Azure 網站服務已經搭載下一代加密技術

原文發表於 Next Generation Cryptography now available with Azure Web Sites。

沒有什麼事情，比使用 SSL 來提升您網站的安全性來得更重要了，然而，即使加密不是什麼新的技術，密碼學家仍然不斷地尋找能讓加密技術更安全的作法。而我們 Azure 網站服務團隊也一直不斷地支援最新最安全的加密運算，今天要跟各位介紹我們已經支援很棒、使用橢圓曲線加密法（ECC, Elliptic Curve Cryptography）的憑證。

橢圓曲線加密技術，是基於在有限場（finite field）中橢圓曲線的代數結構，聽不懂了嗎？別擔心，很多人都聽不懂這玩意兒。要畫出橢圓曲線的圖，都是根據 y² = x³ + ax + b 這個代數方程式，當你將 X 及 Y 對應的值畫出來時，你會發現它是一個對稱的橢圓曲線，舉例來說，若是畫出 y²=4x³-4x+4 這個代數方程式，就會像下面這張圖一樣：

為了不讓這篇文章變成艱深的數學課，我們簡單地說，當一個代數方程式有這樣複雜且對稱性質，那就可以用來產生一個函數，有效地產生不容易攻破的公鑰（public key）及私鑰（private key）來做加解密。我們先產生一把私鑰，選定一個橢圓曲線來產生出對應的公鑰，要從公鑰反推回私鑰（也就是我們俗稱的攻擊、破解）是出了名地難，而且運用當今科技也無法在合理的時間內破解成功，這個方式相較於現在常見的一些公鑰私鑰加解密系統大概可以提升 10 倍以上的難度（確定你真的想瞭解為什麼，再讀這篇文章），換句話說，使用 256 位元的橢圓曲線加密法，它的安全指數相當於使用 2600 位元的 RSA 加密法，而現今業界常使用的標準不過是 2048 位元的 RSA 加密法，這已經是很難攻破的加密法了，由此可知，若使用相同位元的橢圓曲線加密法，要用現在的超級電腦破解它簡直是天方夜譚。

說了這麼多，我們只是想讓您知道，現在您不只可以購買市面上常見的 SSL 憑證，還可以購買更安全、使用 ECC 的 SSL 憑證來確保您網站服務的安全性。ECC 憑證目前還是一項很新的技術，市場上還沒有很多家業者有提供，不過若您有需要，現在可以向 Symantec 或是 Entrust 來購買，不過相信很快很多憑證業者就會跟進了。

你知道嗎？Azure 網站服務最近已經通過 ECC 憑證的測試了！所以您也可以在 Azure 網站服務上安裝 ECC 憑證，就跟過去安裝憑證一樣，上傳您購買的 .pfx 憑證檔案就可以立即運作了！不過要注意的是，不是所有的用戶端都支援 ECC 憑證，但如果您是使用 Windows Vista 之後的電腦，那就可以不必經過特殊設定，也能使用瀏覽器來瀏覽使用 ECC 憑證做 SSL 加密的網站！