Google Chrome ブラウザが最近頻繁に警告を出すようになりました。何が起こっているのでしょうか?

最近、Chrome ブラウザを使用して exmail.qq.com などの多くの国内 Web サイトにアクセスすると、次のようなダイアログ ボックスが表示されることがあります。

これはどういう意味ですか？アクセスリンクは非公開ではないですか?

メールを確認しましたが、プライバシーが失われていました。そこにある写真はどうすればいいでしょうか？以前、コンピューターを修理していたときもプライバシーはありませんでしたが、今ではインターネットを閲覧しているときもプライバシーがありません。私はまた有名になるのでしょうか？

ちょっと待ってください、何かおかしいようです。Web プライバシーとは一体何でしょうか?なぜこの質問を思い出させるのですか?ログインするためにすでにパスワードを入力しませんでしたか?

最初から始めましょう。

1. HTTPS (Secure Hypertext Transfer Protocol) はどのようにして生まれたのでしょうか?

1997 年に CERN が HTTP プロトコルを発明し、それを World Wide Web に使用したとき、それは学術コミュニティ内でデータを共有するためのプラットフォームとしてのみ意図されており、送信のセキュリティについてはあまり考慮されていませんでした。結局のところ、当時のインターネットの規模は非常に小さく、誰もがコンピューターや高価なネットワーク機器を購入できるわけではありませんでした。

彼らは、ワールド ワイド ウェブが後に情報伝達のための普遍的なプラットフォームとなり、あるグループの人々がウェブ上で Web メールやオンライン バンキングなどのサービスを提供するようになるとは予想していませんでした。基本的に、銀行のパスワードや個人の電子メールが送信中に第三者に見られることを望む人はいないため、このタイプのサービスにはセキュリティとプライバシーに関する非常に厳しい要件があります。

それで、ここに問題が起こります。 HTTP はプレーンテキストで送信されますが、パスワード認証はサポートされています。残念ながら、パスワードもプレーンテキストで送信されます。

この状況に対応して、Netscape の科学者グループ、特に Taher Elgamal 博士 (SSL の父として知られる) の努力により、HTTPS が誕生しました。

HTTPS では、送信されるすべてのデータが暗号化されるため、第三者はデータ送信プロセス中に有用なデータを取得することはできず、データ送信のプライバシーが自然に保証されます。

少なくとも、そのように設計されました。

HTTPS はまったく新しいプロトコルではありません。実際、これは SSL (Secure Sockets Layer) またはそれ以降の TLS (Transport Security Protocol) が追加された HTTP に基づいています。 SSL/TLS は HTTP の下で動作し、送信されるすべてのデータを暗号化する役割を果たします。

余談ですが、当時は、HTTP だけでなく、アプリケーション層プロトコル、STMP 電子メール プロトコルなど、インターネットの上位層プロトコルの多くもほとんどがプレーン テキストで送信されていましたが、モバイル インターネットやその他のネットワークはすべて、TCP/IP プロトコル スイートなどの標準プロトコルに基づいていました。

初期の頃、これらのプロトコルは、今日の法律制定プロセスと同様に、インターネット分野の専門家によって共同で開発されました。しかし、実際に検証してみると、その不正確さが徐々に明らかになり、以前のものをベースに更新が続けられ、SSL/TLSが誕生しました。

SSL/TLS は TCP 層とアプリケーション層の間で動作するため、STMP を含むあらゆるアプリケーション層プロトコルを暗号化できます。この観点から見ると、Netscape のインターネットへの貢献は実に広範囲にわたります。

HTTPS は非対称アルゴリズムを使用してキーを交換します。これも非常に洗練されたアルゴリズムです。興味のある学生は

例えば、上の写真のように、実際には監査記録はありませんが、警告マークが削除されています。これは、Google 自身が現在のホワイトリストのカバレッジが非常に貧弱であることを認識しており、一般的に記録が見つからないため、具体的な警告マークが追加されないことを示しています。

したがって、今のところは無視してかまいません。

鍵となるのは2番目です:

