Monthly Archive for January, 2010

當網絡安全核心機制遇到流氓政府

我不想談任何互聯網話題,但是這次(CNNIC根證書)事件已經直接威脅到我們所有人,我們不應該沉默。“通往朝鮮的路,是每一個沉默的中國人鋪就的。”——某推友。

基於非對稱加密技術的數字證書機制是互聯網安全的核心屏障,所有工業標準安全技術,包括https,S/MIME和ftps,都基於它。因為這道屏障,當我們用https瀏覽Gmail時,當我們用https使用Google Reader時,當我們使用在線SSL代理時,我們有理由相信,我們的隱私和通信不會被某獨裁政府、黨或它們的審查機構看到。現在,某流氓政府控制下的CNNIC正試圖在這道屏障下放置一個巨型核彈。

事實上,在這個流氓國家,SSL早已不是絕對安全的。當你使用網銀、支付寶之類服務時,銀行網站已經在你的計算機上安裝了根證書,而這個流氓國家政府、黨和它能夠控制的國內一切公司、機構和組織,都是不可信賴的。沒人可以確定,某一天這個獨裁政權會不會通過其能夠控制的根證書對一個普通公民或“異見人士”進行中間人攻擊。

除此之外,獨裁政權還有其它手段,它可以冒充身份向國外CA申請某域名的SSL證書,大多數CA提供一種“Rapid SSL”證書,這種證書申請只需驗證域名管理員郵件,全過程只需幾分鐘。竊取郵件可比竊取私鑰容易多了,特別是對這個人類歷史上最無恥、最流氓的政權和它龐大的統治機構而言。

然而,如果CNNIC成為操作系統和瀏覽器內置信任CA,這依然對我們網絡安全有無法想象巨大影響。

I.它使GFW和GOV竊聽SSL的成本降為0,並且幾乎可以攻擊所有操作系統和瀏覽器計算機。

II.雖然這種中間人攻擊很容易被發現,但對流氓政權而言這不是問題。某一天流氓政權可能會立法稱“國家使用CNNIC作為官方CA,對所有SSL通訊依法審查和管理”,把中間人攻擊合法化、普遍化,就像企業網關審查SSL的防火牆一樣。不要以為這是天方夜譚,我們本來就生存在局域網中。

III.另外,工信部、CNNIC等部委可能聯合出台規定,要求“所有在中國大陸運營的https網站必須使用CNNIC或其它國內CA簽發的SSL證書”,對境外網站SSL證書實行白名單制度,未備案的一律封鎖。——就像它們現在想採取的域名白名單制度一樣。(這一條很可能發生,搞不好某天CCAV就報道“淫穢色情非法網站利用加密技術逃避打擊,網絡專家表示,SSL證書領域亟待有效監管。”)

……

我曾不止一次感到何其幸運,互聯網一切不是中國發明的。雖然OSI模型和TCP/IP設計協議缺乏安全性考慮導致容易被流氓政府審查和阻斷,它依然建立了了一個開放的,分布式的,任何人、機構和國家不可能真正封鎖的Internet;雖然DNS協議是現在互聯網安全中最弱的一環,雖然中國已經有了許多根域名DNS鏡像服務器,整個互聯網基石——13台根域名DNS服務器——仍然全部在國外;雖然SSL/TLS協議有很多不足,它仍然是最好的安全技術,所有的瀏覽器內置根CA都是國外。——現在,我的最後一個慶幸可能要破滅了,流氓政府下屬機構正在威脅整個互聯網核心安全機制

 

然而,我們無須絕望,我們相信民眾的力量,相信自由是無法阻擋的。某流氓政權採取的一切審查措施必將隨着其本身一起滅亡。當這一天最終來臨——它必將來臨——時,中國網民必將感到欣慰——在幾十年里他們幾乎都在自由與專制鬥爭的第一線。

現在,你要做的是(如果你還沒有做),移除和禁用計算機所有操作系統和瀏覽器中的CNNIC根證書

附上一段慷慨陳述的話,來自 [email protected] 關於 Add CNNIC CA Root Certificate 討論里一位lihlii同學,它說出了所有中國網民、所有中國民眾、乃至全世界所有熱愛自由人們的心聲。

(更多中國民眾呼聲見這裡

1. Is it considered by CNNIC as "service on technology and research" to spread
malware with administrative power to spy on Internet users?

