bookmark_borderHTTPS explained (by an amateur)

厄,斯诺登传记的笔记还是没有写好。先再写一篇HTTPS的解释,因为我想实行一下费曼学习法:learn by explaining!

关于加密

加密这件事,其中算法的数学我不了解。我就先理解为一个把数据打成乱码的规则。需要一个key来加密,一个key来解密(把加密数据还原成原始信息)。加密和解密的key是同一个的话,就是对称加密。另外还有一种非对称加密,public key和private key成对,用其中之一加密的可以用另一个解密。而public key是公开的,private key必须保密。

脑中想象非常简单的对称加密:我送给你的数字都是*113的;那么你接到数字后就/113来解密。

非对称加密难以破解是基于这个事实:只知道两个大质数相乘的积要拆分出两个质数本身,对计算机来说也很难。然而生成key很容易。具体是怎么加密的我还没学会。

非对称加密的速度比对称加密慢。

关于HTTPS

HTTPS要解决的网络安全问题有两个,第一个是加密原来的HTTP信息,这样别人截获了这个信息对他们来说也无法使用。截获信息很容易。据说在公用无线网络上,同一个网络的人可以窃取你的所有请求。另外我可以想象,政府基建做好的中继路由,完全可以在上面部署程序把所有路过的信息都备份一下。(我不知道斯诺登发现的是不是NSA在这么做。。)

另一个要解决的问题是网站身份认证。如果你假装是亚马逊,然后用户就把信用卡信息填好发给你了,那么用户就完蛋了。在我自己搞HTTPS的时候我本来不理解为什么要把身份认证和加密打包在一起,因为我本来只有加密的需求。我还是觉得可以把加密和身份认证分开。当浏览器访问一个网站的时候,提醒客户这个网站只有加密没有身份认证就可以了。现在是,只有http的话浏览器会让你访问,但是有self sign(自己生成key,只有加密没有认证)的话,浏览器会不让你访问。我觉得这个是不是不太合理?(一定是我还没完全理解吧。。)如果我没有身份认证,然后我在冒充亚马逊想要套取客户的信用卡信息,那么客户可以提高警觉;但是我是一个个人博客,没有向客户索取信息,那么我完全可以不完成身份认证,客户可以随便来看看,并且知道我们交互的内容不会被ISP截取?

我那天先是试图使用自己生成的key,结果无法访问,走了很久的弯路,才知道现在浏览器都要加密和身份认证打包一起完成的。也许是为了让客户认准https标志就好了。现在好像是光是教育客户用https就挺费力的。

加密内容

加密HTTP内容是这样进行的:client端(浏览器)先获取server的public key,然后自己生成一个key用server的public key加密送给server。接下来双方的对话就用刚才送过去的key对称加密对话了。这样做的原因是非对称加密performance差,所以仅用它来交换接下来要用来对称加密的key。

第三方身份认证

如果没有身份认证,那么我可以冒充亚马逊和客户对话。我们仍然是用加密来对话,只不过客户用的是我的key,以为是亚马逊的key,然后我就获得客户的信用卡信息了。解决这个问题的办法和线下一样,第三方担保server的身份。

具体的做法是:全球有几家顶级担保机构CA (Certification Authority)(大部分是收费的;Let’s Encrypt是一家非营利机构,他们的担保服务是免费的),CA认证过网站的身份后,就开具一张证明,证明内容用CA的private key加密,而世界上任何人都可以用CA的public key解密。因为CA的private key只有CA有,所以能解密就说明这是CA开具的合法证明,就可以相信持有这个证书的网站了。

也就是说,如果想要给一个人发送绝密信息,可以用ta的public key加密,因为只有ta可以解密;如果想要全世界知道一个信息是我说的,可以用我的private key加密,把信息和public key公开,因为只有我持有我的private key,那么全世界都可以知道那个信息只有我可以写。所以private key是一个绝好的签名。

那么CA是怎么担保的呢?付费的CA我不太清楚了,他们可能有更严格的流程和定期audit什么的。Let’s Encrypt据说是要在server目录下生成什么文件,以显示你对server有权限。我操作的时候是在server上执行他们的命令,估计包括在里面了。执行的时候需要填写domain name。我可以把server配成亚马逊,不知道Let’s Encrypt会不会认证,但即使认证了,我的实际域名并不是亚马逊,我想也不会有用的。

