互联网是一个非常复杂和不断发展的生态系统。它的组成协议从古老的和古老的（hello FTP）到现代的和时髦的（meet WireGuard），其中包含了相当多的内容。这一演变正在进行，作为互联网上连接最紧密的网络之一，Cloudflare有责任成为这个生态系统的一个好管家。我们牢记这一责任：Cloudflare的使命是帮助建立一个更好的互联网。本着这种精神，我们非常自豪地宣布2019年加密周。本周的每一天，我们都将宣布一个新的项目或服务，使用现代加密技术来建立一个更安全、更值得信赖的互联网。我们本周发布的所有内容都将是免费的，并且立即有用。这个博客是一个有趣的主题探索星期一：The League of熵，Inside The EntropyTuesday:使用多路径域控制验证确保证书颁发周三：Cloudflare的以太坊网关，继续改进我们的IPFS网关周四：量子威胁，迈向TLS中的后量子加密，介绍CIRCL:高级密码库星期五：介绍time.cloudflare.com时间未来的互联网今天使用的许多互联网都是在不同的时代用不同的假设设计的。互联网的成功建立在坚实的基础之上，这些基础支持不断的重新评估和改进。有时，这些改进需要部署新的协议。正在执行像互联网这样庞大和分散的系统的升级不能靠命令来完成；有太多的经济、文化、政治和技术因素播放。更改必须与现有系统和协议兼容收养。到新协议必须为用户提供切实的改进。没有人想安装一个不能改善他们的体验的更新！上一次互联网完全重启和升级是在1983年的TCP/IP标志日。当时，互联网（称为ARPANET）的主机不到一万台！今天有一个全互联网的标志日来切换到一个核心的新协议是不可想象的；所涉及的组件的规模和多样性太大了。太多会破裂。反对过时的功能是很有挑战性的。在某些方面，开放的互联网是其自身成功的牺牲品。一个系统越大，保持不变的时间越长，就越难改变。互联网就像一艘巨大的驳船：它需要花费很多时间才能转向不同的方向，而且它承载着大量的信息垃圾.ARPANET1983年（计算机历史博物馆）正如你所料，早期互联网的许多缺点仍然存在。学术安全研究人员和现实生活中的对手仍在寻找和利用系统中的漏洞。许多漏洞都是由于Internet上使用的大多数协议都有一个早期继承的弱信任概念。在50个主机在线的情况下，信任每个人相对容易，但在一个世界级的系统中，这种信任会以令人着迷的方式瓦解。衡量信任的主要工具是密码学，它有助于提供某种程度的责任感，尽管它有自己的方法复杂性。在一个理想的世界，互联网将为人类的交流和商业提供一个值得信赖的基础。有些人天真地认为这是互联网发展的自然方向。然而，不断的改进并不是必然的。未来的互联网有可能比今天的互联网更糟糕：开放性、安全性、私密性和可信赖性都会下降。政府、ISP等企业，甚至委托我们个人的金融机构，都有强烈的动机从根本上削弱互联网数据。输入一个拥有像互联网一样多的利益相关者的系统，真正的变革需要所有投资方的原则性承诺。在CuldFLARE，我们相信每个人都有权建立一个建立在坚实的信任基础之上的互联网。加密周是我们帮助推动互联网朝着更信任的方向发展的方式。本周的每一个声明都有助于将未来互联网带到现实中好吧。正在进行中互联网升级在我们探索未来互联网之前，让我们先来看看以前和现在正在进行的一些升级互联网基础设施的尝试协议。路由安全性正如我们在去年的加密第一周因特网上的薄弱环节是路由问题。并非所有的网络都是直接连接的。要将数据从一个地方发送到另一个地方，您可能需要依赖中介网络来传递数据。从一个主机发送到另一个主机的数据包可能需要通过多达十几个这样的中间网络。没有一个网络知道数据到达目的地必须经过的完整路径，它只知道下一个要将数据传递到哪个网络。决定数据包如何路由的协议称为边界网关协议（BGP）。一般来说，网络使用BGP向对方宣布它们知道如何为其路由数据包的地址，并且（依赖于一组复杂的规则），这些网络共享它们所学的知识邻居。很不幸, BGP完全不安全：任何网络可以向任何其他网络公布任何一组地址，即使是他们不控制的地址。这就导致了一种被称为BGP劫持的现象，即网络被骗向错误的网络发送数据。