加密算法中私钥的安全性

　　著名的Digg网站近期遭遇到了一次尴尬的事件，Digg不得不对文章进行了审查，并删除了一个帖子。因为那个帖子里包含有这样的字符串：09F911029D74E35BD84156C5635688C0。

　　这个128位的字符串代表了什么含义呢？这串数字是HD-DVD破解密钥（HD-DVD processing key），可以使用户破解DRM（Digital Rights Management）而未经授权访问数字音像节目。

　　DRM使用类似公钥加密的密码技术，在加密音像文件的时候，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。整个加密算法的关键就是私钥，保证私钥的安全性，才能保证整个加密体系的安全性。如果私钥被破解了，那唯一的办法就是更换私钥，或者采用另外一种更好的加密算法。

　　目前的公钥加密技术主要算法是70年代诞生的RSA算法和近几年流行的ECC（椭圆曲线）算法，据说椭圆曲线具有更高的安全性、更快的运算速度，从理论上将只有密文和公钥，想要破解私钥是极其困难的，因为私钥决不可能对公众开放，仅仅在加密的时候被使用，甚至对其的操作也是在安全环境下执行的，如果你能够破解私钥，那的确是一件很了不起的事情。

　　这里就引发了一个私钥安全性的问题，中国不少银行系统为了更安全的认证用户，使用一种USB Key的技术来确保用户私钥的安全，USB Key是用来存放证书和用户私钥并具有处理能力的一种带智能的芯片，形状类似于U盘，但成本比较低廉，目前在国内银行系统中广泛应用，我以前也曾经专门讨论过这种技术的安全性。

　　USB Key之所有是较为安全的系统，是因为产生公私密钥对的程序是研制者直接烧制在芯片中的，公钥密码算法程序也是烧制在芯片中。公私密钥产生后，公钥可以导出到USB Key外，而私钥则存储于密钥区，不允许外部访问。进行数字签名时以及非对称解密运算时，有私钥参与的密码运算只在芯片内部即可完成。由于USB Key内部的CPU可以完成这些操作，全过程中私钥可以不出USB Key介质，因此目前最常用的电脑黑客程序就没有机会去截获私钥，因为整个运算都在Key中执行的。

　　USB Key的私钥只要保证只有Key内部程序才能访问，因此这个密钥保护可谓相当不错，从理论上讲，只有破解者知道了USB Key的管理员PIN码，再烧制一段程序到Key中，才可能访问到Key内的私钥，这对于一般的破解者来说是极其困难的。

　　对于一套公钥加密系统，如果系统的私钥被破解了，那么这一套加密系统就算是废了，任何开发商都不会允许这样的破解程序存在的，因此我也理解开发商对于这种密钥泄露和破解的敏感性。对于Digg的这次事件，我原先一直以为西方对于保护知识产权的态度是十分鲜明的，但是这次事件令我非常意外，对于破解程序的传播竟然可以做的这么明目张胆且毫无愧疚感，或许在他们看来，音像影视的知识产权也并非那么重要吧。

Google个性化主页更新

　　据谷歌治印报道，Google近日对Google个性化产品进行了一些更新。Google个性化主页使用新的“iGoogle”名称以及Logo，中文版本也有所更新，并增加了“选择主题”的功能。

　　Google个性化主页项目的产品经理Jessica Ewing说，Google个性化主页有壁纸功能，到目前为止，30%的Google个性化主页都使用了主题，Jessics说道。在被问道iGoogle有多少用户时，Marissa Mayer说有“上千万”。

　　Jessica Ewing还宣布Google发布Gadget Maker（不需要编程技能）。用户可以用这个工具创建7种不同类型的小工具。在iGoogle页面的下方将会又一个新的链接，链接到Gadget Maker服务。可惜的是，这个功能目前只在英文版里有，中文版的iGoogle界面上还没有这些“向导”工具，不过，估计过一段时间后中文版也会有类似的工具。

　　这些“向导”工具包括：相片小工具、消息展示、每日小工具、个性化倒数小工具、个性化列表、YouTube视频小工具、“自由表格”小工具。

　　我对于个性化主页的主要用法是将其当作一个“时间管理”工具，用于提高工作效率，详情参见前文《使用Google进行时间管理》。提醒一下的是，我保存在Google个性化主页的信息曾经丢失过一次，便条纸保存的内容全部丢失，相信其他人也越到过类似的经历，因此，我觉得iGoogle目前最重要的应该是其稳定性，保证其信息再也不会丢失，其次才是功能上的扩展。