このサイトは弱いセキュリティ構成 (SHA-1 署名) を使用しているため、接続がプライベートでない可能性があります。

こっちの方が面白いですね。

それはまだ警察官の身分証明書の問題です。警察官の身分証明書を取得するには、公安部に盗み/不正行為/潜入して自分で本物を作る以外に、偽物を作ることもできます。

デジタル証明書の場合、真正性を識別するための最も重要な部分はデジタル署名です。ただし、デジタル証明書は一般に小さくないため、すべてのバイトに署名することは不可能です。一般的には、デジタル証明書のハッシュ値が署名されます。

ハッシュ値が何であるかわからない場合は、例を挙げて説明します。あなたがデジタル証明書であれば、あなたの写真はハッシュになります。

以下の 2 つの条件が含まれます。

- 適切な手段を使えば、あなたの写真をあなたから作成することはできますが、写真からあなたを作成することはできません。つまり、写真が存在する前に、あなたが存在しなければならないということです。

- 写真を正確に作成できるのはあなただけであり、他の誰もできません。あなたはユニークであり、他の人にはない特徴を持っています。

したがって、ある人物の警察 ID を確認したい場合は、写真が人物と一致するかどうか (ハッシュ値が一致するかどうか)、および写真の行間スタンプが一致するかどうか (デジタル署名) を確認するだけで済みます。ただし、このインターラインスタンプは写真にのみ押印する必要があり、警官の顔には押印する必要はありません。

もちろん、この比喩には学術的に不正確な点がたくさんあることは承知していますが、これは私がこれまでに見つけた比喩の中で最も理解しやすいものの 1 つです。

デジタル証明書では、SHA-1 はカメラのようにデジタル証明書の一意の値 (写真) を生成できる一般的なハッシュ アルゴリズムです。

このアルゴリズムにはただ 1 つ問題があります。この関数は設計が早すぎたため堅牢性が低く、2 つの異なるデジタル証明書を使用して同じ値が生成される可能性があります。

それは、身分証明書用の写真を撮るカメラを持っているようなものですが、この魔法のカメラは、特別な設定によって、他の人が本物の警察官と全く同じ写真を撮ることができるほどぼやけた写真を撮ることができます。

おめでとうございます。この設定を発見すれば、偽の警察官身分証明書を大規模に作成することができます。

この現象はハッシュ関数では「衝突」と呼ばれます。

SHA-1 アルゴリズムの場合、この「特別な設定」を見つけるには、約 2 の 74 乗の操作が必要です。いくつかの論文では、完了するには 2 の 61 乗の演算のみが必要であることも指摘されています。これは SHA-1 が発明されたときには考えられなかったことであり、現在でも実際には実現不可能です。しかし、現在のコンピュータ開発のスピードでは、2018年頃には手頃な価格のサーバークラスターを使用することで理論的には解読できる可能性があります（こちらを参照）。

そのため、Chrome は SHA-1 を使用するハッシュ関数は潜在的に安全ではないと判断し、SHA-1 を使用するすべてのウェブサイト証明書に対して警告を発し、SHA-1 を使用するすべてのウェブサイトに SHA-2 に切り替えるよう促します。

ただし、これは潜在的に安全でない可能性があることに注意してください。現在、実現可能で信頼性の高い SHA-1 衝突アルゴリズムは存在しません。

したがって、これらの Web サイトは当面は安全ですが、SHA-1 が「クラック」される可能性が非常に高いため、Web 管理者がセキュリティ意識を高めることも望まれます。上記のような状況が発生する可能性が非常に高くなります。つまり、誰かが衝突アルゴリズムを発見するか、それを解読して、偽の警察官 ID を作成するのです。

私の仕事柄、Opera は Chromium セキュリティ チームのメンバーなので、この内部事情についてはよく知っています。興味があれば、ディスカッション グループ内の論争の投稿を確認してください。スクリーンショットを撮ってここに載せました:

今日頭条の青雲計画と百家曼の百+計画の受賞者、2019年百度デジタル著者オブザイヤー、百家曼テクノロジー分野最人気著者、2019年捜狗テクノロジー文化著者、2021年百家曼季刊影響力のあるクリエイターとして、2013年捜狐最優秀業界メディア人、2015年中国ニューメディア起業家コンテスト北京3位、2015年光芒体験賞、2015年中国ニューメディア起業家コンテスト決勝3位、2018年百度ダイナミック年間有力セレブなど、多数の賞を受賞しています。