2. Is it considered by CNNIC as "service on technology and research" to ban
personal website registration in the .cn domain space [1][2][17]?

3. CNNIC banned the DNS resolving of a lot of independent websites, such as
bulllog.cn [1][2].  Is this considered by CNNIC as your way of "service" of
"registry for Chinese Domain Name"[4]?  Is this considered by CNNIC as "the
similar role as VeriSign"[4]?

4. Is CNNIC "qualified with the international criteria"[4] as a trustworthy
certificate authority?

5. Why did Liu Yan try to mask the real face of the PRC governmental nature of
CNNIC [5]?  Why did he even tried to hide the application by setting the bug
report to "Restricted Visibility"[6] at first?

6. Liu Yan said: "CA is a new operation for CNNIC to protect Internet
security"[5].  Is it considered by CNNIC as "operation to protect Internet
security" by spreading unremovable malware to spy on users' Internet activities
exploiting security flaws of the browsers, as CNNIC did [9][18]?

Liu Yan further claimed that "the WebTrust audit for government is much simpler
compared to company"[4].

So do you think CNNIC is a government or not?  If CNNIC is controlled by the
PRC government, why don't you dare to clearly admit it, but misled the readers
by posing as a "just offers service on technology and research" [4]?  What's
the motivation to hide the real identity of CNNIC? :)

Liu Yan(註:為在Mozilla社區發帖的CNNIC僱員) said: "There is no possible for us to monitor the user's actions or do
some attacks. I think every technical personnel knows that."[4]

Unfortunately, this is an arrant lie.  CNNIC not only DID "monitor the users'
actions" with intentionally spreaded malware [9], but also cooperated actively
with the PRC government to crack down independent blogs and websites
[1][2][17].  It's also highly possible that they may actively cooperate in MITM
attacks with such a government which attacked [15][16] its citizens, as well as
dozens of companies and many computers of foreign civil organizations and
government offices [10][11].

Further, Is PRC government a decent government?

Should a government put all their citizens in an information jail by building a
GFW (Great Firewall) [7][8][14] to block their access to Internet?
Should a government enforce news and speech censorship [14] on all the websites
including search engines to block criticism on the crimes they committed?
Should a government jail journalists and writers for their free speech [14]?
Should a government kill the college students and citizens with guns, and roll
over the bodies of college students with tanks? [19]
Should a government cheat the world by hiding information about SARS and
melamine contaminated milk[3] which caused repetitive man-made disasters, and
further punish those who told the truth?

Is this PRC government a real government, or is it a maffia group? :)

Liu Yan claimed that the CNNIC is a subordinate of "Chinese Academy of
Sciences".  Let's take a look at what kind of "research" the "Chinese Academy
of Sciences" has done before. :)

The Institute of Acoustics, Chinese Academy of Sciences closely cooperated with
the PRC government in Internet censorship.  Same as CNNIC which "takes orders
from the Ministry of Information Industry (MII)" [26], they developed some
natural language machine understanding algorithms for Internet text censorship
[25].  The target of their research is to distinguish speeches of the opponents
of the government from those of the proponents, which general keyword based
filtering can't achieve.  Their "research" was already deployed in the
censorware "Green Dam"[22][23], which was orderd by the MII to be installed on
each new PC in manufacturing process.  Although this plan failed, they must
have started some other plots to achieve the same goal.

Jonathan: might well yank trust for any CA that was complicit in MitM attacks.

