機會性加密
此條目需要補充更多來源。 (2017年8月10日) |
機會性加密或伺機加密(英語:Opportunistic encryption,簡稱OE[1];有時也稱非認證加密、隨機加密[1])是一種網絡通訊加密機制,即當建立通訊連接時,首先嘗試請求加密,如果對方也支援加密連接,連接則開始加密,期間不進行身份驗證;如果加密請求嘗試失敗,則回退到明文通訊機制。這種加密不須雙方進行事先組態,能夠抵抗被動的流量竊聽[2],但無法防禦中間人攻擊等主動攻擊。因此,它不能替代完整的加密方案。使用機會性加密時,用戶也不會看到任何連接安全的提示。
大多數互聯網安全協定中,開始加密通訊前都會進行身份驗證,以防止中間人攻擊,從而確保通訊安全。但是,這將涉及到身份驗證與金鑰管理,且須進行事先組態,否則無法開始安全通訊。這使加密變成了「有或無」的一個問題,只能在「完全安全」或「完全不安全」兩個極端選項之間選擇,沒有條件時便只能放棄加密,使用不安全的明文連接。這限制了加密連接在互聯網上的大規模應用,使被動的攻擊者也能夠竊聽大量互聯網流量。[3]
機會性加密則並不要求進行身份驗證,目的是在條件允許時就儘可能使用加密通訊方式。雖然機會性加密只能防止被動竊聽,對攻擊者的主動攻擊無能為力(例如降級攻擊或中間人攻擊),但它使大規模加密互聯網通訊成為可能,從而防止互聯網遭到大規模監控、「在大多數時候,提供一定程度的安全性」。
參見
參考資料
- ^ 1.0 1.1 李希. 基于OE机制的VPN网关设计与实现. 中國知網. [2017-08-10].
- ^ Gilmore, John. FreeS/WAN Project: History and Politics. 2003-05-13 [2017-08-10]. (原始內容存檔於2000-05-26).
- ^ Sullivan, Nick. Opportunistic Encryption: Bringing HTTP/2 to the unencrypted web. Cloudflare. 2016-09-21 [2017-08-10]. (原始內容存檔於2020-12-03).