网络空间安全意味着什么?在理解网络空间安全之前,我们有必要考虑一下物理世界安全的基本要素,因为构成物理世界安全的几个基本要素将在网络空间中消失。尽管密码学并不能单独替代物理世界中的这些要素,但密码学的核心职能是为构建网络空间安全提供工具。
你早上起来在信箱中收到能源供应商的电费账单,然后立即支付了。你觉得不太舒服(尤其是在支付以后),于是一吃完早餐,就锁上门出去了,搭乘了一辆去城里的公交车。在药店,你和药剂师说了你的症状,他为你推荐了一些药。你用现金买完药便返回家里。你的症状在中午前开始缓解。
这就是在物理世界发生的平常的一天。这个世界由真实可触及的物体以及物理互动所构成,这些都要求有一个特定的地理位置。让我们想想这个世界有多安全,即这个世界是如何阻止外部威胁以避免我们受到伤害的。
对于有幸生活在相对和平与繁荣的世界的我们,大部分日子都非常平淡无奇,没有“坏事”直接发生在我们身上。我们每天从媒体上听到的令人震惊的事件,大都是异常罕见的,所以才成为“新闻”。在物理世界,由于我们在保护安全方面的工作做得足够好,所以值得来识别一些保护物理世界安全的特征。
我们先考虑一下在日常可能发生什么坏事。尽管需要近乎偏执地思考最坏的情况,但安全流程正是建立在最坏的情况之上。希望在思考了这些情况之后,你仍然愿意起床开始新一天的生活。
你早上起来发现信箱里的账单,账单看起来像是能源供应商寄来的,你立即支付了,但账单其实来自一个骗子。你感觉不太舒服(如果你知道刚才所做的事情,你会更加难受),于是一吃完早餐,你就锁上门出去了。你前脚刚走,窃贼就撬开锁,闯入了你家。同时,你搭乘了一辆去城里的公交车,不幸的是,这辆公交车被劫持了。在市区,你奇迹般地从这辆公交车里逃出来。在药房里,你和一名穿着白大褂看起来像是药剂师但其实是在逃精神病患者说了你的症状,然后他给你开了毒药。随后这名假药剂师故意把你的健康问题与城里的流言蜚语联系起来,几小时之后所有人都知道你生病了。雪上加霜的是,你支付了现金,但是找零里面有假币。你带着毒药回到你刚刚被盗的家,结束!
这是一个极其荒谬的故事。然而有趣的是,尽管我们在物理世界里建立了安全流程来防止这类不幸事件的发生,但这个故事里的每一个不幸事件都确实被人谋划过。上述第一天是一个“平常”的一天,第二天则是一个“不平常”的一天。“不平常”体现在关于安全的3个方面:安全机制、安全环境、发生危险的概率,其中的每一个方面都值得考虑。
我们使用多种工具和技术来保证安全,这被称为安全机制。让我们回顾一下那些日常使用到的安全机制,比如信箱。信箱有很多不同的形式,有些信箱只是简单的防风挡雨,而有些信箱带锁,需要钥匙才能打开。还有些房子在大门上安装信箱口而不用信箱盒,从信箱口投入的信受到大门的保护而免受外部威胁,当然这并不能防止内部威胁(如你家的狗)。
你的信箱盒装着信,信被封在信封中投递。信封为信提供了一定程度上的物理安全保护,比如防止它在邮寄途中被磨损。信封也保护了内容避免被指定收信者之外的人看到。但信封的保护能力相对较弱,因为信封很薄,也很容易打开。然而,信封提供的最重要的安全机制是任何打开信封的人都需要揭开的封条。除非做得天衣无缝,否则收信者将会很容易发现有人打开过这封信。
你收到的信显示来自一个大机构,信封及其内容上印有该机构熟悉的标志,这在某种程度上也是安全机制的一部分。这封信在总体布局、字体和语言使用方面有着熟悉的外观,这些在不同程度上也都属于安全机制。
你家的大门有一把物理锁。虽然一些现代化家装已经开始使用电子门禁系统,但绝大多数门锁还是物理锁。尽管一些锁需要插入钥匙,但是有些锁会随着门的关闭而自动上锁。从密码学的角度出发,你稍后将会看到这两种锁带来的革命性变化。
