观点

2013年4月26日
第11卷，第4期

已解决：互联网不是关键基础设施的场所

风险是依赖的必然结果

Dan Geer

什么是关键的？在多大程度上，关键性被定义为原则问题，又在多大程度上被定义为操作问题？我正在区分我们所说的和我们所做的。

主流媒体喜欢将聚光灯投向任何他们可以贴上“伪善”标签的东西，《韦氏未删节词典》对“伪善”的定义是

假装不是自己或拥有自己不拥有的原则或信仰的行为或实践，特别是虚假地表现出美德

因此，我提出的辩论主题可以重新表述为呼吁，对“互联网是关键基础设施”的说法发出“伪善！”的指责，无论是直接的还是通过在其上或之上运行的应用程序的传递闭包。如果这种说法是真实的，那么我们的信仰和实践之间的分歧必然会更窄（我所说的我们指的是我们每个人，无论是单独的还是集体的）。

也许我正在回应一位自由放养的牧场主对美国西部带刺铁丝网、道路和土地所有权的到来有何感受。西部伟大的牛群迁移持续了 20 年，然后其他类型的进步使其成为不可能。商业互联网流量大约在 20 年前开始，CIX（商业互联网交换中心）将 PSInet 和 UUNet 互连起来。

回顾温斯顿·丘吉尔的名言“我回顾得越远，我就能看得越远”，要么建立在端到端原则之上的互联网自由的广阔开放范围必须消亡，要么我们就必须选择不允许我们生活的关键基础设施依赖于互联网。自由和可靠性现在处于对立状态。

将互联网视为霍布森选择：要么你接受它，包括所有的缺点，要么你什么也得不到。根据皮尤研究中心互联网与美国生活项目：¹³

五分之一的美国成年人不使用互联网。在不使用互联网的成年人中，几乎一半[表示]他们不上网的主要原因是他们认为互联网与他们无关。

对于那些在面对关于互联网的“要么接受要么放弃”的命题时，选择“放弃”的 10% 的人来说，互联网并没有被认为是令人向往的，并且对于他们中的一些人来说，可能是令人不快的。

选择退出几乎不是一种选择

我从未购买或拥有过电视。如果你选择退出电视，不会有社会谴责；这仅仅是一个选择。不屑于使用互联网的 10% 的人口肯定类似于不认为有任何理由使用电视的人口比例。但是他们可以拒绝互联网，并让它仅仅是他们选择不做的事情，因此对他们的生活无关紧要，就像电视对我的生活无关紧要一样吗？

不。即使你住在土路的尽头，但仍然偶尔购买钉子或汽油，也不可能在生活中不严重依赖互联网。与电视不同，即使你想拔掉插头，你也无法与互联网断开连接。如果你依赖于那些依赖电视的人，那又怎样？但是，如果你依赖于那些依赖互联网的人，那么你也是如此。关于电视的依赖性不是传递性的。关于互联网的依赖性是传递性的。

由于对互联网的依赖性是传递性的，那些选择“放弃”的人仍然依赖它，除非他们过着前工业时代的生活。拒绝者依赖于非拒绝者仅仅是一个事实。

但是拒绝者确实有影响——他们现在是一种故障保护装置。如果我们开始惩罚拒绝者——也就是说，强迫他们放弃他们的拒绝主义——我们将放弃一部分社会韧性。

为了说明这一点，我在富达投资公司有一个 401(k) 账户。富达不再接受客户的书面指示；它只接受通过互联网或作为拒绝者的后备，通过电话的指示。它根本不接受债券纸上的规范墨水签名。我给富达寄了纸质信件，其代表以电子邮件回复说就是这样（尽管我应该注意到我从未给过他们我的电子邮件地址）。富达的立场是，其审计师批准了该方案。我的立场是，“你的审计师为你工作，而不是为我工作。” 那些电子邮件信件不包含数字签名，而且，在任何情况下，电话通话的等价物是什么？富达仍然从我一直写信的同一邮寄地址发送纸质账单。

