以匿名著称的 Tor 浏览器,其团队对加密密钥的追求也欲在登峰造极。而要产生不容易被破解的加密密钥,就需要对随机算法进行升级创新。对加密金钥与随机算法不了解的话,我们先来回顾一下这两个概念。
密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的资料。加密算法是明文转换成密文的变换函数;而随机加密算法是使用随机函数生成器的算法,对不相同的输入,在不同的运行中会得到不同的输出。
6 月初,Tor 发布了 6.5a1 版本,与之前发布的版本相比,这个版本中增加了加强版,且在加强版中添加了一种新的随机算法──Selfrando。就在近日,加州大学尔湾分校的研究专家们针对这个技术发表了一篇详细的论文,文中对这种新的算法的定义是:
这是一个被增强的、具有实用性的随机载入时间技术。说得通俗点,这种技术更可以用来防止骇客对 Tor 用户去匿名化的攻击。
Tor 团队和加州大学的研究专家们花费了大量的经历合作研究出 Selfrando,想要用这种技术替代传统的位址空间随机载入技术。
位址空间随机载入技术是让代码在其运行的内存中进行转换,而 Selfrando 的工作方式是将不同功能的代码分开,并将它们所运行的内存位址进行随机分布。
如果攻击者不能准确猜到每个代码执行所在的内存位址,那他就不能触发到内存中所存在的漏洞,也就不能让 Tor 浏览器运行他们的恶意程式码,从而更好地保护了使用者的个人资讯。
Selfrando 中的二进制档案都构建在相同的硬盘内,直到被载入到主内存中后才会被随机分布。
在内存中对代码进行随机分布听起来好像会拖慢运行速度,其实不然。研究专家们说,透过基准测试,带有 Selfrando 技术的 Tor 加强版仅仅增加了不到 1% 的执行时间。
此外,Selfrando 技术并不需要开发者对现有的代码进行太多的改变。研究人员说:
使用 Selfrando 并不需要改变构建工具或运行流程。在大多数情况下,使用 Selfrando 就像添加一个新的编译器和连结器选项到现有的构建脚本中那样简单。
Tor 一向是 FBI 的眼中钉,FBI 也总是孜孜不倦的去研究如何攻破 Tor,甚至花钱找团队来帮忙,目的就是想揪出 Tor 用户的真实身份。众所周知,Tor 被用在了许多恶名昭著的行业,如非法交易网站(Silk Road)与色情门户网站,所以 FBI 追踪 Tor 用户的行为也通常被大家认为是合理的。
但匿名无罪,也其实没有人知道 FBI 在获取到资讯后是否有被用于其他目的。其次,FBI 在破解 Tor 使用者资讯的背后,却对个人隐私以及 Tor 专案及其团队造成一种威胁。此次全面升级,也主要是针对 FBI 的“穷追猛打”。2015 年年底 FBI 从火狐浏览器以及 Tor 协力厂商服务中好不容易找出了一些可以利用的漏洞,这下又要被甩好几百条街了。
(本文由 雷锋网 授权转载)
