比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > XLM > Info

從 CA 到 Handshake:域名的去中心化之路_HAN

Author:

Time:1900/1/1 0:00:00

引言

證書頒發機構自誕生以來,一直就是DNS及網絡的中心,并且在保護網絡安全方面扮演著不可或缺的角色。

簡而言之,CA就是現代互聯網的信任之錨,發行著用于代表網絡實體的數字證書。數字證書是一種經過驗證的憑證,最終表現為線上的數字身份。CA的職責就是確保這些信息受到保護、可用于加密網絡參與者之間傳遞的數據。

與此同時,CA也發行SSL證書,該證書將網站的所有權與一組公鑰綁定在了一起。然而,對政府層面的攻擊威脅與日俱增,未來當用戶使用這類中心化的證書存儲庫時,可能會遇見假冒的對手方。2017年,用戶累計收到了超過2.67億個釣魚URL。此外,Zscalar公布的一份云安全報告指出,僅在2018年就有超過17億個隱藏在SSL流量中的高級威脅被攔截。

2019年7月期間,出現了1萬個企圖釣魚的SSL證書。

如今,互聯網已經陪我們走過了30多年,我們也需要一個更加現代化、更加強健的解決方案來減少攻擊和對第三方中間機構的依賴。

于是,Handshake應運而生。它是一種最新的協議,旨在提供一種強健的、可以替代DNS的方案,同時解決我們當前面臨的一些重大問題。作為我介紹Handshake系列的后續文章,我將更深入地探究互聯網協議組件的功能,以及CA是如何協同工作、讓現代的web運行起來的。

被標記為孫宇晨的地址從 Aave V2 中撤回1000萬枚TUSD并轉入幣安:10月21日消息,PeckShield在推特上表示,被Etherscan標記為孫宇晨的地址從Aave V2中撤回1000萬枚TUSD并轉入幣安。本月至今,孫宇晨相關地址已從Aave撤回了近2億美元穩定幣。[2022/10/21 16:34:53]

SSL/DNS在互聯網的技術棧層中處于什么位置?

互聯網協議組件驅動著我們今天所使用的互聯網。它是一套分層的網絡棧,允許全世界的計算機之間互相傳遞數據包。瀏覽器和主機之間使用超文本傳輸協議和安全套接層來建立加密通信、進行數據傳輸。SSL是一個與HTTP協同工作的協議層,它為瀏覽器的運行提供加密通信功能。

為了更好地理解HTTP和SSL協議實際上是如何運行的,我在下面舉了一個例子,來看看Alice是如何連接到Bob的網站的吧。

首先,Alice打開瀏覽器,在地址欄中輸入Bob.com

接著,Alice的瀏覽器將連接到一個域名解析器,獲取目標網址的服務器地址

以太坊巨鯨從 Bitfinex 轉移了超8000萬美元的ETH:金色財經消息,以太坊巨鯨從 Bitfinex 轉移了價值 80,656,629 美元的以太坊,交易地址為:0x4862733b5fddfd35f35ea8ccf08f5045e57388b3。[2022/4/19 14:32:34]

一旦域名解析完成以后,Bob網站的服務器將向Alice的電腦發送一個證書以及對應的公鑰

Alice的電腦通過該證書使用的CA來對該證書的合法性進行驗證

一旦驗證成功,Alice的電腦和Bob網站的服務器就彼此確認了眼神,然后建立起加密的SSL/TLS連接。

到了這一步,Alice的客戶端和Bob的服務器之間就能暢快無阻的發送加密數據啦

網絡協議棧是一套用于在網絡中各參與方之間傳遞數據的組件,但它嚴重依賴于你所采用的CA或更重要的公鑰基礎設施,來確保你在網上沖浪時保持私密且不受侵害。

什么是公鑰基礎設施

要想在數據交換的過程中確保數據的準確和安全,信任是不可或缺的。PKI就是一套設定通信雙方交互策略、結構和流程的系統,讓交互雙方可以相互信任并安全地交換信息。一般來說,會有多個中間方來來協調兩個實體之間的信任。當你使用公開的互聯網也就意味著你信任根CA會為你提供正確無誤的信息。CA的使命就是管理代表其它實體的數字證書。頒發數字證書是為了防止在數據傳遞的過程中發生中間人攻擊,這種攻擊可能會繞過信任機制并將用戶引導至惡意的網站。舉例來說,IdenTrust就是一個典型的CA,管理著諸如Twitter在內的其它實體的數字證書。

