Narito ang Pag-upgrade sa Seguridad na Magtatago ng 40 milyong Tao sa Web

Ang berdeng lock na nakikita mo sa iyong URL bar ay nagpapahiwatig ng isang tunay at pribadong koneksyon. Tinitiyak ng sertipiko na ito na ang iyong impormasyon ay nananatili sa mga hangganan ng pinagkakatiwalaang website at ang website na iyong binibisita ay talagang ang website na tinutukoy nito mismo. Kapag nag-log in ka sa Facebook, sa ibang salita, ipinagkakatiwalaan mo ang parehong na a) ang iyong impormasyon - pag-login, komunikasyon, mga larawan, atbp. - nananatili sa loob ng secure na mga hangganan ng site at b) Facebook ay aktwal na Facebook, hindi isang impostor.

Kung ang isang tao ay pumutok sa isang naka-encrypt na site ng SHA-1, magkakaroon sila ng kanilang mga kamay sa napakahalagang impormasyon - na ginagastos ang halaga ng paunang break-in na bale-wala. Ang isang indibidwal, isang organisasyon, o isang bansa ay maaaring magpose bilang Facebook, sabihin, habang nakaka-intercept sa anumang palitan o pribadong impormasyong nais nilang maharang. Ang isa pang pagbabanta ay isang pag-atake sa phishing, kung saan ang isang indibidwal, samahan, o bansa ay nagpapakilala bilang isang site upang magnakaw ng impormasyon ng mga gumagamit.

Dahil sa insecurities ng SHA-1, karamihan sa mga pangunahing site ay sumang-ayon na ang paglipat ay overdue. Mayroong isang downside, bagaman. Ang mga gumagamit ng Internet na may mga lumang telepono o desktop ay hindi ma-access ang SHA-2 na naka-encrypt na mga site. Ang mga lumang telepono o computer ay may mga virtual ceilings na pumipigil sa mga programa o apps nito mula sa pag-update. At ang SHA-2 ay magkakaroon ng isang uri ng "Kailangang Maging Ang Matangkad sa Pagsakay" na ito sa mga browser. Mahalaga, kung ang iyong telepono o computer ay hindi "matangkad sapat" - basahin ang: sapat na bago, sapat na na-update - upang "sumakay," ang SHA-2 na naka-encrypt na mga site ay magpapasara sa iyo.

Ang CloudFlare, na nagsaliksik ng problema at naglaan ng kanilang sariling solusyon, ay nakalista sa 25 bansa na may pinakamaliit na suporta-at natagpuan na ang listahang ito ay "sumobra sa mga listahan ng pinakamahihirap, pinakamabanal, at pinaka-digmaan na mga bansa sa mundo." maliligtas ang mundo: sa Hilagang Amerika at Kanlurang Europa, higit sa 99 porsiyento ng mga browser ang naaayon sa SHA-2. Sa China, gayunpaman, ang figure ay bumaba sa tungkol sa 93 porsiyento, at sa Cameroon, Yemen, Sudan, Egypt, Libya, Ivory Coast, Nepal, Ghana, at Nigeria tama ito sa paligid ng 95 porsiyento. Ang porsyento ng pagbubukod ay tila mababa, ngunit kinuha sa konteksto na ito ay sumasalamin sa isang kamangha-manghang bilang ng mga gumagamit ng internet.

Ang huling resulta ay ang napakalaki ng karamihan ng mga gumagamit na nakabukas mula sa SHA-2 na biyahe ay ang mga maaaring pinaka-kailangan upang ma-access ang mga site. (Isipin ang epekto ng Facebook at Twitter sa Arab Spring). Bilang karagdagan, ang mga bansa na maaari pa ring ruta ng imprastraktura sa pamamagitan ng hindi napapanahong mga platform ay gagawing mahina laban sa pag-atake.

Sa Disyembre 31, 2015, ang ilan sa mga pinakamalaking site sa internet ay magiging limitado sa halos 40 milyong mga gumagamit. Ang isang makatwirang ngunit matigas na resolusyon ng Bagong Taon upang mag-upgrade ng teknolohiyang encryption ay hahadlang sa tungkol sa 5 porsiyento ng populasyon sa online na pag-unlad ng mundo mula sa mga secure, sertipikadong site tulad ng Google, Facebook, at Twitter.

Kung ang iyong telepono ay higit sa limang taong gulang, ikaw ay hindi kasama.

Lahat ng ito ay dahil sa isang paglipat sa teknolohiya ng pag-encrypt SHA-2 mula sa hinalinhan nito, SHA-1. Ito ay isang maliit na nakalilito ngunit, dito ito napupunta: Bago SHA-1, mobile phone na ginagamit encryption tech MD5, na, sa 2008, ay natagpuan na maging hindi secure. Hindi hanggang 2013 na ang MD5 ay ganap na naalis, at ang SHA-1 ang naging patakaran.

Di-nagtagal, ang mga eksperto sa seguridad ay nag-crack sa SHA-1. At sa mas mabilis at mas mabilis na mga computer, nakakakuha ito ng mas mura at mas mura upang i-crack ang mga site ng SHA-1: Isang pag-aaral sa 2012 ang nagbabala na habang ang taon na iyon ay nagkakahalaga ng isang tinatayang $ 2.77 milyon upang magawa ito, ang figure sa 2015 ay mahulog sa $ 700,000. (Sa 2018, ang pagtantya ay bumaba sa $ 173,000, at noong 2021, ito ay $ 43,000 lamang.) Ngayon na ito ay 2015, bagaman - bilang Ars Technica mga ulat - "naniniwala ang mga mananaliksik na ang ganitong pag-atake ay maaaring isagawa ngayong taon para sa $ 75,000 hanggang $ 120,000."

Nakakatakot ito, o kapansin-pansin, sa dalawang dahilan. Una, ang mga site na nangangailangan ng pinakamataas na antas ng seguridad ay ang mga site na nakakuha ng pinakamaraming trapiko, ang mga site na pinaka-popular. Muli, ang mga ito ay kasama (ngunit hindi sa lahat ay limitado sa) Google, Facebook, at Twitter, at ang kanilang mga kaugnay na mga site. Pangalawa, ang mga gumagamit na ang mga aparato ay hindi pumasa sa bar ay pangunahing matatagpuan sa pagbuo ng mga bansa, madalas na mga bansa na sinira ng digmaan at kawalan ng katarungan.

Ang solusyon ng CloudFlare, na pinagtutuunan ng Facebook, ay upang paganahin ang "SHA-1 fallback." Ang mga gumagamit na kung hindi ay ma-block ng mga site ng CloudFlare o Facebook ay sa halip ay bibigyan ng access sa ilalim ng SHA-1 na mga proteksyon. Ito ay hindi isang perpektong solusyon - ang mga flaws ng seguridad ay umiiral pa rin - ngunit hindi bababa sa ito ay magiging mas exclusionary.

(Na-transition na kami sa SHA-2 dito sa Kabaligtaran. Kung binabasa mo ang artikulong ito, kung gayon, maaari kang makatitiyak na ma-access mo ang iyong mga paboritong site sa 2016.)