文
吴俊宇
电影《骇客追缉令》之中有这样一个情节:
被誉为有史以来最厉害的电脑骇客,凯文·密尼克侵入家电信公司,入侵联邦调查局的电脑,在网路世界中成为最难以捉摸的骇客之王,然而他却希望能遇上一个真正的挑战,入侵著名物理学家兼电脑天才下村勤的电脑系统。
为了突破下村勤的电脑,他采用了无数办法,其中之一的策略就是用一个钓鱼网站去实现欺诈。
事实上,这种情节在现实生活中一点都不少见。我们总是能见到有人因为钓鱼网站最终被骗的事件。
年,一群90后小伙利用支付宝钓鱼网站,通过旺旺聊天工具,给淘宝卖家群发钓鱼网站链接,以所需购买产品的链接无法打开为由,窃取淘宝卖家的支付宝信息并对其实施诈骗。
短短半个月的时间,该诈骗案件涉及全国28个省,60多个地级市,涉及受害人余人,总计涉案价值达余万元。
每逢高考结束之后,则是由不法分子利用考生、家长的急切查分、急切了解高校信息的心态,开始“钓鱼”。
“高考志愿不用愁,高科技软件来帮你”,“高考收费志愿填报指导专家”为你“提供内部信息”等等的宣传随处可见。
不过,正在推出根证书计划,为中国互联网加上“盾牌”。
一
国家层面:需要自主可控
数字证书需要自主可控,从国家维度上看就是一大需求。
今年6月,智库就曾发文认为,中美贸易战背后是科技战,同时科技战与网络战叠加共振,网络战已经在悄然发生,成为大国博弈的重要手段。
华为被禁事件便表明,美国对我国高科技产业发展的打压已经无所不用其极,在贸易摩擦的表象下,实质透着霸权国家对新兴大国的战略遏制。
事实上,数字证书体系、根域名解析系统(DNS)等一批都是“卡脖子”工程。
重要网站使用国外证书威胁国家安全,涉及国计民生的网站中99%都在使用美国颁发的数字证书,“恶意”吊销证书、伪造证书等可导致网络瘫痪或信息泄露。
对网站使用国外证书情况底数不清,国外认证机构在我国范围内提供电子认证服务未经备案,缺乏监管难以有效评估证书对抗过程中的安全风险。
一旦未来出现围绕数字证书的网络空间战,情况可能会超出想象。我们可以设想这样几个极端情况。
1、如果被境外吊销已颁发证书,将直接导致我国互联网和物联网瘫痪,相关系统和设备无法使用;
2、如果在信息战之中被针对军工、政府等关键部门有意颁发“坏”证书,境外黑客组织可能会直接潜伏进入关键系统;
3、如果被非法加解密数据,数字证书机构可为国外情报机构提供伪造的数字证书,以窃取机密信息;
4、一旦出现战略对抗的局面,海外颁发数字证书的CA机构其实很容易被“绑票”,在胁迫之下为竞争对手提供用户每次访问网站的时间、地点、IP等社会运行关键信息,把控我国重要数据;
我们甚至可以这么说,独立自主可控的数字证书,就相当于一个国家互联网的“命根”。然而至少在当下,中国互联网的命根捏在别人手里,在极端情况下会成为“阿喀琉斯之踵”。
二
个人层面:提高用户安全
从个人互联网安全层面上说,数字证书也需要得到普及。
目前大部分用户都分不清“