美國、歐盟政府承諾從 SWIFT 系統中刪除“選定的”俄羅斯銀行:金色財經報道,美國和歐盟今日宣布了一項計劃,從環球銀行金融電信協會(SWIFT)中刪除一組俄羅斯銀行。SWIFT支撐著全球金融系統,每日處理數百萬條安全消息,幫助銀行管理世界各地的交易。該組織在聲明中表示,“我們承諾確保將選定的俄羅斯銀行從 SWIFT 中刪除。這將確保這些銀行與國際金融體系脫節,損害它們在全球運營的能力。”此外,該組織還承諾對俄羅斯央行采取行動。 “我們承諾采取限制性措施,阻止俄羅斯中央銀行以破壞我們制裁影響的方式部署其國際儲備。”(theblockcrypto)[2022/2/27 10:18:55]

在上面這個例子里,IdenTrust將發送一個X.509證書給請求訪問Twitter的用戶。在這個數字證書中包含了一系列信息,包括經過驗證的公鑰,證書的失效日期,數字簽名和其它重要條款。一旦用戶收到了數字簽名,他就可以使用該數字簽名對實體的身份及公鑰進行驗證。通常情況下,我們會使用RSA算法或橢圓曲線數字簽名算法來生成公鑰。RSA算法和ECDSA都是非對稱加密技術,這也就意味著用戶只需使用主機的公鑰就可以完成對信息的加密,然后在公開的網絡環境中將加密后的信息發送給主機。只有與公鑰關聯的私鑰能夠解密信息。

Audius、DODO、Livepeer 等應用從 The Graph 托管服務遷移到主網:6月11日消息,區塊鏈數據索引項目 The Graph (GRT)表示,Audius、DODO、Livepeer、mStable、Opyn、PoolTogether、Reflexer 和 UMA 等應用現已完全從 The Graph 的托管服務遷移到主網,成為 The Graph 主網上的 10 個子圖,且均可使用 GRT 來支付網絡使用費。[2021/6/11 23:29:40]

CA存在的諸多問題

讀到這里,大家應該已經基本明白了互聯網協議組件中的PKI和CA是如何運行的,接下來,我們一起討論一下可能出現的一些問題。CA在整個過程中一直扮演著一個中心化認證組織的角色,它負責存儲數字證書,并充當兩個實體之間的中間人。每一個CA都有它獨有的驗證程序來判斷域名的有效性和安全性。此外,三家營利性組織占據了大約90%全球市場份額。最終,這種存儲和發行證書的方式可能出現安全漏洞。W3Tech近期公布的一篇報告中列出了主流CA的全球市場份額。很顯然,還存在一些改進的空間。

Cosmos 創始人 Jae Kwon 從 AIB 及 ICF 基金會離職 全職開發 Gno 智能合約語言:Cosmos 創始人 Jae Kwon 宣布從 Cosmos 網絡軟件開發公司 AIB (All in Bits)及 The Interchain 基金會(ICF)離職,全職開發 Gno 智能合約語言。The Interchain 基金會是位于瑞士的非盈利基金會以支持 Cosmos 的生態建設,而 AIB 是負責開發 Cosmos 網絡的軟件開發公司,這意味著 Cosmos 創始人 Jae Kwon 將離開 Cosmos 生態中最核心的支持機構。Jae Kwon 表示,Gno 是適用于 Cosmos 生態的下一代的智能合約編程語言。[2021/2/15 19:47:00]

當一個網絡實體要向一個已知的CA申請獲取數字證書時,需要經過一個域名驗證的過程。可靠的SSL證書讓用戶有信心防止網絡釣魚,詐騙,和欺詐。然而,接收數字證書的過程有點過于簡單了。CA就只是向WHOIS記錄中的域名聯系人發送域名驗證型證書而已。這也太草率了吧!整個事情就是:某個用戶申請一個數字證書,然后CA就會通過電子郵件向域名聯系人發送一個經過認證的證書。出于額外的安全考量,實體還可以注冊一個擴展驗證服務,在其它情況中通過身份檢查來進行驗證。但是,通常情況下,用戶不會發現其中的區別,除非他們看見了一個綠色的橫條或者點擊了瀏覽器左上角的小鎖頭。這是相當危險的,因為壞蛋也可以注冊一個神似Twitter的域名,比如說Twiter.com,然后展示出經過CA認證的證書。域名驗證程序、密鑰存儲以及CA爆破,這些環節都對對諸如瀏覽器中間人、HTTPS欺騙、ARP欺騙及其它類型的中間人攻擊敞開了罪惡的大門。舉例來說,2000年初,一家著名的CA公司Verisign向一名自稱是微軟公司的惡意用戶頒發了一份數字證書。然后,攻擊者讓用戶誤以為自己收到了有效的Windows更新,然后用戶的電腦就被攻陷了。在2011年3月發生的一起事故中,Comodo向冒充微軟和Google等網站的惡意用戶頒發了虛假的證書。在這個案例中,用戶被引導進一個惡意的網站,卻誤以為自己正在登錄Google。最終Comodo發現了危害,并撤銷了訪問該證書的權限。