Does the word "was" mean that until the MitM attack happened, any organizations
can put their root CA certificates in Firefox provided that they can buy
endorsement "services" from accountant companies like Ernst&Young [1] to
acquire "trust" from webtrust.org?

The real concern of many Chinese programmers is not about "was", but "may", as
CNNIC already "DID" quite some dirty things before!  Now it's a new capability
that the inclusion of root certificate of CNNIC will grant to the PRC
government.

Anyway, since they already got secondary CA certificate issued by Entrust.net,
adding CNNIC as root CA is not introducing more problems. <strong> But this discussion
is an alert on the trust model of PKI when we face a rogue government and their
minion organizations.</strong>

We should improve the browser to ask for permissions from the end users to
grant trust to each root CA when it's used in each session (not only at the
first time), clearly display the certificate signing path, and warn them of any
change in certificates (to be alert of a MitM attack).  This seems paranoiac
but it's because we're facing real threats of attacks from a powerful rogue
government, from which even big companies like Google and well equipped
government offices suffered.

The security model of SSL was practically in danger because of the design flaws
 of the browser to place blind trust on root CAs without consent from the
users.  Since the CA certificates of rogue government agencies were added, we
should consider Firefox as a rogue government controlled browser in the default
configuration.

自由世界的光榮與夢想

現在,百度搜索“非法獻花”居然也顯示“搜索結果可能不符合相關法律法規和政策,未予顯示。”外交部發言人仍然十年如一日重複着可能連她自己也知道是皇帝的新衣的話:“中國互聯網是開放的。中國政府按照國際慣例依法管理互聯網。”稱,15日Google與中國政府談判破裂,谷歌中國正式解散。

我翻出了一篇文章,是羅納德里根總統1987年在勃蘭登堡門下的演講,這是在約翰肯尼迪總統24年之後,又一位美國總統來到柏林牆,對全世界演講。里根總統在這篇演說里發出了著名的呼籲,戈爾巴喬夫先生,推倒這座牆。

演說中講到:

“五十年代,赫魯曉夫曾經預言:"我們將埋葬你們。"然而在今天的西方,我們見到的是一個自由的世界,達到的繁榮和富足水平為人類歷史上前所未有。在共產世界,我們則看見失敗、技術退步、健康水平下降、甚至於基本物資的匱乏–食物不足。即使在今天,蘇聯還不能糧食自給。經過這四十年,一個偉大而無可逃避的結論展示給整個世界:自由帶來繁榮。在和平合作的國家,自由取代了自古以來的仇恨。自由是勝利者。”

今天的中國情況有所不同。雖然在冰山表面下的人權壓迫、社會矛盾和財富不均已經到極其嚴重地步,這個國家仍是世界發展最快的新興市場。大多數民眾的生活水平,按照中共的話說,自“建國以來,特別是改革開放30年以來有了天翻地覆的變化”。

這絕不是值得驕傲的事情,要知道,1979年以後中國的高增長率是建立在極低的基準值上。當時的中國經濟連官方也承認到了崩潰的邊緣,大陸人民生活水平比起民國時期猶未不如,這之前30年,歷屆政治運動造成大量非正常人員死亡,如今美國華盛頓DC樹立了“共產主義受難者紀念碑”(Earth:38°53’54.65"N,77° 0’43.41"W 或 直接搜索該詞),以紀念一億以上共產主義受難者,其中有半數多,我想,是1949年後無辜受難的中國人。中華人民共和國的前三十年就全部充滿着這樣的政治運動、人權迫害和其它文化、文明、社會的人為的多災多難。而後三十年的經濟增長則是從極低的初始點開始的,並且自始至今伴隨着極高能耗單位產值、環境污染、財富不均、機會不公和公權力階層的集體腐敗和道德淪喪。這樣的建國60年,根本談不上任何一點成就。

