1993年,《纽约客》(New Yorker)刊登了一幅著名漫画。这幅漫画上画了两只狗,其中一只狗坐在电脑前,爪子放在键盘上,低头看着他的同伴,汪汪叫道:“在互联网上,没有人知道你是狗。”这是一幅很棒的漫画,狗可以在我们不知情的情况下使用互联网,这不是很有趣吗!然而,这幅漫画出人意料的成功之处在于,它以一种看似无害的方式捕捉了一个罪恶的真相。
(还没有看过这幅漫画的可以去搜一下,不得不说,思想真的很超前!)
狗虽然聪明,它们能从沙发下找出香肠,但缺乏使用键盘的能力。虽然我们很希望狗也可以上网,但是它们不在网上。那么,谁在?
想想这个故事:克洛伊今年12岁,是一个社交媒体平台的超级粉丝,这个平台允许用户在手机上轻松地录制和分享他们自己的短视频,随着他们最喜爱的艺术家舞蹈片段而起舞。她所有的朋友都有账户,他们几乎每天都发帖子。幸运的是,克洛伊是一个聪明的女孩,她的父母都意识到社交媒体和互联网存在一些潜在危险。他们建议她只与她现实世界中的朋友分享视频。克洛伊不允许“朋友的朋友”看到她的作品,因为父母跟她说,她的朋友可能不会像她那样小心地选择谁可以看到他们的视频。一切似乎都很好,直到一天晚上克洛伊的父母审核她的社交账户。
“你只是在和你的朋友分享视频吗?”他们问。
“是的。”克洛伊回答。
“这些都是你在现实生活中认识的朋友吗?”
“是的,差不多都是,”克洛伊回答。“有一只狗,它真的很有趣,它有自己的账户,所以我在关注它。它的视频很棒,你想看看吗?”
“或许过一会儿会看,”她父母说。“但你和这只狗是朋友吗?”
“嗯,”克洛伊承认。“我在关注这只狗,这只狗问它能不能加我为好友,所以我答应了。我的意思是,它是一只狗,它的视频非常非常有趣,这是我最喜欢的一个视频……”
这是《纽约客》那幅漫画背后的真实情况,在互联网上,并不是每个人都会足够认真地去考虑“你不是狗”这一事实意味着什么。
(上面这个故事也在提醒孩子家长,多多关注一下孩子的社交动态,不要忘记保护孩子的网络安全!)
那么,到底谁在网上呢?
想想你每天在网络空间做的事情。在你做之前,无论是明确回答还是只是想想,你必须回答诸如以下问题:你现在是否有账户?你已经注册账户了吗?事实上,即使是首次访问网络空间,通常也需要回答这样的问题。你有没有想过为什么?
需要身份验证的一个原因是,我们在网络空间所做的大部分事情都或多或少与商业服务有关。网络空间可能是一个无形、抽象的概念,但它是由人们运营的设备、网络和服务所组成的,所有这些要素都需要耗费成本。
即使是看似免费的网络服务也是需要付费的。我们几乎总是要注册免费服务,我们获得“免费服务”的途径是提交个人信息并让自身暴露在商业广告中。这些服务供应商需要知道谁在网络空间,收集用户信息以便记录用户特征,然后投放广告。
需要身份验证的另一个原因是,网络空间的大部分信息都是为特定受众准备的。如果每个人都知道一切,那么很少有工作场所能顺利运转。在政府和军队的敏感部门,严格控制信息访问尤其重要。希望你已经配置了社交媒体账户的隐私设置,来控制谁看到了什么。在网络空间,明智的数据拥有者需要先知道谁在网络空间,再决定是否向他们发布数据。
所以,如果腊肠狗不在网络空间,那么谁在那里?网络空间许多活动的安全性取决于我们回答上述问题的精确性。问题在于,在网络空间获得准确答案非常困难。如果我们能够有十足把握去回答这个令人烦恼的问题,那么聊天室、社交媒体网络、在线约会服务将会有更加安全的环境。
人与机器如何区分?
