曹乙帆原本廣泛用於 SSL 安全連線的 1024-bits 金鑰,將於 2013 年全面停用並改成等級更高的 2048-bits 金鑰。屆時人們可以享受更安全的網路金融交易服務或敏感資料傳輸需求,但 Web 伺服器與應用服務,乃至相關基礎設施的效能都可能受到非常重大的影響。應用遞送網路 (ADN) 方案商 F5 Networks 表示,從 1024-bits 轉換 2048-bits 金鑰,將使得伺服器每秒交易量 (TPS) 之處理效能平均下降 5 倍之多。如此一來,今後維繫高安全性及高效能 Web 連線服務的成本勢必提升不少。
本文目錄
充滿安全漏洞及疑慮的 SSL
當前伺服器與端點瀏覽器之間的安全連線,多半是透過 SSL 加密保護來達成。 SSL RSA 加密金鑰的長度愈長,整個連線會更安全,但傳輸效能也會受到一定程度的影響。不過 2009 年美國駭客年會一些知名安全研究人員紛紛挖掘出 SSL 許多安全漏洞。其中,Moxie Marlinspike 即透過自行撰寫的 Null-termination 攻擊程式,成功地對 https 加密連結展開中間人攻擊 (Man-in-the-Middle) 。該工具可以將 HTTPS 連結的「S」字串去除掉,原本有安全加密保護的連結因此完全攤在陽光下。如此一來,駭客可輕易地對所有 SSL 加密連線,包括線上交易、 VPN 、電子郵件與即時通訊等,進行帳號密碼的竊取,抑或線上交易連線資訊攔截等攻擊,同時還可在合法加密的軟體更新下載連線中添加惡意程式。
此外,Dan Kaminsky 等人發現有為數眾多的 Web 程式還在使用 MD2 這個早被公認不安全的過時雜湊加密技術,同時並指出 x.509 PKI 認證系統被發現許多重大漏洞,用該系統來管理 SSL 憑證不合時宜也不夠安全。此外,駭客年會安全研究人員並曾在 2008 年找到可以偽造惡意數位憑證認證中心 (CA) 的漏洞。面對 MD2 的可能風險,VeriSign 也在 2009 年 5 月全面停止採用 MD2 演算憑證的核發作業,並全面改採更安全的 SHA-1 演算法。
 |
| SSL 金鑰長度主機效能衝擊一覽表 |
NIST 建議 2013 年前全面轉移至 2048-bits 金鑰
為瞭解決既有 SSL 的種種安全瑕疵問題,美國國家標準技術研究院 (NIST) 早在 2007 年 3 月出版的特刊 (編號 800-57) 中即建議,2011 年 1 月 1 日前的數位憑證應全面更換成至少 2048-bits 以上的 RSA 金鑰。相對於 1024-bits 金鑰來說,2048-bits 金鑰截止目前為止尚無安全疑慮,所以以其做為金鑰長度的最低底線,對於當前 SSL/TLS 產業生態體系的安全提升,多少會有立即性的幫助。
為了加快全面過渡至 2048-bits 金鑰的腳步,許多重要認證服務供應商早已展開相關作業。其中,VeriSign 自 2006 年起到 2010 年 10 月止,已完全將該公司公共根憑證認證中心從 1024-bits 金鑰轉換成 2048-bits RSA 金鑰。
VeriSign 子公司 GeoTrust 也表示 2010 年 6 月起只會核發 2048-bits RSA 金鑰。同一個時間,Entrust 也完成 2048-bits RSA 金鑰的移轉作業。
此外,網域註冊服務供應商 GoDaddy 也表示,今後全新或更新憑證只會採用 2048-bits 。同時,微軟旗下所有伺服器、瀏覽器與全新根憑證皆會採用 2048-bits 金鑰,不論微軟根憑證或所有端點實體憑證 (end entity certificates) 也會在 2010 年 11 月 31 日之後不再使用 1024-bits 金鑰。至於 Mozilla,則預計在 2013 年 12 月 31 日之前移除或停止所有小於 2048-bits 金鑰的根憑證。
