隐私安全新動向：Facebook采用OpenPGP加密技術

近期Facebook宣布将為其消息傳遞服務采用OpenPGP加密，同時允許使用者在他們的Facebook配置檔案中張貼公鑰。這些改進如何改善Facebook的安全性？其他服務和消息傳遞應用是否也該依法效之呢？

斯諾登事件增加的人們對網絡隐私的擔憂，幾家大型網際網路公司都開始加強其安全控制以保障其使用者線上資料和通信安全以防被窺探。舉例來說，現在最受歡迎的網站使用數字證書，進而讓使用者能夠檢視跨HTTPS的頁面，HTTPS加密伺服器和浏覽器之間的流量。Facebook也使用了這種安全控制，也采用了HTTP嚴格傳輸安全機制，是浏覽器隻能在使用HTTPS連接配接Facebook。對于哪些想要額外隐私保護的使用者，Facebook提供了一個線上Tor。（注意下，這個連接配接隻能在開啟Tor的浏覽器上運作。）

不過Facebook的加密部署間仍有些許空檔，比如說，目前Facebook Messenger不提供端到端加密，雖然該公司使用TLS來保障安全連接配接到使用者的電子郵件提供商，它發送給他們的個人電子郵件位址消息是明文的。這意味着盡管從Facebook伺服器到使用者帶女子郵件伺服器的消息是加密的，但是一旦傳送，就可能被任何取得使用者權限的人閱讀。Facebook給使用者發送各種郵件安全提醒通知，例如密碼重置，都包含敏感資訊，這需要更好的保護措施。

對于非技術人員，端到端加密是很難了解并使用的，因為它通常需要手動處理來交換發送方和接收方之間的公鑰，在任意時間它們發送郵件或任何其他類型的消息。這已為電子郵件加密所廣泛采用。

盡管如此，Facebook宣布其打算通過允許使用者上傳他們的OpenPGP公鑰到他們的配置檔案中來支援端到端電子郵件加密。這将允許任何人，包括Facebook通過使用基于PGP的加密來給使用者發送加密的郵件。假如使用者郵件賬戶被攻擊或消息被攔截，Facebook使用帶有使用者公鑰的加密郵件将呈不可讀狀态。Facebook也将為對外傳至選擇使用自己的OpenPGP公鑰接收加密通知的使用者的消息進行标記。

OpenPGP是一個已存在近20年的開源的端到端加密标準。雖然它使用數字證書，但并不依賴證書認證方來認證其公鑰資訊。相反，證書經由證書清單上其他支援公鑰協會的使用者簽署。這種分散的信任模型被稱作為信任網絡。Facebook已選用一個廣為使用并自由部署OpenPGP标準的GNU隐私保護（GPG）。該軟體需要生成及管理一對兒PGP密鑰，其中帶有操作指南，可以從GPG網站上下載下傳。

目前，Facebook新的OpenPGP加密功能隻适用于桌上型電腦，尚未支援移動裝置，不過通過促進其使用，Facebook可增加加密的使用來保護一些列線上服務的郵件内容安全。加密最好是無處不在且自動的，這也意味着不能從高敏感會話中區分出簡單會話。

Facebook并不是唯一一家添加加密服務的公司。雅虎和谷歌的端到端帶女子郵件加密擴充也是基于OpenPGP加密的，同時，Open Whisper Systems、Silent Circle以及蘋果公司的iMessage都提供端到端加密。政府憂心該做法會限制其對抗恐怖主義威脅的能力，不過另一些人則認為這是一項保護隐私的技術。這是需要探讨的另外一個話題，不過我們能看到的是越來越多的供應商将加密納入到其服務和消息傳遞應用程式當中去。

原文釋出時間為：2015-11-19

本文來自雲栖社群合作夥伴至頂網，了解相關資訊可以關注至頂網。