TLS1.3將為互聯網安全築起新的長城

2018年3月23日，國際互聯網工程任務組（IETF）批準了TLS1.3的正式運行版本，為互聯網安全築起了新的長城。這是互聯網發展道路上的一塊重要裏程碑。

TLS是有關互聯網傳輸層的安全協議，TLS1.3是TLS的最新標準。TLS為互聯網上密鑰的產生和分發、數據傳輸時加密解密、用戶的身份認證及電子簽名等製定統一的標準和算法，網絡服務商和軟件開發商將根據TLS1.3的標準開發出相應的軟件包和程序庫。網頁瀏覽、微信、電子郵件等應用程序在處理數據傳輸時都會自動調用這些具有統一標準的軟件包和程序庫，以確保數據在互聯網傳輸時的絕對安全。

當你使用IE、火狐、UC等任何一款瀏覽器訪問互聯網上的網站，這些瀏覽器和網站服務器都會首先調用TLS軟件包。TLS製定的公鑰密碼算法為通信雙方分別產生公鑰和私鑰；然後通過握手程序交換公鑰和身份認證信息；接著根據TLS提供的算法驗證對方身份並計算出共享的對稱密鑰；最後使用共享密鑰對傳輸數據（這其中包括了用戶的口令、信用卡號碼和帳戶餘額等數據）作加密和解密，保證這些數據在公共網絡傳輸過程中不被破解和篡改。

P1)微信通信雙方協商取得共享對稱密鑰的握手進程的示意圖。微信通信的安全保障是基於TLS1.3草案標準的微信安全通信協議mmtls，詳見 https://www.qcloud.com/community/article/134506。     

微信、電子郵件和互聯網上各種其它應用程序也都是在TLS規約下按照上述相似流程來保證數據在公共網絡上安全地傳輸。TLS就是互聯網安全的基石，它是每個網民的護身符！

長久以來人們都把密碼與軍事、外交聯係在一起，印象中使用密碼的人物如果不是躲在陰暗角落的間諜特務就是捍衛國家安全的孤膽英雄。事實上，隨著互聯網的普及，今天每個普通人都離不開密碼，密碼技術已經“飛入尋常百姓家”。當你在網上購物，當你用手機通話或收發微信，所有信息都在開放共享的網絡上傳輸，現代通訊技術使得信息的傳輸變得越來越方便、迅速和高效，但是也使得信息非常容易被黑客截獲，沒有密碼技術保護在網上發送短信、用支付寶付款、在無線網上通話等等都是難以想象的。

在我們每天使用的電腦、手機中都有執行TLS協議的整套軟件，它們在後台默默無聲、忠實無悔地守護著互聯網用戶的隱私和秘密，它們是新時代為網民服務的好戰士。當我們享受著互聯網種種福利時，又有多少人會感謝那些設計、運行和維護TLS的工程技術人員呢？“誰知網上遊，步步皆辛苦！”沒有了TLS，網上的日子一分鍾也沒法過。

TLS的前身是安全套接層協議SSL。SSL誕生於九十年代初期，它的2.0版本在1995年2月發布，但因為存在數個嚴重的安全漏洞一年後而被3.0版本替代。進入二十一世紀後，更為先進有效的TLS代替SSL扛起了互聯網安全衛士的重任，互聯網上數據傳輸的安全問題一直困擾著人們，SSL/TLS一次次的變遷和升級就是一部互聯網抗擊黑客的血淚史。

目前網上廣泛使用的安全協議TLS1.2始於2008年，這些年來它為網民們遮風擋雨立下汗馬功勞，但是在滿世界黑客的明槍暗箭攻擊下也是滿目滄桑。為了修補漏洞，執行TLS1.2協議的軟件打滿了補丁，俗話說：“新三年舊三年，縫縫補補又三年。” 九年多了，TLS1.2也到了功成身退的時候了。

在眾人矚目中即將登台上任的TLS1.3究竟有些什麽亮點呢？TLS1.3是一次全麵升級，與此前版本相比，它具有兩大優勢：

●增強安全性
舊版TLS1.2為了向下兼容，接收了太多90年代遺留下來的落後的加密方式，背上了沉重的包袱。TLS1.2雖然具有很強的兼容性，但是它也成為了過去幾年來受到攻擊的主因。

TLS1.3實施“少而精”的原則，取消了對一些陳舊落後的加密和哈希算法的支持，諸如SHA—1、SHA-224 、RC4、MD5、DES、3DES等算法均被剔除，取而代之的是ChaCha20, Poly1305, Ed25519, x25519, and x448等更為安全的算法。這意味著一係列潛在的漏洞將被永久關閉。

TLS 1.3具有抵禦降級攻擊的功能，這是它最為突出的優點。這樣就堵死了攻擊者誘騙服務器降級使用較舊版本的可能，杜絕黑客利用舊版軟件中漏洞的任何機會。

●提升處理速度
為了保護數據傳輸，用戶訪問網站時，雙方必須依靠TLS先行取得共享的對稱密鑰，這個被稱為握手過程。為完成握手過程，TLS1.2需要在用戶和網站之間傳遞信息6次，而新版TLS1.3僅需4次。減短握手的過程就可更早地傳遞有效數據，也就加快了網頁傳輸的速

不僅如此，對於近期訪問過的站點，TLS1.3可以在第一次給服務器發消息時就發送有用的數據。這叫做“零消息往來”模式（0-RTT），這會會使網頁傳輸變得更快。 雖然新版TLS1.3為每次網頁加載節省的時間有限（大約十分之一秒），但是積少成多，對於每天接受千萬次以上訪問的大型網站，這個提速影響不容小覷。不信到雙十一節可以試試!

