐渐累积到一些他人已签署信赖的密钥,然后自己再签署并散发出去。那么便能期待,下一个拿到这把密钥的人在签署名单上总有一两个是自己信赖的。这最终能形成所有公钥的分布式防弊的信赖网络。 ”
第三方身份认证
由一个信任的第三方机构进行身份认证。这是现今网络中最常见的认证方式,在社交网络和互联网协议中都有广泛的应用。
不过,在去中心化的网络中,第三方身份认证明显违反了网络原则,除了容易造成单点故障,还缺乏经济动力去维护系统。
以上三种,是针对与人交互的可信互联网而列举的有效身份认证方法,在节点与节点交互的场景中还可以通过比如工作量证明(PoW)去认证一个节点,更多的认证方法可以在对抗女巫攻击的研究中可以找到。
虽然在实际使用中我们很少面对针对性的攻击,毕竟我们不是FBI、CIA的追踪对象,但同样会面对大规模爬虫、钓鱼/诈骗的风险,这些攻击轻则会侵犯我们的权益,重则面临财产损失和商业秘密泄漏的损失。安全稳定的网络基础是用户放心使用的信心来源,因此在一个注重隐私,实行加密通信的网络中,必须推行有效的身份认证底层。
用keybase的朋友欢迎加我讨论:kaylaplus
本人公众号:区块主义