TLS 1.3:银行业施压要求解密后门?

TLS 1.3 临近收官之际,某组织机构正寻求解密后门

最近出现了不少有关加密后门的新闻,但都并非出于合理理由。就在各政客和执法人员高呼“负责任”的加密技术时,某组织机构在新的TLS1.3标准临近收官之际正试图将其变为现实。

代表着美国超100家顶级金融机构的金融服务圆桌会议的技术政策部门的BITS正推动一项TLS 1.3提议,该提议列出了一个“协商数据中心中的可见度的选项”。

该提议的反对者称其为有意而为之的削弱。有人甚至把它称为后门,理由是它使更广泛的互联网面临未经授权的解密风险。

银行说他们要遵守自己的内部规定,需要能够解密他们企业网络中的连接,很快则有人指出其实有很多方式可以弱化跨整个互联网的TLS协议。

微软一位高级安全项目经理Janet Jones 告诉CyberScoop 说道“银行业正给TLS工作组施压要求创建一个解密选项作为规范的一部分,当然技术部门的回答是‘那是不可能发生的’”。另外他还说 “您可以想象我们支持给一个API配备一个解密选项的后果会是怎样?因此我们不可能那样做。”

TLS 1.3目前正处于最后的研发阶段,很快将成为正式的标准。该协议有望在本月晚些时候Internet Engineering Task Force (IETF)会议最终完成,而在此之前,会陆续敲定各个最终的细节。

对于非常规读者来说,TLS 1.3无非就是能够提升互联网加密的TLS协议的新版本。

TLS协议是SSL协议的继承者。平常我们就将技术称为SSL,但更准确的说,它其实是TLS或安全传输层协议 (Transport Layer Security)。在此不会长篇大论地讨论其版本历史,但是SSL 1.0 和 2.0 确实从未真正实现过。SSL 3.0已很快被 TLS 1.0所取代,接着是 1.1 和 1.2版本。截止目前,互联网正卡在1.1 和 1.2 版本之间。TLS 1.3 相比其前几个版本性能更优,还能实现流线型的握手。

但是,如果金融部门找到其突破口实现了后门解密,所有这一切都尚未定论。

同时兼任科技行业的短信、恶意软件和移动反滥用工作组副主席的Jones 说道“我们去银行跟他们说,有很多方式可以实现他们想要的,但是他们必须要自行建立这样一个功能。我是不可能在内创建一个解密功能的。这样做了,我可能也要辞职了。”

提交
还没有评论,快来抢沙发吧!
售前
支持
代理
合作
售后
支持