你搭乘的公交车看起来很熟悉,车身印着显眼的公交集团标志和路线号码。司机展示了工作证,工作证上有司机的名字、照片以及公交集团的标志。司机可能穿着集团制服,并持有公交车钥匙。
你的药剂师也同样出示了带有姓名的官方证件。或许更可能是由于你之前来过这家药店,所以认识这位药剂师。药剂师的容貌和声音都是安全机制。你们避开了其他顾客,小声交流以防别人听见。药剂师开的药放在一个密封的容器里面,容器上有商标和药品信息标签,也许还盖上了药店自己的印章。
最后还有现金,钞票上印有编号和其他水印,使其难以伪造。钞票有很多安全机制,包括水印和全息图。更为简单的是,钞票的外观和质感可能是最容易验证的安全机制。1
物理世界充满安全机制,每一种机制都被设计出来应对特定的威胁,这些威胁可能会危及它们保护的对象。
在物理世界里,安全环境的重要性可能更为微妙。安全环境是指事件发生的背景,基于背景我们来解释和理解事件的安全性。尽管安全环境对评估物理世界的安全性至关重要,但我们不能聚焦其中。因为一旦你开始聚焦于环境,你就会发现它的信息量实在太大了。
回到你“平常”的一天,信箱中的信来自一个你希望收到其账单的能源机构。事实上,这个能源机构发送账单的日期相对可预测。如果支付账单后一周内又收到账单,你可能就会起疑心。账单金额也包含安全信息,因为它可以在你日常用电的背景下进行解释。它的确切数字也许使你吃惊,但很可能在你预想的范围之内。
公交车也是按时间表发车,所以当一辆看起来正常的公交车准时到站就没有任何理由去怀疑这是不是一辆真的公交车。如果公交车晚点了很久,并且司机开得不稳或者司机看起来好像不认识路,你可能就会有一丝担心。
在药房柜台后面站着的药剂师不仅看起来像一名药剂师,更重要的是他的言行举止像一名药剂师。他与你交流时流露出他的专业性,他对你的药品非常了解。如果药剂师在与你交流时假笑或者在给你开药时不知所措,你肯定会觉得不正常。2
即便是现金也与环境相关。如果你试图用一张面值远远超过药价的钞票付款,药剂师也许会迟疑,然后查看这张钞票的真伪。
在物理世界里,安全环境真的非常重要。我们经常被告知:“如果你看见什么人或事可疑,请报告给工作人员。”这句话的真正含义是:“如果你看见的人或事与环境格格不入,请敲响警钟。”
我们还通过评估危险发生的概率来评估安全性。我们通常无法精确计算出不愉快事件的发生概率,但是在现实生活中,我们逐渐对很多潜在的危险事件形成了直觉。3
我们的直觉告诉我们,“不平常”的一天是不合理且荒谬的,为什么呢?
试图骗取他人财产的诈骗犯存在吗?当然存在,而且还不少。4但是他们有很多潜在的目标对象,你平白无故地成为他们锁定的目标的概率是不大的。他们会伪造一封电费账单来骗你吗?如果这样做,他们首先需要伪造一封看起来像是真正账单的信,还要扫除很多前面提到的安全环境问题,比如账单日期和账单金额。准备这些诈骗信息需要花费许多时间而且是极有针对性的。这些障碍使得这样的诈骗行为得不偿失,因为诈骗犯当然想从事容易得多且成功率高得多的诈骗。
同样,入室盗窃总是存在的,但在绝大多数时间里,即使是不太友好的社区,入室盗窃也是小概率事件。
公交车被劫持更是罕见的事件,药剂师通常也不是连环杀手。这些坏事都有可能发生,但是通过我们对物理世界特有的直觉,我们知道这些坏事一般并不会发生。
考虑到安全机制和安全环境,你的“不平常”的一天在物理世界里只是一场由一系列小概率事件组成的“噩梦”。而下述3个重要的物理世界特征导致了它的小概率。