我使用一家小型本地银行。我给它发了一封信，声明由于我不会使用在线服务，我希望银行关闭我对我的帐户的访问权限，并且如果有人试图使用以我的名义等待的未初始化帐户，请发出警报。银行没有任何争论就同意了。这不是常态。尝试一下，就像我所做的那样，向薪资服务巨头 ADP 旗下运营名为 iPay 的在线获取 W2 服务的部门提出相同的请求。它会拒绝。

爱沙尼亚是互联网依赖程度最高的国家，⁷ 爱沙尼亚的自豪感完全是有道理的。它的依赖程度恰好不适合我：我想保留选择退出直接依赖互联网的能力——也就是说，选择退出作为风险根源的依赖。我的意思是这比偏好更强烈，但比最后通牒更弱。

在一个自由社会中，凡是没有被禁止的都是允许的。在一个不自由的社会中，凡是没有被允许的都是禁止的。奥巴马医改部署政府对武力的垄断，以集体化疾病的下行风险。正如强制集体化疾病的下行风险有其乌托邦式的支持者一样，强制集体化互联网暴露的下行风险也是如此。

爱沙尼亚在有意依赖互联网方面遥遥领先于几乎所有人；中国在强制集体化中国公民使用互联网的程度和方式方面遥遥领先于几乎所有人。作为主权国家，前者是爱沙尼亚的权利，正如后者是中国的权利一样。我两者都不想要，即使我必须承认，当各国决定其特定依赖组合时，互联网将被大大地巴尔干化。互联网将永远不会再像今天这样自由。

2002 年，哈佛大学贝斯以色列医院发生了全面的计算机故障。⁶ 该事件是严重的且出乎意料的，并且复杂性阻碍了恢复。有可能退回到手动系统挽救了局面，而那些能够舒适地在没有网络依赖的情况下工作的人实现了这种可能性，因为他们年纪足够大，以前这样做过。

风险是依赖的后果。由于共同的依赖性，社会对互联网的总体依赖性是无法估量的。如果依赖性是无法估量的，那么它们将被低估。如果它们被低估了，那么从长远来看它们将不会变得安全，而只会是短期的。随着风险变得越来越不可能出现，事件之间的时间间隔将越来越长。随着事件之间的延迟增加，安全已经实现的假设也将增加，从而助长了现在正反馈循环中不断增加的依赖性。容纳拒绝者保留了替代的、不太复杂的、更持久的方式，因此限制了依赖性。限制依赖性是理性风险管理的核心。

共模故障

用统计学的语言来说，共模故障来自被低估的相互依赖性。引用美国国家标准与技术研究院的话：⁹

[R]冗余是在无故障环境中不必要的功能能力的提供。冗余是必要的，但不足以实现容错.... 当故障传播到系统的外部边界时，系统就会发生故障。容错的目标是拦截故障的传播，从而避免故障的发生，通常是通过用冗余功能代替受特定故障影响的功能。偶尔，一个故障可能会影响足够多的冗余功能，以至于无法可靠地选择非故障结果，并且系统将遭受共模故障。共模故障是由单个故障（或故障集）引起的。如果计算机系统依赖于单一的电源、冷却或 I/O 来源，则它们很容易受到共模资源故障的影响。更隐蔽的共模故障来源是设计缺陷，该缺陷会导致同一软件进程的冗余副本在相同条件下发生故障。

最后一部分——“更隐蔽的共模故障来源是设计缺陷，该缺陷会导致同一软件进程的冗余副本在相同条件下发生故障”——正是这种故障类型可以被复杂性所掩盖，正是因为复杂性确保了被低估的相互依赖性。

这使我们想到了关键基础设施以及关键基础设施通过互联网的互连。引用克林顿政府 1998 年 5 月 22 日发布的《关键基础设施保护政策》

关键基础设施是那些对经济和政府的最低限度运行至关重要的物理和网络系统。¹¹

“对最低限度运行至关重要”并不意味着要求装甲能够偏转所有子弹，而只是没有子弹是瘫痪性的。第二次世界大战盟军的伟大胜利之一是使用 800 艘“小船”将 338,000 名士兵从敦刻尔克海滩撤离，这是“对最低限度运行至关重要”这一短语的典范。

