23. B3数字货币:加密永胜
 6745

试听18023. B3数字货币:加密永胜

倍速播放下载收听

00:00
10:26


购买所属专辑,收听更多内容

加密胜出,因为它是必要的反作用力,防止互联网不加节制地连接。

KK的话】

加密胜出,因为它是必要的反作用力,防止互联网不加节制地连接。……互联网说「连接」,加密则相反,说「断开」。如果没有一些隔断的力量,整个世界就会冻结成一团超载的、由没有私密性的连接和没有过滤的信息组成的乱麻。


加密技术允许蜂巢文化所渴求的必要的失控,在不断深化的演变中保持灵活和敏捷。


【关键词】

单向加密技术,数字签名,碰撞攻击,数字取证,数字水印


【正文】

你好,欢迎来到《KK对话未来》!


在前两期的节目中,我们在谈到比特币和区块链时,都提到了加密技术。今天,我们就来聊聊加密技术。


你可能会觉得这个话题太技术了,离你也比较远。其实不是这样。在网络和数字时代,你几乎每天都会同加密技术打交道。了解一些关于加密的常识,有可能在关键时刻帮助你保护个人的敏感信息和数据。


你不太相信,是吧?那我先问你一个场景问题:假设有一天,你忘了某个网站的登录密码。咨询客服或是经过你自己搜寻后,发现网站提供「找回密码」的功能。客服或网站确认你的身份后,可以把你的登录密码发给你。你的第一反应是什么?


你可别告诉我说,你觉得这个网站的服务挺贴心的。换做是我,第一件要做的事情就是,立刻删除我在这个网站上的所有数据,不再访问这个网站,并且把我所有其他网站和应用的密码都换一遍,换成我确信从来没用过的密码。


为什么?因为加密技术的常识告诉我,这个网站99% 是用明文存储用户密码的。


什么是明文?就是未经加密过的文字。


记得几年前,国内最大的程序员社区网站发生过用户信息泄露事件。最让人震惊的是,这家网站居然用明文存储用户密码。这太不可思议了!


你可能会问,不用明文的话,是用加密过的文本吗?即便加了密,又如何能保证加密算法不被泄漏,或者不会被黑客破解呢?


这就涉及到今天普遍使用的一类加密技术,叫做单向加密技术,也叫做不可逆加密技术。什么意思呢?就是说,这种加密技术并没有解密算法,唯一的破解途径是用大量的随机文本或经过某种猜测后的可能文本,一个个去试。这个工作量是非常大的。


那这种加密技术是怎么工作的呢?它是把一个文本通过一系列运算,转换成一段长度固定的字符串,比如说,128位,或者256位,或者1024位。这个字符串,也叫做这个文本的「数字签名」。为什么叫数字签名?因为如果原来的文本当中有任何微小的改动,那么转换出来的字符串都会发生很大的变动。所以,通过这个字符串就能判断出原来的文件是不是被修改过。


如果你经常从网络上下载文件的话(我是说合法下载哈),就会经常看到文件提供者还会提供一个数字签名,就是一长串的字符,以及生成这个数字签名的算法。这个数字签名怎么用呢?你下载好文件后,用文件提供者告诉你的算法把下载的文件过一遍,如果最后得到的数字签名与文件提供者给出的数字签名一致,就说明下载后的文件没有被改动过。这种验证并非多此一举。因为网路传输往往是不安全的,文件从服务器下载到你本地的过程中,有可能在半路上被人动了手脚。当然,现在由于几乎所有的合法下载服务,都会提供数字签名验证,所以很少有人再动半路拦截别人的下载进程、进行破坏或捣乱的念头了。但这就好比牛痘接种技术使得天花病几乎绝迹了一样,不能因为天花病几乎绝迹,就不再使用牛痘接种技术了。


数字签名有没有可能被伪造呢?


答案是肯定的。因为数字签名算法把任何一个文本都转换成一个固定长度的字符串,简单想想就知道,一定存在两个不同的文本,生成的数字签名是一样的,这种情况就叫做「冲突」。在实际应用当中,发生冲突的概率是极低的,几乎可以忽略不计。但冲突的存在,为伪造数字签名提供了可能性。


对数字签名进行伪造的最常用的办法,叫「碰撞攻击」。具体怎么做呢?就是我虽然不知道你原来的文本是什么,但是我可以用大量的文本进行测试,也许某个文本的数字签名恰好跟你原来文本的数字签名是一样的。也就是说,虽然这两个文本不同,但数字签名是一样的。那我就可以伪造你原来文本的数字签名了。


但这种伪造,从经济学上讲,往往得不偿失,因为它需要消耗大量的计算资源。


今年初,荷兰的一个密码研究小组与Google合作,宣称破解了几年前被普遍使用的一种数字签名算法。但是,他们破解所用的计算量超过了九亿亿次。难怪他们要找Google合作呢!