首先是物理世界的实体性。绝大多数安全机制都依赖于使用我们的感官,比如信箱里的信看起来是真的,你认识你的药剂师,钞票感觉正常等。我们使用自己的感官在物理世界中生存,而且习惯用这些感官来帮助我们做安全判断。人类对某些物理危险有着与生俱来的直觉,比如研究显示婴儿对蜘蛛和蛇有天生的恐惧。5人类在物理世界里成长,不断摸索哪些事物是危险的。通过本能反应与学习实践的结合,我们在物理世界里建立了基于感官的安全直觉。
其次是我们对物理世界的熟悉度,这是我们在物理世界里长期生存的经验积累。尽管这并不表明我们对物理世界的方方面面都了如指掌,但是我们已经习惯于对物理环境做出判断。我们可能并不懂得公交车行驶的机械原理,但我们知道一辆公交车的外表是什么样子,车站在哪里,搭乘公交车的体验如何。很多安全机制和安全环境依赖于你在“平常”的一天形成的熟悉度。信箱里的信看起来顺眼是因为这样的信以前看过无数次,一眼就认出来公交车是因为同样的车总是按时到站。在物理世界里我们通常会对一个新环境感到陌生和紧张就是因为不熟悉,比如我们在陌生人面前是拘谨的。如果电费账单的信封是手写字体,盖的是国际邮戳,收款方是外国银行账户,你肯定就不会支付了。
最后是物理世界的场景。人和物的物理位置在时空里具有唯一性,所以是确定的。依据这样的唯一性我们能够做出是否安全的判断。即使电费账单是伪造的,它还是需要在你的付费周期前几天到达你的邮箱。即便公交车可能会被劫持,劫持者得自己先上车然后才能控制这辆公交车。冒牌药剂师也必须等到正规药剂师不在的那天才能顶替。所有这些物理世界里的安全屏障不是不能被攻破,而是物理场景使得安全攻击难度很大。“9·11”事件里面的那些恐怖分子劫机撞楼,不仅事先通过了飞机驾驶训练,而且他们还得登上不同的飞机,驾驶这些飞机在几乎同一时间飞到目标攻击地点。6他们的行为是极其可怕的,但是完成攻击所需克服的安全场景挑战也是困难重重的。如此困难重重,以至于没有谁会料到这种安全隐患真的会在物理世界里发生。
我们是物理世界里的人,习惯于物理世界里的安全。可是在网络空间里,整个事情都变了。
现在来体验一下不一样的一天,即网络空间里的一天。
你早上起床后查看你的电子邮箱。除了一大堆垃圾邮件,有一封来自能源供应商的电力账单,你准备马上支付。但你感到不舒服,感谢互联网提供的便利条件,你不用出门就可以买药了。打开搜索引擎输入你的症状,访问一家线上药房,用银行卡网上支付,然后就等线上药房寄药到家里。
或者也可能是这样的。
你早上起床后查看你的电子邮箱。除了一大堆垃圾邮件,有一封看起来似乎是来自能源供应商的电力账单,你准备马上支付。但这张账单其实来自一名诈骗犯,试图引诱你转账给他。你感到不舒服,就打开搜索引擎输入你的症状,看到一家正在打广告的廉价线上药房。搜索引擎同时也将你的症状分享给几家合作公司,其中一家是你的人寿保险公司。根据你的症状,保险公司决定增加你的保险费用。你用银行卡网上支付买了一些药,不幸的是,这家“线上药房”开在卢里塔尼亚(一个假想的中欧国家)7的一间多余卧室里,匆匆忙忙地发送了不可靠的产品广告。同时这家“线上药房”还做一些其他“业务”,包括利用你的银行卡快速地进行一系列网上购物,远程安装一些软件在你的计算机里以控制你的计算机,在你的计算机文档里搜索各种密码和财务信息等。尽管你并没有离开过家,但是你刚刚确实是被抢劫了。这是网络空间里“糟糕”的一天。
