中关村在线原创在过年期间，让人震惊的棱镜门事件再度发酵。爱德华斯诺登透露，美英的安全部门窃取了荷兰SIM卡制造商Gemalto的信息，获得了密钥。这意味着被窃取用户的移动通信不再安全。今天我们就来简单的说说，在我们访问互联网这个行为过程中，谁在保护我们的信息安全，我们应该用什么样的方法与策略保护自己？

　　棱镜门再度发酵

今年的奥斯卡最佳纪录片，颁发给了《第四公民》。这是一部记录棱镜门爆料者爱德华斯诺登的纪录片。棱镜门暴露了美国等国的情报机构通过各种手段来获取公民信息的事件，一时间舆论沸腾。因为斯诺登的爆料透露，情报机构获得信息的手段很多是非法的。在法制社会，必须依照法律办事，安全情报机构也不能例外。

　　这次泄漏的是sim卡秘钥，国内的三大运营商，也是gemalto的客户……

这不禁让我们产生了忧虑：一直标榜法律健全的美国尚且如此，在国内，我们的个人隐私信息被泄漏再正常不过了。我们每个有手机的人，都有被各种骚扰电话打扰的经历，车主更是苦不堪言，每到保险续费的时候各种骚扰电话非常多。

　　我们要通过自己的努力让自己变得更安全

在新闻里面，内部人员贩卖信息获利、获刑的案子很多。作为一个普通的个体，我们没什么办法来保障这种内鬼的泄漏，我们只能从自己做起，保障我们的信息安全。这其中最关键的，就是加密。而开头所说的，情报机构窃取的正是加密的秘钥。我们个人应该用更安全的方式来保护自己。

谁对加密贡献最大？

互联网刚刚开始流行的时代，要追溯到上世纪末期。当时正是软件、互联网走向公众的高速发展阶段。但是这时候即使在美国，法律也是真空的。当时网络犯罪已经开始出现，当时就有人复制手机卡盗打电话。于是在1990年，美国特勤局开展了一场针对黑客等行为的Operation Sundevil。在那个时候，不受限制或者说法律支持的搜查在美国很常见，这些行动的受害者意识到，政府的认知混乱导致了他们的自由受到了威胁，于是成立了电子前哨基金会，也叫做EFF这个组织。之前我在介绍深网的文章中就介绍过，这个组织给TOR项目提供了后续的经费。创建者在《罪与罚》一文当中，认为他们创立的组织“为教育、游说和诉讼与网上言论相关的领域以及关于宪法进入网络空间的扩充筹集和支付经费。”

历史性的判决：让加密算法可以“出口”，这也是今天我们可以使用各种加密手段的法律基础

当然，EFF对今天互联网安全的贡献可不仅仅是这一点点。EFF打过的最有名的官司，是辛迪科恩主导的“伯恩斯坦诉美国政府（Bernstein v. United States）”。这个案子的来历很有趣：我们都知道冷战，冷战催生了很多新技术，这在我们之前的文章，介绍DARPA这个机构有所提及。当时美国的法律就规定，不允许把很多技术出口，以防“东方阵营”的国家得到这些技术，而加密技术正是其中之一。

　　丹尼尔伯恩斯坦，现在伊利诺伊大学教授数学

1995年，当时还是加州伯克利学生的伯恩斯坦起诉美国政府，他当时在读数学博士，但是美国政府禁止他把一个名为Snuffle的加密系统发布到互联网上，他在这个软件的描述文件里面介绍了加密的算法源代码。这成为了一系列案件，最终在1999年，美国第九巡回上述法院判决美国联邦政府的加密技术禁止出口禁令违反了美国宪法。

　　现在能加密的设备非常多

这个判决意义深远。今天我们的手机上也有指纹加密，更不要说需要加密传输的各种网站，比如银行、支付宝等等需要的HTTPS传输。当然我们并不能说如果伯恩斯坦诉美国政府败诉，我们就没加密技术可用，但是这个案子保障了我们今天大量普及的加密技术，基本都是源自美国的，这些加密的算法原理甚至源代码，现在也并不罕见，它推动了互联网的安全。

情怀、OpenSSL及Https

罗永浩把发布会的门票收入一股脑的捐献给了OpenSSL。这个事情让很多人知道了还有一个组织（OpenSSL其实是企业，并非组织），用很少的收入保障全球的信息安全。