BGP劫持通常是由意外的错误配置引起的，但也可能是网络运营商恶意的结果部分。期间一个BGP劫持，一个网络不恰当地向其他网络公布一组地址，这会导致发送给已宣布地址的数据包通过非法路由网络。理解风险如果数据包代表未加密的数据，这可能是一个大问题，因为它允许劫机者读取甚至更改资料图：2018年，一个流氓网络劫持了一个名为MyEtherWallet，financial的服务的地址通过攻击者修改的网络路由事务，结果被偷了十几万美元加密货币。减轻处罚riskThe Resource Public Key Infrastructure（RPKI）系统使网络能够利用加密技术用证书对网络路由进行数字签名，从而为BGP带来一些信任，从而使BGP劫持事件更多很难。这个使的参与者网络获得关于路线广告真实性的保证。证书透明性（CT）是一种工具，它可以为基于证书的系统提供额外的信任。Cloudflare操作Cirrus CT日志来支持从那以后我们去年宣布支持RPKI，路由安全已经取得了长足的进步。更多的路由被签署，更多的网络验证RPKI，软件生态系统已经成熟，但是这项工作还没有完成。大多数网络仍然容易受到BGP劫持的攻击。例如，巴基斯坦在2008年通过BGP劫持事件使YouTube下线，今天可能也会这样做。在这里，采用的驱动力并不是为用户提供好处，而是通过降低系统性风险来驱动的，而系统风险并不是采用复杂新技术的最有力的激励因素。Internet上的完整路由安全可能需要数十年.DNS域名系统（DNS）是互联网的电话簿。或者，对于不记得电话簿的25岁以下的人来说，这是一个接受主机名的系统（比如cloudflare.com网站或者脸谱网)并返回可以找到该主机的Internet地址。例如，截至本出版物，网站is 104.17.209.9和104.17.210.9（IPv4）和2606:4700:：c629:d7a2，2606:4700:：c629:d6a2（IPv6）。和BGP一样，DNS是完全不安全的。在Internet上未加密发送的查询和响应可由路径。那里有许多正在进行的为DNS添加安全性的尝试，例如：向DNS响应添加数字签名链的DNSSEC将DNS查询包装在TLS加密协议中的DOT/DoH（稍后将详细介绍）这两种技术都在缓慢地获得采用，但还有很长的路要走去吧。DNSSEC-CloudflareCloudflare的1.1.1.1解析程序查询提供的签名响应已经超过了RPKI的DoT/DoHJust，保护DNS会带来性能成本，因此对用户的吸引力降低。然而，像1.1.1.1这样的服务提供了非常快的DNS，这意味着对于许多用户来说，加密DNS比未加密DNS更快ISP。这个性能的提高使得它吸引了关注隐私的应用程序（如Firefox和Cloudflare的1.1.1.1应用程序）的客户采用secure域名解析系统WebTransport层安全性（TLS）是一种加密协议，它使双方能够通过加密和认证的信道进行通信。即使在BGP被劫持的情况下，TLS也能保护通信免受窃听。TLS是将"S"放在HTTPS中的东西。TLS保护web浏览不受多种网络类型的影响对手。请求通过Internet从一个网络跳到另一个网络，以查看未经验证的协议，路径上的攻击者可以冒充服务器攻击者可以使用BGP劫持来更改路径，以便可以截获通信经过验证的协议可以免受拦截攻击web上采用TLS部分是由以下事实驱动的那：它网站可以轻松免费获得身份验证证书（通过浏览器只支持新的web功能，如HTTP/2over，从而吸引了网站运营商采用TLSHTTPS。这个在过去的五年里，HTTPS被迅速采用年.HTTPS采用曲线（来自googlechrome）为了进一步推广这一点，TLS最近在tls1.3中进行了升级，使之成为可能更快更安全（我们喜欢的组合）。它正在接管互联网！TLS 1.3在过去12个月内的采用（从Cloudflare的角度来看），尽管在路由、DNS和web安全性的采用方面取得了惊人的进展，但在Internet的信任模型方面仍然存在差距。还有其他需要的东西