PKI

一张纸、一支笔、一个签名——这曾是数百年间契约成立的最后一步。2024年，全球电子签名市场规模已达122亿美元，预计2035年将超过2900亿美元。当你在手机屏幕上划出名字时，发生了什么？为什么这个看不见的数字印记能与墨水签名具有同等法律效力？ ...

2012年，一种名为Flame的恶意软件在中东地区的计算机系统中悄然蔓延。它不仅使用了有效的数字证书签名，而且这个证书竟然来自一家知名的硬件制造商——宏碁的一家台湾子公司。安全研究人员最初以为自己看错了：一个经过微软Windows系统完整验证的、带有可信证书链签名的文件，怎么可能是恶意软件？ ...

2011年7月，荷兰证书颁发机构DigiNotar遭到黑客入侵。攻击者在两个月内颁发了531张欺诈性证书，涵盖了Google、Microsoft、Mozilla等多个顶级域名。这些伪造证书被用于对伊朗用户的Gmail进行中间人攻击——超过30万个伊朗IP地址的通信被截获。事件曝光后，所有主流浏览器在一周内将DigiNotar的根证书从信任库中移除。这家公司最终宣布破产。 ...

2014年4月，Heartbleed漏洞震惊全球。这个OpenSSL库中的缓冲区越界读取漏洞可能导致服务器私钥泄露，理论上需要立即撤销并重新签发所有受影响的证书。然而，马里兰大学的研究团队在三周后发现：超过73%的易受攻击证书未被重新签发，超过87%未被撤销。更令人担忧的是，撤销率在周末会显著下降——仿佛攻击者也会休息。 ...

2011年8月28日，一名伊朗用户在访问Gmail时发现浏览器显示的证书异常。这条看似微不足道的线索，揭开了一场影响超过30万人的大规模中间人攻击。攻击者不是破解了加密算法，也没有入侵Google的服务器——他们只是拿到了一张合法的证书。 ...