P2)TLS1.2與TLS1.3握手進程效率比較。     

TLS安全協議的核心是通過公鑰密碼係統讓通信雙方協商取得共享的對稱密鑰，這個過程也被稱為對稱密鑰分發。通信雙方一旦擁有了共享的對稱密鑰以後，他們之間的通信安全是有絕對保證的。但是互聯網上通信雙方遠隔千山萬水又從未見過麵，他們如何取得彼此的信任並協商出共享的密鑰，而又不被第三者偷竊，這是對密碼學的嚴峻考驗。

解決這個難題靠的就是公鑰密碼。公鑰密碼算法產生出一對密鑰：公鑰和私鑰，通信雙方通過交換公鑰作身份驗證和協商出共享的對稱密鑰。公鑰密碼巧妙地解決了網上通信雙方的“第一次”的尷尬，網上安全一日不可無此君。

我們前麵已經指出對稱密碼的安全性是有絕對保證的，這是有數學證明的，那麽公鑰密碼的安全性又如何呢？到目前為止，公鑰密碼還是安全的，至少與網絡上許多其它隱患相比，它的相對安全性是不容質疑的。但是麵對未來的量子計算機和傳統計算機的飛速發展，現在使用的公鑰密碼存在安全隱患。

解決公鑰密碼隱患的正確之路是研究開發更安全有效的新一代公鑰密碼算法。實現公鑰密碼已經有多種方法，TLS1.3就取消了用RSA這種公鑰密碼算法作密鑰分發，而改用ECDH算法。更為先進安全的公鑰密碼新算法正在研究評估中，本文的姐妹篇將著重討論這方麵問題。

除此之外，似乎還沒有其它更有效的方案，目前的量子密碼通信在工程意義上不是切實可行的解決方案。京滬量子通信幹線使用的BB84協議是一種端到端的密鑰分發協議，它與分組交換協議構建起來的複雜拓撲結構的互聯網格格不入。量子通信連最基本的路由器和交換器的協議草案都沒有，目前組網的可能性幾乎為零。

TLS提供的網絡安全服務不僅是密鑰分發，還包括非常重要的身份驗證和電子簽名。量子通信工程隻能作密鑰分發，它根本就沒有資格替代TLS。即使將來有關量子通信的組網設備和協議都被研製開發出來了，還麵臨如何與現存互聯網的融合問題，還有額外的成本和運行效率問題。

退一萬步說，即使量子通信的所有工程問題明天一早都得到解決，工程的成本問題也不去考慮，反正就是不差錢，量子通信與互聯網安全依舊是兩條道上跑的車。這裏有一個核心問題—“兼容”，量子通信技術如果不能與現存的密碼係統兼容，不能成為TLS協議有機的組成部分，那麽對億萬互聯網的網民而言就是零存在。網民在互聯網上點擊這裏點擊哪裏，數據傳輸安全靠的是應用程序自動調用TLS，TLS調用相應密碼算法。沒有人會有興趣也沒有本事去弄懂量子通信的原理和使用方法的，要讓量子通信真正造福大眾，它必須融入今日互聯網安全係統中成為TLS的一部分，而不是推翻現存的互聯網構架去另建所謂的“量子互聯網”。“量子互聯網”和“量子小鎮”一樣，實質上都是海市蜃樓，至少在可預見的未來就是如此。

從現在開始，TLS1.3將會受到網絡服務行業和用戶的廣泛支持，並將在未來十年中成為互聯網的忠誠衛士，再下一代TLS的預案也已經啟動，它們將為未來一二十年的互聯網安全負責。TLS1.3和它的下一代都沒有為量子通信預留任何接口，互聯網安全與量子通信沒一點關係。全世界互聯網通信安全專家們都把穩妥可靠、兼容可行作為技術發展的首要考量，他們將著力研發新一代公鑰密碼係統應對後量子時代的信息安全態勢，為億萬網民築起互聯網上的新長城。本文續篇將著重介紹後量子時代密碼學的研究現狀和發展趨勢，敬請關注跟讀。

P3)十種常用瀏覽器支持TLS1.3的進展情況。綠色表示支持、紅色不支持、灰色情況不明。由圖可知穀歌的Chrome 和火狐瀏覽器已經支持使用TLS1.3協議草案，這兩家企業重視網絡安全的態度值得點讚。