由於 2048-bits 金鑰升級轉換的牽連太廣,為了讓整個轉換作業更加順利,NIST 在 2010 年 6 月發表的 Draft SP 800-131 特刊中表示,2048-bits 金鑰的轉換期限將延至 2013 年。總而言之,當前 1024-bits 數位憑證在尚未過期前仍可持續使用,只不過憑證更新或購買全新憑證時,就只有 2048-bits 的憑證可買。
SSL 金鑰長度增加影響遍及金融、電子商務及安全業者
F5 Networks 香港暨臺灣區總經理許慧嫻表示,從 1024-bits 金鑰轉移到 2048-bits 金鑰,不論是一般商用伺服器,抑或 F5 Networks 自家 BIG-IP 應用遞送系統控制器的 TPS 處理效能都會平均下降約 5 倍之多。至於 FIPS 標準等額外加密安全需求,可能需要另外的加密裝置,例如專屬的硬體安全模組 (HSM),才可為 Web 伺服器有效分擔與卸載 2048-bits SSL 連線運算的沈重負荷。由此可見,2048-bits 金鑰的採用,勢必會對現有 Web 伺服器、網路加速設備與負載平衡等應用傳遞加速方案,乃至 IDS/IPS 、防毒閘道器、郵件安全與 Web 應用防火牆 (WAF) 等安全防護方案的既有效能表現造成一定程度的影響。就產業層面而言,2048-bits 金鑰的轉移,勢必也會對金融業、電子商務、網路交易、跨國企業、政府、軍情單位、應用加速、網路優化及安全防護方案等企業組織與供應商造成或多或少的衝擊。
不可諱言的,對於專門以網路優化及應用加速為主力訴求的方案供應商來說,會有首當其衝的影響,原本較低階的產品因不敷所需,勢將面臨被迫提前下架的命運,對於原本以低價市場為主要定位的廠商比較會有致命性的衝擊。但就另一方面來看,2048-bits 金鑰的全面轉換,可能會帶動另一波網路及應用加速方案需求大增的新高峰,對於有提早準備的方案商來說,無異是一大契機。
 |
| 金鑰轉移效能升級方案比較表 |
可行因應之道
 |
| F5 香港暨臺灣區總經理許慧嫻 |
許慧嫻表示,F5 Networks 提供 BIG-IP 8900 、 11050 或 Viprion 等齊備的高階應用遞送系統控制器,可提供企業升級以因應更高等級的 SSL 安全與加速需求。值得一提的,對於有端到端加密需求的企業而言,所有 2048-bits 以上金鑰可以全交由 BIP-IP 設備負責,後端伺服器仍然可以延用 1024-bits 金鑰。此一做法可以讓整個 2048-bits 金鑰的過渡更加順利,同時也可降低內部伺服器的負擔與成本。
另一家應用遞送網路方案商 Citrix 也在近日推出全新的 NetScaler 設備,比起既有產品能提供 5 倍 2048-bits 金鑰處理效能。此外,企業當然也可購買 HSM 加密設備來因應超長金鑰的處理效能問題。例如 Thales nShield Connect 6000 可支援每秒 3000 次的 2048-bits 金鑰的簽章速度。對於企業來說,想要提升 2048-bits 金鑰處理的整體效能,不是添加伺服器運算能力,就是購買上述各種額外專用設備。也因為如此,額外的一筆支出恐怕免不了。不過,企業可以分別針對添加伺服器或購買專用設備的成本支出、管理效益與效能表現做一綜合比較。
目前台灣地區對於 2048-bits 金鑰即將全面轉換的相關討論少之又少,甚至負載平衡及安全方案供應商都表示對該議題尚未有任何充分瞭解及準備作業,彷彿前述種種可能的效能衝擊在台灣不會存在。 Check Point 台灣區技術顧問陳建宏認為,2048-bits 金鑰的轉換的確會對負載平衡與 SSL VPN 等既有設備效能造成影響,但金鑰的轉換絕對不會太快,一定會有充足的緩衝期供企業做準備。 UTM 大廠 Fortinet 台灣區技術總監劉乙也持同意看法,他並且認為一般企業的影響不會那麼快,即使是金融單位,也要等金管會有了動作再說也不遲。反而是 SSL 產業生態體系內的供應商比較會有影響,尤其對新產品的開發影響較明顯。國內伺服器負載平衡 (SLB) 設備商盒子軟體研發部經理葉佐桓表示,針對伺服器上不同長度金鑰的使用,都可以透過現有不同等級的 SLB 設備來做效能上的有效分配,所以前述問題不大。