互联网是一个网络集合，其主要协议旨在容忍随机故障和避免共模故障。这在实践中已经得到证明。² 然而，它并非旨在抵抗有针对性的故障，这与同时为抵抗随机故障而设计是无法同时实现的。¹

在一个充斥着日常生活中重要部分的互联网中，共模故障的可能性绝非无稽之谈。奥巴马政府广泛致力于增加对互联网的依赖，最显著的是在两个方面：电子健康记录和所谓的智能电网，这两者都可以说是“对经济和政府的最低限度运行至关重要的”。与大多数花园小径一样，两者都可以产生极其有用的结果，对此的渴望是合理的。两者都说明了我的观点。

电子健康记录依赖于电力、网络、计算机、显示器以及大量安全功能的平稳运行，特别是当它们与跨多个实践保持一致性有关时。¹² 智能电网几乎依赖于我们现在对电力的所有了解，包括良好时钟的绝对必要性、在远处完美运行且保证不会谎报其状态的各种工业控制，以及另一组安全功能。这两者都涉及新的共模风险暴露水平。对于那些还记得没有它们的人来说，放弃它们的好处会更容易。

每一种新的依赖都会增加下行风险的幅度、附带损害的可能性以及以前从未意识到的相互关系的暴露。忘记银行吧，互联网才是大到不能倒的。虽然没有实体可以救助互联网，但没有哪个发达国家不在开发扰乱其潜在对手互联网使用的方法。一个国家能够指望做到的最多是保护其境内的互联网——正如爱沙尼亚在遭受俄罗斯攻击时所证明的那样——尽管在某种程度的跨境互连中，“境内”的概念本身就失去了意义。

为可容忍的故障模式设计正是安全工程从根本上来说所要做的。你没有想到的故障模式不会在你的设计中；因此，它是否可以容忍将取决于其他因素。那么，问题是，可以设计可容忍的故障模式吗？也就是说，可以将以前不可能的故障模式添加到系统中，从而排除更大的、无法容忍的故障吗？在网络关键基础设施中，是否有类似于重型机械传动系统中的剪切螺栓的类似物？

没有任何国家、政府或人民需要针对不可能的事情制定规则。我们对以前不可能的事情的迫在眉睫的依赖创造了真空，随着时间的推移，那里将不得不有规则。正如芝加哥市长拉姆·伊曼纽尔所说，在危机时期更容易制定规则，因此必须“永远不要让一场好的危机白白浪费”。作为一种观察，他是对的；作为一种正直，他是错的。在成为美国第四任总统的十一年前，詹姆斯·麦迪逊说

“也许这是一个普遍真理，即国内自由的丧失应该归咎于防范来自国外的真实或虚假危险的措施。”

人们想知道麦迪逊对一个国外已经完全失去意义的互联世界有何感想，至少对于依赖互联网的关键基础设施而言，如果不是对于国界而言。我的猜测是麦迪逊会认为互联网本身就是“国外”。因此，我们的关键基础设施现在是另一个国家，我们需要保护它，代价是失去自由。

我之前曾谈到过，在安全方面让人参与其中是故障保护还是责任。³ 我不会在这里重述这些论点，但我将给出我的结论：一个好的安全设计将人从循环中移除，除非它不能，并且当它不能时，明确说明这一点。将人置于循环中——也就是说，从自动化退回到人工——已被证明是一项突破性的精妙之举。

公众“自愿”将其未使用的计算能力贡献给僵尸网络主，这在历史上反映了过去海军新闻界如何填补英国海军的名单，但这与一项正式授权——如果你有医疗记录，这些记录应该是电子的，或者如果你接收电力，电表应该是监控工具——有何有意义的区别？这与发现合规审计师已向远程监管机构证明，无需接受详细说明金融客户意愿的签名纸质信件有何不同？

安全代价是什么？

安全是可靠性的必要但不充分条件。因此，将不安全（因此不可靠）的东西连接到重要的东西，并期望这种混合物是可靠的，是十足的愚蠢行为。正如网络安全专家马库斯·拉努姆所说，“一个可能被外部人员导致做出非设计行为的系统在任何意义上都不是‘可靠的’。” Sergey Bratus、Meredith Patterson 和 LANGSEC（语言理论安全）的其他人在进行的工作产生了值得完整引用的见解：⁸