　　最后提一下，谷歌拼音输入法1.0.18已经可以下载，提供迷你状态栏功能。新版Google桌面搜索5.0也可以下载。

博客系统的安全设置技巧

　　我们经常会碰到个人博客被黑客入侵并挂木马的事情，我以前曾经介绍过“服务器的安全配置技巧总结”，但是没有具体结合某个博客程序讲解，今天，我这里就介绍一下在Z-Blog 1.7的系统以及主机可配置的条件下（托管、租用或者合租主机）的系统安全设置。让黑客的入侵变得不那么容易。

　　首先Windows 2000或者Windows Server必须格式化为NTFS的格式，格式完成后，设置网站硬盘的安全性。C盘为操作系统盘，D盘放常用软件，E盘网站，格式化完成后立刻设置磁盘权限，C盘默认，D盘的安全设置为Administrator和System完全控制，其他用户删除，E盘放网站，设置Administrator和System完全控制，Everyone读取。

　　将Z-Blog的文件目录复制过来，此时会自动将所有文件设置为Everyone读取，这时，选择DATA目录设置为Everyone修改、读取和写入。选择UPLOAD、INCLUDE、CACHE、POST目录，设置为Everyone读取写入，选择RSS.XML、ATOM.XML文件也设置为Everyone读取写入。

　　下一步非常关键，就是在IIS管理界面中，选择目录属性，将上面设置的所有“可写”目录的应用程序执行许可都设置为“无”，如下图所示，这样设置之后，可写的目录就无法运行任何ASP或者其他脚本，其意义在于，即使黑客通过某个漏洞上传到了某个可写目录下一段恶意程序代码，这个恶意程序代码依旧无法执行，这就从根本上杜绝了黑客上传木马的可能性。

　　最后总结一下安全设置的要点，所有ASP程序应该放在只读目录下，可写的目录均不能放置ASP程序，所有可写的目录均不能有执行许可，DATA目录最好能设置为不能下载。按照我所介绍的这样配置之后，Z-Blog系统的安全性就应该是不错的了。

80％的博客含有“攻击性”内容

　　博客虽然一直被看作是免费为大家提供“原创”内容的方式，但是根据ScanSafe最近提供的一份调查表明，绝大多数博客的内容都包含“攻击性”的内容，而且可能会“不受欢迎”。

　　ScanSafe发布的2007年3月的“全球威胁报告”指出，多达百分之八十的博客主机含有令人厌恶的内容。这些内容包括使用“成人语言”、色情图片等等。该公司建议：企业应积极防止自己的用户获取这些信息。当然，ScanSafe希望企业能使用他们的产品来实现这个功能。

　　ScanSafe还表示，他是通过对自己的合作客户的70亿个页面进行分析后发现的这个结论的。这样，他们显然了解到了所谓的“博客圈”有很多像乔治卡林的业绩：多变的，有时有趣，并带有很多“脏话”。

　　除了所谓的“攻击性”的内容，3月份的报告还发现约6%的博客主机还包含恶意软件（MalWare）。“博客是一个进行自我表达和交流想法的伟大的工具”，ScanSafe的产品策划Dan Nadir说：“员工访问这些网站可以不知不觉地泄露自己公司网络中的法律合同、病毒以及损失专利资料”。

　　但什么是真正意义上的“攻击性”的内容呢？一个博客，只要包含一个不雅词汇，就会被ScanSafe认为包含“攻击性”内容。Nadir告诉Techworld说，“包含Fxxx这个单词的博客多的比包含‘中国’的还要多”。

　　ScanSafe关注的重点不仅仅是单一的令人厌恶的内容，还包括那些在电脑前工作的有可能陷入不良内容的雇员的整体的安全和责任，Nadir说：“博客和其他网站提供的内容，会因为用户的贡献而不断地变化，所以，网络安全解决方案是依靠网上爬虫或定期检索有威胁的网站地址，而不是实际的扫描的URL地址的每个时间的请求，这样，ScanSafe可以使得用户远离恶意软件和不健康的内容。”