　　使用加密传输的银行https网站

很多人甚至很少注意自己连接到的网站网址，到底是Http还是https，这其中的差别其实非常大，因为后者，传输的信息是加密的，即使截获了也没什么用，与明文传输的http不是一码事。当然，OpenSSL也出过heartbleed事件，导致用户的信息泄密。

　　OpenSSL是最常用的，但是1.0.1的版本曾经出过漏洞

在美国，如果给非盈利的组织捐款，是可以抵税的。但是OpenSSL不是，其注册为一个公司。而且SSL这种方式也不止一个OpenSSL，比如谷歌就发展了自己的分支BoringSSL。

个人认为，对加密这种保护隐私的方式起到最核心关键作用的，还是EFF推动的伯恩斯坦诉美国政府，否则今天的各种加密机制未必会如此健全。

加密了就一定靠谱吗？

在电影中，我们总能看到很多黑客几秒钟破译密码的画面。这在现实中出现的机会其实不大，入侵还是靠漏洞或是木马程序来的更容易，破解密码太难。但是加密了就万无一失了吗？显然不是。

　　黑客显然没有电影描述的神通广大

在刚有WiFi的时代，当时采用的加密技术称之为WEP，也就是无线网加密协议（Wireless Encrypt Protocol，也叫无线等效加密，Wired Equivalent Privacy）。这种加密方式的弱点就是，如果对方有足够的耐心抓足够多的数据包，就可以把RC4加密的秘钥破解出来。所以WEP很快就被WPA说取代，今天的WiFi已经很少有用WEP加密的了。

　　WEP加密的WiFi很容易就能破解

另外一个不太靠谱的加密方式是RSA加密，这种加密技术的原理浅显的说是两个大质数的乘积。其768位加密惨遭因式分解如下：

1230186684530117755130494958384962720772853569595334792197322452151726400507263657518745202199786469389956474942774063845925192557326303453731548268507917026122142913461670429214311602221240479274737794080665351419597459856902143413= 3347807169895689878604416984821269081770479498371376856891 2431388982883793878002287614711652531743087737814467999489× 3674604366679959042824463379962795263227915816434308764267 6032283815739666511279233373417143396810270092798736308917

　　RSA算法的SecurID在银行等领域应用最多，现在一般都要求2048位的RSA加密

所以目前认为RSA1024位以下的加密都不太安全，高级些的一般都要求2048位加密，因为理论上要破解2048位加密，对于今天的技术和算法来说需要的计算量实在太大。如果数学足够牛，能够依靠算法快速的得到大数的因式分解，任何RSA加密都是透明的，这是这种算法在数学理论上的挑战。但是RSA加密的产品应用还是很广泛的，就目前来看也足够安全，比如非常多银行的随机密码令牌环就是使用的RSA SecurID加密……

保护安全的办法有哪些？

最近几年，总有泄漏事件，因为很多网站的用户名、密码是明文保存的，被拖库之后，大量的用户名密码泄漏……而对于别有用心的人来说，还可以用撞库的方式，用泄漏的A网站的用户名密码数据库去尝试登陆网站BCDEDF……因为很多人，包括笔者本人，都是习惯了一个用户名，相同的密码用来登陆很多网站，可能结果就是一个网站ID失窃，多个网站的登陆信息一起遭殃。

　　和支付相关的网站设立独立密码，是起码的觉悟

因此，我们需要针对不同的网站，最好使用不同的ID和密码，这样才能不至于一个网站被拖库，尤其是支付宝、腾讯QQ等软件，起码要用与众不同的密码，到现在还有不少盗取QQ密码对好友进行话费诈骗的。

更进一步呢？EFF在棱镜门事件之后，推出了一个网站，叫做粉碎棱镜，这上面有很多免费软件……并且是多平台的，从手机到PC，常见的平台都有。

　　反棱镜的网站，有很多不错的软件与应用

当然，软件只是手段，更重要的还是人的意识。这其中的关键是，远离中国人做的应用，原因不多解释，大家都懂，在软件环境上，苹果AppStore严格的审查制度，要比安卓的各种分发渠道好太多。比如最近几天炒作的比较凶的某应用，是通过把大量的WiFi密码保存、共享的方式实现所谓的免费WiFi，这是一种相当危险的方式，一旦你家里的WiFi密码被共享出去，就意味着其它有这个应用的人，可以随便进入你家的WiFi，更进一步，他对你家庭网络和PC做些手脚，你可能也不知道。