语言理论方法将互联网不安全流行病视为网络堆栈所有层以及其他类型软件堆栈中临时输入处理编程的结果。LANGSEC 认为，获得能够接收不受信任输入的值得信赖的软件的唯一途径是将所有有效或预期的输入视为一种形式语言，并将相应的输入处理例程视为该语言的识别器。识别必须是可行的，并且识别器在所需的计算能力方面必须与语言匹配。

当输入处理以[一种]临时方式完成时，事实上的识别器，即输入识别和验证代码最终分散在整个程序中，与程序员对数据安全性和有效性的假设不符，因此为利用提供了充足的机会。此外，对于复杂的输入语言，完全识别有效或预期输入的问题可能是不可判定的，在这种情况下，再多的输入检查代码或测试都无法确保程序的安全。许多流行的协议和格式都落入了这个陷阱，这是安全从业人员都非常熟悉的经验事实。

从历史悠久的最小特权的角度来看，... 计算能力是特权，并且应该像任何其他类型的特权一样尽可能谨慎地给予，以减少攻击面。我们称之为... 最小计算能力原则。

我们注意到，最近常见协议的发展与这些原则背道而驰。我们认为，这预示着未来的道路将是坎坷的。特别是，HTML5 是图灵完备的，而 HTML4 则不是。

几乎我们与关键基础设施的网络接口中的任何东西都不能满足 LANGSEC 的测试。将关键基础设施的网络接口连接到互联网完全保证了错误。这种错误可能是小概率事件，但概率事件最终会发生。如果我们特别不幸，这些错误将不会及时出现。

关于是否授予总统互联网“关闭开关”的权力，已经有很多讨论。如果由于无法估量的相互依赖性，无法区分敌友，那么这在某种程度上是合理的。如果在入境飞机上发现有人患有天花，那么乘客和机组人员将被隔离，作为公共卫生措施，直到他们每个人都可以分别被证明没有疾病。许多重要的企业，公共和私营企业，对入境电子邮件的隔离力度几乎与隔离入境 DHL 包裹一样。逻辑是合理的。时间尺度是人类的。

我们中间有，并且我们容纳了与世隔绝的社群，例如阿米什人。如果发生粮食危机，受影响最小的将是阿米什人。我们中间也有新勒德分子，他们知道机器将走向何方，并在此基础上很可能模仿他们的祖先。阿米什人只是希望不被打扰。在我们这个日益互联的世界中，是否没有空间留给那些选择仅仅不被打扰的人，在这种情况下，选择不参与互联网社会的人？那些不参与的人是否应该不让他们的各种交易暴露于依赖于互联网应用程序可靠性的关键基础设施？

美国投射力量的能力取决于信息技术，因此，网络不安全是至关重要的国家安全风险。⁴ 抛开互联网“关闭开关”不谈，国家当局禁止互联网服务提供商传播 telnet、SSH v1 或其他已知不安全的协议是否明智？如果不是，国防工业基地的网络组件是否应该被禁止接受此类连接？其中存在自由与可靠性的冲突——如果不是自然的政策。这里也有直接的历史呼应；1932 年，那个时代最重要的政治评论员沃尔特·李普曼告诉罗斯福总统：“情况危急，富兰克林。你别无选择，只能采取独裁权力。”

再说一遍，当 10% 的人口在互联网中看不到任何对他们有用的东西时，我们是否应该尊重这种愿望，并确保像阿米什人一样，他们有一种选择退出的方式，而无需住在山洞里？我们是否应该为他们保留人工手段？

我说是的，我说说是的，因为保留人工手段保证了一种后备方案，它与相互关联、相互脆弱的互联网世界的其他部分没有共模故障。

我和我的同事运营网络安全指数。⁵ 我们的受访者都对网络安全负有直接的运营责任。该指数正在上升——也就是说，专家表示风险正在累积，就像可燃木材在落基山脉东坡累积一样。这是一个基于形式化指标的支持，表明“我们”跑得不够快，无法留在原地；因此，保留后备方案至关重要。