上一期我们谈到区块链技术时,说到竞争记账,其中矿工们争着解决的题目,实际上也是类似于伪造数字签名,要消耗大量的计算资源。


好,关于数字签名,我们说得够多了。再简单提一下另一个跟加密和信息安全有关的常识。


你在浏览一些网站时,可能会发现在浏览器的地址栏开头有一个绿色的小锁头,而且你要访问的这个地址是https开头的,不是常见的http。这会告诉你什么信息?它告诉你说,你跟这个页面之间的通信是加密的,是安全的。从道理上讲,所有涉及用户敏感信息(包括账户信息、隐私信息)的网页或网站,都应该采用https协议,也就是说,采用加密的通信信道。在中国,情况不太乐观:截止到 2017年3月,中国的网站中只有0.11% 使用了https,大部分网站都还是在「裸奔」。


说完了常识,再说一个加密技术可能大显身手的领域,就是数字作品的版权保护。


你可能会觉得这不是什么新鲜事了。你可能还知道DRM这个词,翻译成中文就是「数字权利管理」。这个词代表一整套保护版权的办法和机制,其中就包括加密技术。


但是,DRM代表的是一种传统的版权保护思路,是一种「堵」的思路,就跟大禹的父亲鲧治水的思路是一样的。在互联网时代,堵是堵不住的,而且一旦出现泄漏,就会瞬间传遍整个网络。


所以近几年,版权保护开始朝「追踪」的方向发展。有一个领域叫「数字取证」,英文是cyber forensics。数字取证的基本原理是,在数字作品中加入一些隐藏的数据,也叫做「数字水印」。对于音频、视频和图像作品来说,这些数字水印并不影响欣赏效果,但机器可以把它们提取出来。


这种数字水印怎么用呢?


前一阵子,《人民的名义》送审视频泄露,还引起了不少关注。假如,我们在送审流程中的每个环节,都在视频材料中加入一个独特的数字水印,那么,从泄露的视频中,我们就可以很容易地查出,到底是哪个环节出了问题。


所以,数字取证不是「堵」的思路,而是出现问题之后,如何「追踪」和「取证」的思路。


再举个例子。还是前不久的事情。某知名博主诉某知名公众号抄袭。这名博主是技术出身,他在创作时多了个心眼,在作品中埋了一些水印。多说一句,在文字作品中埋水印的难度比较大,因为对文字的一点点改变都会极大地影响阅读体验。这个博主的办法很巧妙,他在文章中用了一些一般人几乎不可能用到的词组和短语。这些非常独特的词组和短语,就起到了水印的作用。如果抄袭者不加处理地使用了这些词组和短语,那么基本可以判断其抄袭行为成立。


当然,这种技术还没有得到法庭的充分认可,所以案子的结果是原告败诉。但如果你懂得一点儿数字水印的知识,那么就不难做出你的判断。所谓「公道自在人心」。


通过这些案例,我想你已经充分意识到,加密技术是网络时代不可或缺的技术,是与每个人息息相关的技术。


KK在《失控》中写道:


加密胜出,因为它是必要的反作用力,防止互联网不加节制地连接。……互联网说「连接」,加密则相反,说「断开」。如果没有一些隔断的力量,整个世界就会冻结成一团超载的、由没有私密性的连接和没有过滤的信息组成的乱麻。


加密技术允许蜂巢文化所渴求的必要的失控,在不断深化的演变中保持灵活和敏捷。


回顾一下今天的内容。


我们谈到了关于加密的几个日常知识,比如,绝对不应该明文存储用户密码,而是应该用一种单向加密技术把明文密码加密后,再存储;再比如,需要用户提供敏感信息的网站(比如说身份信息、银行信息),站方应该使用https协议。我们也谈到了在数字作品中加入数字水印,通过「追踪」或「取证」来保护数字版权的办法。最后,我们引用KK的话,来说明加密技术的意义和重要性。


愿加密与你同在!


评论

    还没有评论,快来发表第一个评论!

打开喜马拉雅,发表评论