　　根据 ScanSafe的调查，在博客上散布的前五大恶意软件或木马是：Trojan.Win32.Diamin.js， Trojan-Downloader.VBS.Small.ca， Trojan-Downloader.Win32.Delf.acc， Trojan-Dropper.Win32.Agent.bfd， Trojan.JS.Cardst。

　　翻译：William Long，中文译文：80％的博客含有“攻击性”内容，英文原文：Report:80 percent of blogs contain "offensive" content

Google Earth更新Panoramio的照片

　　据Panoramio的爱德华曼乔报道，Google Earth终于将最新的Panoramio照片更新上去了（这次等了好长时间啊），Panoramio的照片最大更新到的ID是1,710,000。大约有3/4的上传到Panoramio的照片被发送往Google Earth，这几乎有接近100万张照片了（973,949），而上次更新到的最大ID只有655,000。

　　Panoramio这次更新到Google Earth有所拖延，比上次的Panoramio更新晚了两个多月，在过去的更新中，Panoramio曾承诺会进行频繁更新，但是这次更新拖延了太久的时间，Panoramio的目标是每隔几天就和Google Earth更新一次，希望Panoramio能和Google Earth的团队完成这个目标。

　　发送给Google Earth的照片是那些在Panoramio的“热门（popular）”页签中的照片，不过Google Earth团队也有自己的选择，因此并非所有发给Google Earth的照片都能在GE中显示的，如果你在“热门”标签中看到你拍摄的照片，却没有在Google Earth中看到，那就是这个原因。

　　如果你的照片还没有列入谷歌地球，那么打开Panoramio的Feed，你依然有机会在Google Earth中看到你的照片。

　　最后，我发现我前2个月上传到Panoramio的照片也大多更新到了Google Earth，不容易啊，我可足足等了两个月的时间啊，真是残忍的Panoramio。大家浏览一下Google Earth的深圳地区的Panoramio图层，会看到不少我拍摄的照片。上传自己的数码照片到Panoramio也非常简单，具体操作可以参考我的这篇文章。

MySpace正式进军中国市场

　　今天，用户在线时间最多的网站MySpace终于登录中国，提供了中文版界面，网站名为友你友我。

　　据MySpace官方介绍说，MySpace.cn是全球最大的社区交友网站MySpace.com的中国分站。Myspace.cn提供了方便的在线聊天，快捷的发表博客，和志同道合、兴趣相同的朋友成立圈子，讨论感兴趣的话题，还可以分享照片。

　　看来MySpace中文网定位为交友社区网站，其竞争对手应该是以腾讯主的国内社区网站，国内的社区已经发展的比较成熟了，特别是论坛和博客发展都经历了多年的发展，从技术上来讲并没有什么问题，主要还是经营问题，MySpace要想在国内经营好一个社区，需要更了解一下普通年轻人在想什么、做什么，只是简单复制美国MySpace的成功经验可能未必奏效，经营和管理一个社区并不是一件容易的事情。

　　MySpace.cn的数据目前似乎都用的美国主站的注册数据，里面有不少在国内的外国人的资料，还有发现一些国内女生的征婚启事，不知道MySpace未来会不会往婚介社区发展。目前中文的用户资料还非常少。

　　MySpace首页底部显示，其已经获得了ICP证号：京ICP证070029号。

我心中的最2互联网公司

　　思维的乐趣在评选“我心中的最2互联网公司”，这个评选还是比较2的，本来不想写，后来Liu Yang点我名，只好写一篇。

　　我心中的最2互联网公司（中国区域）如下：

　　百度

　　日文百度的推出后，中国地区的流量竟然远高于日本地区，并且几乎都是在使用图片搜索，这的确是很2啊。

　　谷歌

　　一个谷歌输入法，词库竟然用搜狗的，这也够2的啦。

　　雅虎

　　雅虎进入中国的这些年来的折腾，把Yahoo的国际上的好名声都折腾的差不多了，当初废了一搜，现在又恢复回来，这是很典型的2啊。

　　微软

　　为了宣传新一代操作系统Windows Vista，微软在中国投入了数百万美元，甚至在上海金茂大厦上打出了世界上最大的Vista广告，而Vista算是一个非常2的操作系统。

　　5460

　　将自己注册用户的隐私信息出售给其他网站来赚钱，不仅仅是很2，而且很厚颜无耻。还真以为当街耍流氓就没人管了。

　　最后，我就不点名了，大家觉得还有那个互联网公司比较2，可以在下面留言评论一下。