国防部思想家们也同意；他们的目标不再是入侵防御，而是入侵容忍。如果我们要对互联网实体进行循证医学实践，我们首先必须承认昂贵的疗法并不总是答案。如果每个人的生命都是无限宝贵的，那么就无法实践具有成本效益的医学。也许你可以提出一个类似于“质量调整生命年”的网络类比，并帮助我们所有人决定何时治疗、何时姑息治疗以及何时接受死亡。

以下来自国土安全观察博客的想法可能是时机已经成熟的想法：¹⁰

我们许多人——私人公民以及公共安全机构——所采用的不足且无法容忍的设计是对即时信息的依赖。

我二十多岁的孩子们很少进行任何有意义的预先计划。他们期望手机、短信、Facebook 和电子邮件能够让他们抓住最好的机会。它奏效了，我羡慕他们。除非它不起作用。除非这些数字网络发生故障。

我们的大部分消费文化都是围绕相同的方法构建的。我们已经成为一个为即时性优化的经济体、社会。它可以是一场美好的舞蹈，美妙的可能性在一瞬间涌现，并在时间和空间上迅速同步。直到音乐停止。

...人们普遍对保护性设计和有效沟通的故障安全能力过于自信。[T]设计偏差增加[了]风险暴露，沟通令人困惑或更糟，并且设计和沟通协议都使一旦风险[被]经历，有效的人工响应变得复杂。

总结

风险是依赖的后果。由于共同的依赖性，社会对互联网的总体依赖性是无法估量的。如果依赖性是无法估量的，那么它们将被低估。如果它们被低估了，那么从长远来看它们将不会变得安全，而只会是短期的。随着风险变得越来越不可能出现，事件之间的时间间隔将越来越长。随着事件之间的延迟增加，安全已经实现的假设也将增加，从而助长了现在正反馈循环中不断增加的依赖性。如果关键基础设施是那些对经济和政府的最低限度运行至关重要的物理和网络系统，并且如果领先的网络安全运营管理部门表示风险正在稳步增长，那么我们是将更多的集体力量转移到强制执行将严重不经济的安全改进上，还是保留各种后备方案以应对随着时间推移似乎更有可能发生的事件？

“用完它，磨损它，让它发挥作用，或者没有它也行”对我们有任何意义吗？集中权力是答案，还是避免进一步依赖是更好的策略？我们能否想象在任何真正的意义上重新开始，或者巴尔干化不仅适用于国家，也适用于关键部门？自由企业的创造性破坏现在是否应该集中在重塑通常是美国社会稳定飞轮的事物上，我指的是政府和其他资本密集型产业？我们是否应该赞扬仍然喜欢修理他或她已经拥有的东西的个人，或者这些人是否应该被赶入国家健康信息网络、智能电网和自动驾驶汽车？

参考文献

1. Barabasi, L., Albert, R. 1999. 随机网络中尺度律的涌现。科学 286 (10 月): 509-512.

2. Branigan, S., Cheswick, B. 1999. 战争对南斯拉夫网络的影响。 http://www.cheswick.com/ches/map/yu/index.html.

3. Geer, D. 2012. 循环中的人：他们是故障保护还是责任？Suits & Spooks (2 月 8 日); http://geer.tinho.net/geer.suitsandspooks.8ii12.txt.

4. Hathaway, M. 2009. 确保我们的数字未来。白宫博客.; http://www.whitehouse.gov/blog/2009/05/29/securing-our-digital-future.

5. 网络安全指数; http://cybersecurityindex.org.

6. Kilbridge, P. 2003. 计算机崩溃——系统故障的教训。新英格兰医学杂志 348(10): 881-882; http://ehealthecon.hsinetwork.com/NEJM_downtime_2003-03-06.pdf.

7. Kingsley, P. 2012. 小小的爱沙尼亚如何走出苏联的阴影，成为互联网巨头。卫报; http://www.guardian.co.uk/technology/2012/apr/15/estonia-ussr-shadow-internet-titan.