身份验证过程试图确定谁在网络空间。身份这个词是有意抽象化的概念。身份验证的方式,至少在一部分上,取决于该身份是由心脏的跳动控制还是由微芯片的时钟驱动。
让我们考虑一种物理世界的身份验证方式。一名旅客到达边境控制点。边境官员必须决定是否允许旅客入境,旅客被要求出示护照。
护照是包含一系列物理安全机制的文件。现代护照以全息图、特殊墨水和计算机芯片为特征,并包含被签发人相关的生物特征信息。这些机制旨在使护照难以伪造,并将护照与指定的持有人绑定。如果护照看起来是有效的,而且旅客看起来就是护照的指定对象,那么边境官员就会让旅客入境。重要的是,边境官员考虑的是人与护照两者的结合。边境官员不太可能接纳一个兴高采烈地宣布姓名但没有护照的旅行者,就像他们不太可能批准一个虽然提交有效护照但头上戴着纸袋的人一样。
在网络空间中,很容易创建类似于承担护照功能的身份象征(令牌),你对于使用密码、银行卡号或其他安全令牌来访问网络空间的服务已经十分熟悉了。在经过一些管理流程后,有时只需提供一个电子邮件地址,就可以将你链接到特定的服务。在网络空间中,出示令牌相对容易,但要证明令牌持有人的身份要困难得多。唉,在网络空间里,我们的头上都有纸袋。
当然,身份验证并不总是那么重要。边境控制涉及允许真实的具有血肉之躯的人入境,他们是谁就很重要。对于我们在网络空间所做的大部分事情来说,这相对不那么重要。网络零售商可能很想知道是谁在使用网站,以便能够给用户的行为画像,它可以从访问者数据中获得价值,而无须准确识别每个浏览其网页的人是谁。
所以,在网络空间中身份的重要性并不总是显而易见的。如果一家移动运营商想知道把账单寄到哪里,移动运营商想要认证的身份是账户持有人,而不一定是使用电话的人,当父母为孩子购买手机时就是如此。与之相反,手机拥有者不希望在火车座位上捡到丢失手机的陌生人能够使用该手机,他们更关注的是谁可以使用手机。
更令人困惑的是我们自己对谁在网络空间的看法。我们经常有这样的印象,即人类在网络空间中直接交流,计算机只是极为普通的交流工具,然而,这在很大程度上是一种错觉。
网络空间发生的一切实际上都是计算机之间的交互,在大多数情况下,一台计算机与另一台计算机进行通信。认为人类处于网络空间互动的终端的看法有点危险,因为通常不是这样。即使你的手机在你手中,它也能做各种不寻常的事情,而不需要询问你的意见。这些事情在大多数情况下都是可接受的,也是我们需要的,比如检查更新或检索服务器的信息。然而,如果你不小心的话,你的手机肯定也有能力清理你的银行账户,并将余额汇给陌生人。
即使人类明显参与数字通信,问题也来自这样一个事实,即(至少现在)人类不是计算机,计算机也不是人类。每次你与网络空间互动时,严格地说处于通信线路终端的并不是你,而是你的计算机。
当你按下键盘上的符号之后,计算机将接管整个过程。人类将不再是这个过程的一部分。一系列不可见的操作将会发生,在将数据提交到计算机上运行的应用程序之前,计算机首先需要将键盘所输入的字符与数字代码进行匹配。如果你的计算机工作正常,那么一切都是美好的。但是如果你的计算机被恶意软件(一种不受欢迎的程序,如计算机病毒)入侵,那么你的计算机可能会做一些你不想做的事情。例如,你的计算机可以存储你键入的内容,并将此信息发送给监视你活动的人。它还可以抑制或更改你键入的信息,从而发送不同的电子邮件。你可能就在旁边,但真正重要的是你的计算机做了什么。
计算机的行为可能与人类期望的不同,或执行了人类用户所不知道的任务,这些是攻击者经常利用的方式。我们无法修补人与设备之间的这种间隙,只能以某种方式加强管理。你无疑会遇到一种叫作captcha(这个术语源自短语“全自动区分计算机和人类的图灵测试”)的方法,这种方法通过设置目前机器执行效率较低的任务来测试人类的存在,例如判断哪些字母是由几乎难以辨认的曲线表示的,或者一系列照片中哪张可能是商店建筑物。无论你喜不喜欢这个测试,人类和机器之间的区别需要captcha来判断。
《密码学:数字经济的基石》揭示了密码学对整个社会的重要性,告诉我们网络安全的重要性。对密码学前世今生感到好奇的朋友、对加密技术(DES、AES、非对称加密等)感兴趣的朋友、对加密货币感到疑惑的朋友,欢迎阅读此书。
*本文摘自《密码学:数字经济的基石》一书。
部分图片来自网络,侵删
↓↓↓点击阅读原文,收获《密码学:数字经济的基石》