9
| 本文作者: 褚少軍 | 2015-02-05 17:09 |
對于含筆者在內的小白用戶來說,OpenSSL盡管與我們息息相關,但似乎我們并沒有太多機會關注和了解它。為數不多的對于OpenSSL的認知,則是有關其“心臟流血”(Heartbleed)的漏洞被電視媒體和互聯網媒體報道;羅永浩以及其有關的錘子科技對OpenSSL的大筆捐助;以及最近的“界面”飽受爭議的那篇有關OpenSSL和羅永浩的文章。
但廣泛流傳的未必就是真相,而且眾說紛紜中的各種似是而非,實在不便于大家真正了解OpenSSL的廬山真面目。于是,筆者試圖從更詳細的角度梳理一下OpenSSL,以便大家更好圍觀。
認知OpenSSL得先從SSL說起,SSL可能是大家接觸比較多的互聯網安全協議之一,看到某個網站地址用了“https://”開頭,就是采用了SSL安全協議。根據百度百科的定義,SSL是Secure Sockets Layer(安全套接層協議)的縮寫,可以在Internet上提供秘密性傳輸。SSL標準由網景公司(Netscape)最早提出,Netscape在推出第一個Web瀏覽器的同時,提出了SSL協議標準。目的是保證兩個應用間通信的保密性和可靠性,可在服務器端和用戶端同時實現支持。到目前SSL已經成為Internet上保密通訊的工業級別標準。
OpenSSL 則是為網絡通信提供安全及數據完整性的一種安全協議,囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議,并提供了豐富的應用程序供測試或其它目的使用。OpenSSL是一種開放源碼的SSL實現,用來實現網絡通信的高強度加密,現在被廣泛地用于各種網絡應用程序中。
有關技術和標準的東西,從協議來看,總是不太易懂,有點云里霧里的感覺。再通俗一點講,OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議,它通過一種開放源代碼的SSL協議,實現網絡通信的高強度加密,目前正在各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。顯然,說到這里,大家自然就明白OpenSSL和我們自身息息相關了,只是具體怎么相關法我們很少關注。
如果理解起來還有困難的話,還可以在直白一點講。SSL可以理解為是一個高強度加密的安全鎖,而OpenSSL其實就是當前互聯網上使用量最大的鎖。甚至不夸張的說,你能在網上看到每個“HTTPS”標志,都意味著一個OpenSSL的使用實例。
主要版本進化史,更詳盡的版本進化可以參見http://www.openssl.org/news/
1998年12月23日,發布0.9.1c;
……
2010年3月29日,發布1.0.0,取代0.9.8x;
……
2015年1月22日,發布1.0.2,當前版本,取代1.0.1,支持DTLS v1.2。
嚴格的說,OpenSSL只是由一伙黑客或者說愛好者,自發組織起來,跨國協助完成的開源項目,這些黑客中的大多數是以志愿者的身份參與的。寫到此處,應該有掌聲,世界的某個角落,總有些在常人看起來默默無聞的“志愿者”們在干著偉大的事情。
發生于2014年4月8日,Google和網絡安全公司Codenomicon的研究人員發現,OpenSSL Heartbleed模塊存在一個BUG。簡單的說,黑客可以對使用https(存在此漏洞)的網站發起攻擊,每次讀取服務器內存中64K數據,不斷的反復獲取,內存中可能會含有用戶http原始請求、用戶cookie甚至明文帳號密碼等。大家經常訪問的網銀、支付寶、微信、淘寶等網站也存在這個漏洞。
更通俗點講“心臟流血”,代表著最致命的內傷。各種最敏感數據在網絡上可以被攻擊者隨意讀取,這種情況想想就讓人毛骨悚然。利用這一漏洞,黑客坐在自己家里的電腦前,就可以實時獲取到很多https開頭網址的用戶登錄賬號密碼,而且場地不限,比如說,黑客可以在自己的辦公室,也可以在其他國家實現數據盜用。
好在OpenSSL很快發布了1.0.1g版本,以修復這一問題,但網站對這一軟件的升級還需要一段時間,在這個窗口時間里,用戶的敏感數據實際是隨時可能被盜用的。所以在2014年這個漏洞爆發后的很長一段時間里,因為媒體連篇累讀地提及“心臟流血”,公眾也因此對OpenSSL有了一個感性的認知,但顯然,這種認知都是比較負面的,畢竟漏洞并不是什么好事兒。
《華爾街日報》撰文稱,震驚互聯網的“心臟流血”漏洞暴露出OpenSSL的一大軟肋:如此重要的項目多年來始終面臨著資金和人手不足的窘境,多數工作都要由為數不多的志愿者來完成。
不過基于OpenSSL的重要性,以及Heartbleed Bug的出現,也讓業界更加重視OpenSSL,或許正是因禍得福吧。
2014年4月24日Linux基金會宣布成立了核心基礎架構聯盟,這是一個包含數百萬美元投入的龐大支持計劃,能為處在全球信息基礎架構中的關鍵項目提供資金。出資人包括亞馬遜、戴爾、Facebook、富士通、Google、IBM、英特爾、微軟、NetApp、Rackspace、VMware等多個巨型IT企業、互聯網新銳和Linux基金會。 該聯盟旨在讓開發人員能全職在項目上工作,并且支付安全審計、硬件和軟件基礎設施,旅行及其他費用。OpenSSL是該聯盟資金資助的首位獲得者候選人。
小白用戶更多關注到OpenSSL,是因為羅永浩自己提及錘子科技給OpenSSL捐助了200萬元人民幣事件,據稱這是OpenSSL歷史上獲得的最大一筆捐贈,而老羅和錘子科技則對OpenSSL予以高度贊譽,認為其在情懷和理想主義上,與老羅和錘子科技一貫宣揚的公眾形象,很有共鳴之處。
這種贊譽,在最近“界面”上的一篇文章:《隱形戰友》,再次將OpenSSL和羅永浩推向輿論的風口浪尖。很多人質疑羅永浩利用捐款事件炒作,認為羅永浩和錘子科技的捐款只是錦上添花,而非雪中送炭。并提出在此之前其實也有不少組織和公司給OpenSSL捐款,即使沒有羅永浩極其錘子科技的捐款,OpenSSL也能正常運轉。至于是或者不是,只能OpenSSL組織自己出來澄清了。但是從《華爾街日報》的報道來看,OpenSSL確實多年來始終面臨著資金和人手不足的窘境。
無論你喜歡或者討厭,都無法改變一個事實:羅永浩的情懷輿論站,讓廣大中國人,至少是網民更多地知道了OpenSSL的故事。而錘子科技在國內第一個向OpenSSL捐獻“巨款”(相比之前的捐款而言)對OpenSSL組織的幫助,會讓更多的網民受益。從這個角度來說,對于羅永浩和錘子科技的捐款,我們應該多些肯定。
關于以OpenSSL為代表的開源項目,筆者想說,不管正解還是誤解,都無法阻擋那一群在常規世界里看起來默默無聞的人們,通過互聯網,跨越時空,相互協作,憑借自己的智慧和理想,一道完成著和大家息息相關的,“偉大”的事情。對于給予這些人們以幫助的任何行為,不管正解和誤解,都應該多些寬容,少些質疑,多些實際行動。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