然而,中國仍然已成為世界上一個重要經濟體。在許多不明真相人甚至國家眼中,中國速度令人羨慕。假如事實是這樣,這將是很危險的一件事,共產主義的政治文明是與人類理想背道而馳的,迄今為止我們看到的共產主義和社會主義全部政治特徵是極權統治、缺乏民主、民眾沒有基本的自由和人權。如果這樣的政治環境下也能搞好經濟,這是對整個人類價值觀的挑戰:你可以沒有人權,但你也可以發展經濟。這句話的另一種表述是,只要經濟搞的話就可以殺人。再想想,這個邏輯卻似乎可以解釋中共政權的經濟成就,那就是無視人類文明普世價值和基本人權,野蠻式、掠奪式、侵略式經濟發展。

自由世界的光榮和夢想是,已經實現的大部分歐洲和北美國家的憲政、民主和自由體制,以及把這些理念推及到全世界,幫助其它國家擺脫極權統治威脅,加入到自由的行列中。今天承擔這項任務的,不僅有美國和西方各國的政府,還包括各種NGO組織、民間力量、獨立媒體、國際組織,還有始終堅持不作惡的Google——致力於讓所有人都能自由地獲取信息。Google的Slogan中含有崇高的道德理念,並且它確實在努力踐行這一標準。人們把Google看作互聯網文明的代表,在這樣一個商業公司身上,我們看到了網絡自由特徵的全部內涵,和我們追求的所有最有價值的東西。

Hello world!

作為一個計算機專業畢業的人,按照慣例,第一篇文章保留”Hello world”的標題,向前輩致敬。

這不是我的第一個個人站點。建立這個網站(現在而言也可叫Blog),是為了讓自己有一些改變,試著實現自己最近的一些想法。尾大不掉,很多事情,必須重新開始,才能有新的機會,新的挑戰,新的命運。

這個站點只有一個域名:。並且沒有任何子域名。服務器位於美國。

本網站使用SSL加密,所有內容強制要求使用https訪問——這是我的第一個想法:為了抵禦各種各樣的網絡審查、防火墻、嗅探和其它形式流量分析對我們隱私的侵犯,所有的互聯網協議都應該加密。雖然在數字時代保護所有個體的隱私是非常復雜的問題,傳輸層加密至少提供的最基本的保障——讓網站和訪客之間的通信不會被政府、網管、黑客或其它人看到。

如果你意識到隱私是極為重要的,那麼你不僅應該關心保護自己的隱私,也應該關心保護別人的隱私。——這其中的道理是很明顯的。美國波士頓猶太人屠殺紀念碑上刻著一位叫馬丁.尼莫拉(Martin Niemoller  )的德國新教牧師留下的短詩。尼莫拉曾是納粹的受害者,這首詩這樣寫道:

“起初他們追殺共產主義者,我沒有說話;
接著他們追殺猶太人,我沒有說話;
後來他們追殺工會成員,我沒有說話;
此後他們追殺天主教徒,我沒有說話;
最後他們奔我而來,卻再也沒有人為我說話了。”

(有刪節)

這個道理告訴我們,如果我們在別人的隱私遭到侵犯或可能被侵犯的危險時沒有給予幫助,那麼當你的隱私遭到侵犯或可能被侵犯的危險時就沒有人能幫助你。推廣來說,這和“只要一人被奴役,所有人都不自由”是同一個邏輯:如果一種暴政、奴役或不義可以發生在某個人身上,那麼它就可能發生在我們任何人身上。馮正虎、劉曉波就是警鐘。

正是出於對(自己和所有其它人)隱私的重視,我在這個新網站里完全採用了https。所有的http請問都會被重定向到對應的https頁面。我還想通過此行為表達這樣的觀點,那就是在專制與極權統治面前,我們不害怕,我們不放棄,我們每天都在努力,不放過任何細微的機會,盡一切可能,力圖推動社會民主、公義與公民自由和人權的發展。