8. LANGSEC: 语言理论安全, http://langsec.org.

9. 美国国家标准与技术研究院，高完整性软件系统保障。1995. 冗余管理（第 4.2 节）。系统容错的概念框架; http://hissa.nist.gov/chissa/SEI_Framework/framework_16.html.

10. Palin, P. 2012. 你能设想“成功的失败”吗？国土安全观察; http://www.hlswatch.com/2012/07/13/can-you-envision-a-successful-failure/.

11. 总统决策指令 63. 1998. 克林顿政府的关键基础设施保护政策。; http://www.fas.org/irp/offdocs/paper598.htm.

12. Shim, S. S. Y. 2012. CAP 定理日益增长的影响。IEEE 计算机 45 (2): 21-22.

13. Zickuhr, K., Smith, A. 2012. 数字差异。皮尤研究中心; http://pewinternet.org/~/media//Files/Reports/2012/PIP_Digital_differences_041312.pdf.

喜欢它，讨厌它？请告诉我们

[email protected]

Dan Geer 是一位具有定量倾向的安全研究员。他在 MIT 的小组开发了 Kerberos，在多家初创公司工作一段时间后，他仍然在从事这项工作——今天他在 In-Q-Tel 担任 CISO。他写了很多长短不一的文章，有时会被人阅读，例如关于计算单一文化是否上升到国家安全风险水平的半著名论文。他是一位电气工程师、一位统计学家、一位农民，也是一位认为真理最好通过对抗程序来实现的人。

最初发表于 Queue 杂志第 11 卷，第 4 期—
在数字图书馆中评论这篇文章

更多相关文章

Jinnan Guo, Peter Pietzuch, Andrew Paverd, Kapil Vaswani - 使用机密联邦学习的可信 AI
安全性、隐私性、问责制、透明度和公平性原则是现代 AI 法规的基石。经典的 FL 在设计时非常强调安全性和隐私性，但代价是透明度和问责制。CFL 通过将 FL 与 TEE 和承诺相结合，弥补了这一差距。此外，CFL 还带来了其他理想的安全属性，例如基于代码的访问控制、模型机密性以及推理期间对模型的保护。机密计算（如机密容器和机密 GPU）的最新进展意味着，可以无缝扩展现有 FL 框架以支持 CFL，且开销较低。

Raluca Ada Popa - 机密计算还是密码学计算？
通过 MPC/同态加密与硬件飞地进行安全计算，需要在部署、安全性和性能方面进行权衡。关于性能，您心中想到的工作负载非常重要。对于简单的工作负载（如简单求和、低阶多项式或简单的机器学习任务），这两种方法都可以在实践中随时使用，但对于复杂的计算（如复杂的 SQL 分析或训练大型机器学习模型），目前只有硬件飞地方法在许多实际部署场景中足够实用。

Matthew A. Johnson, Stavros Volos, Ken Gordon, Sean T. Allen, Christoph M. Wintersteiger, Sylvan Clebsch, John Starks, Manuel Costa - 机密容器组
这里展示的实验表明，Parma 架构（该架构驱动 Azure 容器实例上的保密容器）所增加的性能开销不到百分之一，这甚至低于底层 TEE 所增加的开销。更重要的是，Parma 确保了容器组所有可达状态的安全不变性，而这些状态都基于证明报告。这使得外部第三方能够与容器安全地通信，从而实现各种需要保密访问安全数据的容器化工作流程。各公司可以在云端运行他们最保密的工作流程，并获得由此带来的优势，同时无需在其安全需求上做出妥协。

查尔斯·加西亚-托宾、马克·奈特 - 使用 Arm CCA 提升安全性
保密计算在提升通用计算平台的安全性方面具有巨大潜力，它通过将监管系统从 TCB 中移除，从而减小 TCB 的规模、攻击面以及安全架构师必须考虑的攻击向量。保密计算需要在平台硬件和软件方面进行创新，但这有望在计算领域实现更高的信任度，尤其是在由第三方拥有或控制的设备上。保密计算的早期用户将需要自行决定他们选择信任的平台。