网络空间里的这两种情况哪种是“平常”的一天呢?我们当然希望“糟糕”的一天不要发生,大概率也是如此,但我描述的“糟糕”的一天并不像物理世界里“不平常”的一天那样荒谬。网络空间里的“糟糕”的一天在逻辑上是讲得通的,并且这些场景的确时而出现。为什么呢?前面描述的网上诈骗案例里伪造账单在网络空间里比在物理世界里要容易得多。首先是伪造成本极低,其次是更容易通过网络空间发送数百万份伪造的电子账单。尽管绝大多数伪造的电子账单没能起到诈骗作用,但只需要一两份成功就远远超过作案成本了。最后,伪造的电子账单比伪造的物理账单更难识别,这是因为网络空间缺乏物理世界里多样化的形状和样式。8
当我们向搜索引擎输入信息时,我们几乎不知道出现的搜索结果会将我们引向何方,至少在理论上,搜索引擎公司可以做任何它们想要做的事。一旦搜索结果把我们链接到某个网店,我们能做的就是根据网店显示的产品介绍和价格等文字和图像信息,来判断它的诚信和质量。如果我们对这家网店不熟悉,那么与这家网店做交易实际上需要一个信任上的飞跃。绝大多数人都不知道从卢里塔尼亚的一间多余卧室里建立一个网店是多么容易,并且可以达到与正规网店一模一样的效果。
盗用别人的银行卡在网上购物很可能一直会得手,直到这些非正常消费行为被银行的用户安全保护引擎监测到为止,但为时已晚。正因为如此,偷盗和出售银行卡是一个主要的网络犯罪领域。在计算机上远程安装恶意软件也是一件容易的事,只需要毫无防备的用户点击一个链接或下载一个文件。这些恶意软件很容易在计算机里搜索潜在的密码和银行信息。更恶劣的是,这些恶意软件像数字间谍一样无限期地潜伏在计算机里。9
比起物理世界里“不平常”的一天,网络空间里“糟糕”的一天的发生概率要高很多很多。
无论何时何地,网络空间都是一个与物理世界完全不同的世界。这个本质差别对网络空间的安全性带来了巨大影响。要阐明为什么网络空间里的安全性非常具有挑战性,就必须从网络空间与物理世界的3个不同的特征开始讲解。
首先,网络空间在本质上不具有实体性。当然,一些网络空间的基本要素仍是物理世界的一部分,比如数据中心、计算机、路由器、线路等。但是由这些硬件生成、处理和传递的信息本身不具有实体性。网络空间的信息载体是数字数据,你没法把数字数据拿起来塞进信封里。实际上,正是数字数据的非实体性,让我们能够用它做很多在物理世界里无法做到的事。我们能以光速在地球上复制、转换、传送数字数据,把信息数字化是一个革命性飞跃。
由于数字数据具有非实体性,所以物理世界里的安全机制很少能够被直接用来保护数字信息。当然,我们还是能把USB(通用串行总线)设备安全地锁在抽屉里。但是当我们要使用储存在里面的信息时,就不得不把它与网络空间相连了,这时,物理保护机制就不再起作用了。简而言之,网络空间里的安全需要完全不同的安全机制。
其次,网络空间也不具有熟悉度。这并不是说我们在日常生活中没有接触过网络空间,毕竟我们习惯于在搜索引擎上搜索信息,在互联网上购买商品,在社交网络上保持联系。我们不断地学习如何使用网络空间,但是我们熟悉网络空间本身吗?有多少人对网络空间是如何运作的具有哪怕是最粗浅的认知?很少有人懂得一台计算机是如何运作的,更不用说计算机是如何编程的,如何连接在一起,如何交互信息。很少有人懂得网络空间处理信息的工作机制。提交给网络空间的数据最终去了什么地方?谁能看到它?用它做了什么?对绝大多数人来说,网络空间只是魔术,我们在键盘上噼里啪啦地打字,然后事情就发生了。10
对网络空间本身并不熟悉,甚至对它是什么以及如何运转没有基本的直觉,就盲目穿梭其中,盲目相信系统可以替我们做“对的事”,这是非常危险的。对网络空间本身的不熟悉,将我们在网络空间里的幼稚行为暴露无遗,引发的安全问题也是巨大的。我们不懂在网络空间里应该怎样做正确的事,也不能识别错误的事,更不用说知道哪些事情可能会出错了。“如果你看见什么人或事可疑,请报告给工作人员”,如果你无法鉴别什么是可疑的人或事,哪有可能去报告给工作人员?
