機會性加密

機會性加密或伺機加密（英語：Opportunistic encryption，簡稱OE^[1]；有時也稱非認證加密、隨機加密^[1]）是一種網絡通訊加密機制，即當建立通訊連接時，首先嘗試請求加密，如果對方也支援加密連接，連接則開始加密，期間不進行身份驗證；如果加密請求嘗試失敗，則回退到明文通訊機制。這種加密不須雙方進行事先組態，能夠抵抗被動的流量竊聽^[2]，但無法防禦中間人攻擊等主動攻擊。因此，它不能替代完整的加密方案。使用機會性加密時，用戶也不會看到任何連接安全的提示。

大多數互聯網安全協定中，開始加密通訊前都會進行身份驗證，以防止中間人攻擊，從而確保通訊安全。但是，這將涉及到身份驗證與金鑰管理，且須進行事先組態，否則無法開始安全通訊。這使加密變成了「有或無」的一個問題，只能在「完全安全」或「完全不安全」兩個極端選項之間選擇，沒有條件時便只能放棄加密，使用不安全的明文連接。這限制了加密連接在互聯網上的大規模應用，使被動的攻擊者也能夠竊聽大量互聯網流量。^[3]

機會性加密則並不要求進行身份驗證，目的是在條件允許時就儘可能使用加密通訊方式。雖然機會性加密只能防止被動竊聽，對攻擊者的主動攻擊無能為力（例如降級攻擊或中間人攻擊），但它使大規模加密互聯網通訊成為可能，從而防止互聯網遭到大規模監視、「在大多數時候，提供一定程度的安全性」。

參見[編輯]

STARTTLS

參考資料[編輯]

^ ^1.0 ^1.1 李希. 基于OE机制的VPN网关设计与实现. 中國知網. [2017-08-10].
^ Gilmore, John. FreeS/WAN Project: History and Politics. 2003-05-13 [2017-08-10]. （原始內容存檔於2000-05-26）.
^ Sullivan, Nick. Opportunistic Encryption: Bringing HTTP/2 to the unencrypted web. Cloudflare. 2016-09-21 [2017-08-10]. （原始內容存檔於2020-12-03）.

[lx-1] 1.0 ^1.1 李希. 基于OE机制的VPN网关设计与实现. 中國知網. [2017-08-10].

[2] Gilmore, John. FreeS/WAN Project: History and Politics. 2003-05-13 [2017-08-10]. （原始內容存檔於2000-05-26）.

[3] Sullivan, Nick. Opportunistic Encryption: Bringing HTTP/2 to the unencrypted web. Cloudflare. 2016-09-21 [2017-08-10]. （原始內容存檔於2020-12-03）.

[1]

[2]

[3]