哈萨克斯坦将 PKI 武器化 三大浏览器封禁根证书
星期一, 九月 2, 2019
一个多月前,哈萨克斯坦开始要求其公民在浏览器中安装政府的公共根密钥。政府通过本国互联网供应商 (ISP), 要求用户必须安装该根密钥才可访问互联网。
此举似乎是想通过中间人攻击来截获和窃听网络通信。如果攻击者控制有浏览器网络连接中一方或多方的公共根密钥,也就是说处于观察者地位的一方拥有可以解密安全通信的密钥,那么中间人攻击将变得极其容易。
如此一来,政府机构就可以解密用户的 HTTPS 流量,捕获其内容,重新加密,再发送给接收者。事实上,仅仅是拥有加密对话其中一方的密钥,就已经能够开放整个数据流以供窃听了。换句话说,即便没有安装该公共根密钥,或者采取了 VPN 等额外预防措施的通信参与方,依然会陷入监视之中。
而且,没有什么好方法可供用户分辨什么时候遭遇了此类监视;实际上,这类监视活动很可能是彻彻底底的秘密行动。
此类监视活动的主要目标猜都能猜到:政敌、激进人士、记者和其他热衷言论自由及政治的人。毕竟,哈萨克斯坦历史上也是经历过动乱的:自 1991 年从苏联独立出来之后,哈萨克斯坦便一直处于努尔苏丹·纳扎尔巴耶夫 (Nursultan Nazarbayev) 总统的统治之下,直到 2019 年 3 月政权交由赢得 2019 年 6 月大选的卡塞姆·托卡耶夫 (Kassym-Jomart Tokayev) 执掌。
纳扎尔巴耶夫执政时期,哈萨克斯坦曾试图以同样的手段控制私密通信。2016 年,该国向主流浏览器申请,将其作为可信公共证书颁发机构,纳入浏览器根存储中。当时,该根存储权限未能获批,其中部分原因就在于对终端用户而言弊大于利。
尽管如此,哈萨克斯坦一直在努力监视其国民。2019 年 7 月 17 日,政府发表官方声明称,公共根证书 “旨在增强对公民、政府机构和私营公司的保护,避免遭遇黑客攻击、互联网诈骗和其他类型的网络威胁”。随后,当地 ISP 开始引导客户安装政府的根证书。
某些情况下,中间人监测也可以是出于好意且接受度高的。比如说,企业防火墙可能查看出入站通信,确保其中不含有恶意软件,或防止机密信息外流。同样,浏览器上的私密根也未必不好。公司可以要求其防火墙内的浏览器,在其使用自签名 CA 的私密根上,信任自身网页,允许用户加密访问的同时,防止外部攻击者创建危险的副本以执行欺骗。
然而,大规模监视的情况却不好说。与检测和吓阻欺诈不同,此类大范围监视更有可能被用作查找和监视当权者认为危险的个人。在政治艰难的环境中,这有可能给言论自由和政治行动自由带来真实威胁。
截止目前,Chrome、Firefox 和 Safari 这世界三大浏览器,已决意封禁哈萨克斯坦政府的根证书。2019 年 8 月 21 日开始,如果检测到 Web 流量是以被封根证书加密的,这些浏览器将会显示出错信息。该威胁只能在浏览器层面上解决,迫使浏览器进入考虑如何管理器可信根存储的新领域。采取封禁立场,显示出谷歌、苹果和 Mozilla 不仅仅是中立的技术提供商,还有一份保障自身技术产品使用方式的社会责任感。
哈萨克斯坦尝试攻击本国国民的举动倒是前所未见。但凡取得成功,必会有其他政府采用同样的战术针对自身民众。鉴于哈萨克斯坦持续尝试在加密通信中插入其根证书,广大互联网用户需警惕此类政府对 PKI 基础设施的武器化。
相关阅读