Handshake的主張

今天,全球所有的頂級域名都由13個營利性組織管理。雖然CA由數千個組織進行管理,但其中三家組織占據了90%的全球市場份額。管理頂級域名和證書的組織都會遭遇中心故障的問題。這種問題會一直存在,除非我們將信任從中心化組織轉移到去中心化的解決方案上。互聯網協議組件和公鑰基礎設施高度依賴于整體的公共基礎設施。

我們為什么不能依靠公眾來進行域名管理和安全性認證呢?眼下就有這么一場遷移,將貨幣的控制權交還到公眾手上。自比特幣創生始,貨幣的控制權便不斷從國家轉移到人民手中。全球的公民因此獲得了對沖國家風險的能力,還保持了采取行動的自由。Handshake提出了與比特幣相同的價值主張,但它改變的是信息流。正如我在以前的文章中提到的,Handshake是一個去中心化域名管理協議,它從根源管理著頂級域名。正因為Handshake的頂級域名都被直接存儲在頂層,因此你不再需要CA來管理數字證書或私鑰了。

Handshake如何解決當前在CA中存在的問題?

今天,CA管理著包含公鑰,簽名和其它相關信息在內的各種數字記錄。因此,當你信任CA的時候,也意味著你相信CA擁有安全的數字文件和經過驗證的身份信息。Handshake的重要性在于:私鑰始終直接由所有者注冊,并始終控制在所有者手中。這意味著當我注冊“TokenDaily.co”這個域名的時候,Handshake將在協議上鎖定域名的所有權,并通過網絡中的所有節點對其進行傳播。當用戶解析到命名空間時,它將直接指向一個簡潔的證書,并驗證請求的合法性。這將成為私鑰和已注冊域名之間的規范信任點。

總結

Handshake協議正在減少我們對頂級域名和CA的需求,也將減少我們對第三方提供商的依賴。這場轉移最終將導致中間機構的減少,并給用戶帶來更強的安全性。這意味著信息將自由流動,而你無需再擔心攻擊者仿冒你的域名。今時今日,網絡上發生著數以十億計的攻擊,任何人都有可能成為釣魚URL或SSL隱藏威脅的受害者。我們越是需要信任,就越需要更快地找到這個問題的解決方案。隨著Handshake協議、Handshake聯盟、Urkel、和Handshake學院的發明,我們將開始見證一場從信任人到信任代碼的轉變——這將帶給互聯網前所未有的安全。

原文鏈接:

https://www.tokendaily.co/blog/the-fall-of-certificate-authorities-and-the-rise-of-handshake

作者:ImranKhan

翻譯&校對:曾汨&阿劍

本文由原作者授權EthFans翻譯及再出版

Tags:HANANDHandshakeSHAKThanksgiving FlokiPANDSHAK幣

XLM
關于WBFex上線KOC的公告_HTT

尊敬的WBFex用戶: WBFex即將在開放區上線KOC/USDT交易對,具體情況如下:充值時間:2019年8月29號15:00交易時間:2019年8月29號16:00提幣時間:2019年8月2.

1900/1/1 0:00:00
新用戶金九銀十,百萬USDT大放送!_HTT

活動時間:9月1日起活動規則:1活動期間,IDAX新用戶進入合約頁面,開通合約賬戶,并完成手機驗證,當月入金≥500USDT,即可享受當月合約交易手續費30%返還資格.

1900/1/1 0:00:00
BKEX Global 關于上線QWC并開放其提幣功能的公告_GLO

親愛的BKEXer: BKEXGlobal將于新加坡時間2019年8月30日15:00上線QWC提現功能開放時間:2019年8月31日?11:00上線交易對:QWC/BTC?BKEX平臺幣BKK.

1900/1/1 0:00:00
BHEX連發重磅消息:BHT登陸火幣礦池生態交易所 HPT登陸BHEX_HPT

近日,BHEX交易所接連宣布了兩則重磅合作消息:8月30日,火幣礦池全球生態通證HPT將登陸BHEX交易所,并同期開啟HPT折扣搶購;9月2日.

1900/1/1 0:00:00
Bakkt將于9月6日起提供比特幣存儲服務_加密貨幣

劉昌用:央行數字貨幣選擇大型互聯網企業和商業銀行的可能性比較大 ◇金色盤面 據huobiglobal數據顯示,BTC最近成交價9682美元,24小時變化-4.57%;ETH最近成交價172美元.

1900/1/1 0:00:00
ZG.COM NEW 打新計劃第14期項目RLZ申購規則(新加坡時間9月2日12:00開啟公開申購)

總體原則: 申購金額越大,分配額度越多;參與活動越多,分配額度越多。一、申購流程(以下時間均為新加坡時間)1.9月2日12:00-14:00期間可以認購,用戶選擇申購額度,扣除申購資金;2.14.

1900/1/1 0:00:00
ads