最根本的问题是,我们缺乏关于网络空间的基本常识,而正是这些基本常识指导着我们在物理世界里做出安全判断。在网络空间里,人们可能会做在物理世界想都不敢想的冒险事,比如出门度假时发明信片给盗贼(外出自动回复,在网上张贴实时度假照片),11把银行账户印在衣服上(从不可靠网站购物),在家里装上无死角的监控摄像头,然后在社交网站上播放监控摄像。人类的祖先还未走出非洲热带大草原时就本能地知道,当狮子靠近时要立刻向最近的树奔跑,我们也照旧注意安全,比如在大城市里离家外出时本能地锁上家门。然而,在网络空间里我们完全没有类似的“网络空间常识”作为判断的依据。我们看不见电子门的开闭,更不用说去关上它了。我们没能力识别出数字狮子,即使它们正在计算机屏幕里跳来跳去。
最后,网络空间解除了物理场景的限制,这可以说是网络空间的最大优势。我们能坐在家里购物、与朋友聊天、分享照片、工作、做周游世界的计划,这不再是不可思议的,而且我们还渐渐以为就应该是这样。
但是,不仅我们能远程做这些事,那些试图损害我们利益的人也能远程操作这些事。一名诈骗犯可以从世界任何一个地方寻找攻击目标,政府和公司当然也能收集我们日常生活的信息。在物理世界里,绝大多数危险来自周围的环境,而在网络空间里,危险可以来自任何地方。
在开始讨论安全时,安全的3个方面值得回顾一下,以便思考在网络空间里的潜在不安全性。让我们把这3个方面的次序先颠倒过来。
首先,在网络空间里大多数潜在危险发生的概率比在物理世界里要大很多。在物理世界里,普通人的日常事务一般不会成为卢里塔尼亚诈骗犯的目标,但这些日常事务在网络空间里极有可能被列为攻击目标。12几乎没有国家会用尽物理手段编织一个巨大的告密网络,以监视所有公民的日常生活,13但这在网络空间里变得越来越容易,甚至人们还没意识到它已经发生了。14
其次,在网络空间里我们利用环境来判断是否安全的能力要脆弱得多。我们能信任这个网站吗?这常常是一个难以回答的问题,但在物理世界里极少碰到这样的问题。一家商店的室外装修和室内气氛提供了丰富的环境直觉。如果有人敲门询问你的银行账户信息,你也不会回应。但对绝大多数人来说,一封声称来自银行的诈骗电子邮件询问同样的问题可能就不那么容易引起警觉了。在失去了基于物理环境的安全常识后,我们缺乏对潜在安全威胁的推断方法。
最后,基于物理世界建立的安全基础设施并不适用于网络空间。我们不能把电子邮件抖一抖,给数字文件贴上封条,或者一下认出站在网店销售柜台后面的售货员。
网络空间在把世界变得很小的同时也把很多潜在威胁变近了。其实,网络空间是一个我们并不真正了解的地方,更坏的是,我们传统的安全机制并不能用到这里。我们确实碰到问题了。
我前面给网络空间里的潜在安全性描述了一幅黑暗的前景。那些危险事件是真实的,确保安全性面临的挑战也是巨大的。但绝大多数人每天上网并没有碰到那些讨厌的事。这只是侥幸吗?不是的。网络空间里并非没有相应的安全机制。专家们对于很多网络空间的危险因素都有充分的了解,主要的互联网技术也是建立在某种程度的安全基础设施之上的,尽管不是十全十美。但是,绝对完美的安全性无论是在网络空间还是在物理世界都是不存在的,所以根本的问题是,网络空间里的安全性应当建立在保护数字信息的核心安全之上。如果我们能有效地构建数字安全机制去取代物理安全机制,起到如锁、封条、人脸识别等的作用,我们就能在网络空间里把数字安全机制大范围地植入系统和运行之中,从而有效保护我们的网上生活。当然,最理想的状态是我们能使用这些工具达到物理世界里的安全程度。如果幸运的话,也许在网络空间里能超越物理世界里的安全程度。
简言之,这就是密码学的关键作用。密码学能够提供一系列在网络空间里部署的安全机制。每一个密码学工具都独立构成简单的安全机制,被用来完成一些核心功能,比如防止数字信息被非法偷看,检测电子文件是否被改动,认证一台计算机等。当然,把这些密码学工具巧妙地组合在一起就能创建非常复杂的安全系统,比如保护金融交易安全、保护输电网安全、保护网上选举安全等。
密码学本身并不能使网络空间变得安全。构建安全性不仅仅是简单地提供安全机制,还涉及许多方面。如同保证我们家安全的不仅仅是门锁,但很难想象不用门锁如何保证我们家的安全。同样,仅仅是密码学本身并不能保证银行网络系统的安全,但可以肯定的是,没有密码学,全球的金融系统将会崩溃。15