Notes

得到了Let’s Encrypt的key之后,还要给server配置一下,这是Apache的配置

WordPress还需要(?)一个插件。其实我不是很明白它是干嘛用的:Really Simple SSL

然后要做一件事是把http的请求重定向到https。在Apache下就是在config里加一下配置。这里我并不明白80端口和443端口一个给http一个给https这个是不是约定俗成可以随便改的。(你为什么不去试一试。)

在研究这个问题的时候看到了一个博客我觉得写得很好。How does HTTPS actually workHTTPS in the real world 这两篇文章写得很好(个人博客比维基好看多了)。我特别喜欢他说,In cryptography, trust is mathematically provable. Everything else is just faith. 然后看了他描述的revoke key的问题我意识到,revoke这件事没有一个mathematical solution,所以比较麻烦。(这个问题是,CA给了你证书,然后,你的private key被人盗取了。CA证书和public key是一起发给客户端的,谁都可以截取。那么盗取你private key的人就可以拿着证书和private key冒充你了,实际上客户不该再相信这张证书。然而因为证书可以用CA的pub key解密验证的,这就没办法收回了。现行solution在文章中有,就是加入了revocation list和提供这个list的服务器。(真的没有更简单的办法了吗?)

另外想说(我也知道bash中国社会没意义,但是还是想说),因为有斯诺登和别的一些人,然后有了股沟这样的大公司发力,我们才有这个架构的,现在是相对有点安全。想想如果真的完全是局域网,如果我们的安全全都交给国内的吹哨人(不存在或者发声后被整治,见写科普文说药酒没有治病功能的人),或者国内的大企业(他们不写流氓软件已经谢天谢地了,我经常做的事情是帮我妈卸载360,而阿里腾讯什么的,如果不是有国外投资,他们出卖信息肯定是明着来的了),哦,想想就怕。啊,希望贸易战不要继续了,商业巨头丑恶,但至少还是我们和liberal世界的最后一层联系。。。

bookmark_borderEcon Talk – Alchemy

今晚听了前几周的一期Econ Talk。Alchemy也是嘉宾的书的标题。如果这个标题是想引起我们的兴趣去看为什么有人正经在说炼金术,那么对我而言是失败了,我下好了那一期之后就一直没听,直到今晚我没动我的播放列表就让它自己播放了。听了以后才发现里面有不少有趣的主意。但是我现在只记得一个地方。

本来说市场比较聪明可以调节资源。但是我们现在很多市场太机械化了,没有多样性就无法发挥市场的作用。我们现在很多优化工具就把人类的选择限制住了。

Are markets partly intelligent because human decision-making is messy, and markets can then aggregate preferences from a whole bunch of people who’ve come up with problems from a different angle? When you actually make choice uniform by dint of forcing everybody to go through the same set of questions in the same order, do you actually make markets stupider–because the distortions of the question-asking process become more and more widespread?

我听的时候是有不少想法的。但是坐下来写的时候都不记得了。而且现在又很晚了。

bookmark_border本站启用SSL

在发Permanent Record的读后感之前。。。

本站加上了SSL。现在可以用https访问了!

我本以为https是和一般的加密做法一样,可以自己搞个key加密一下。按照教程生成了key,放到site conf里后,浏览器说不可信。可能浏览器是想要有担保的组织给网站做担保吧?但是如果那样的话,岂不是有钱就可以了。我现在用了let’s encrypt的免费key,终于可以加密了。我的理解是加密本身要的是server-client互相交流的时候第三方不能拦截明文。至于client要不要相信server,这是一个颁证机构能担保的吗?还是需要研究。

然而。现在已经是周日晚上了。看看晚上还能做多少事吧。。

Update: 我写了一篇SSL学习笔记。。。(仍然是在写斯诺登传记读后感之前。。)

bookmark_borderDo you (still) believe in Capitalism?

看我起了这么好的标题,但实际上这只是一篇工作日晚上随便写的日志。就是刚才我听了这周的Sinica Podcast,听到了最动摇我对资本主义的信任的论点。提出这个论点的是嘉宾Evgeny Morozov。他说:资本主义的基本原则是,相信市场是调节分配资源最有效的手段。然而未来完全有可能有更有效的手段。本来资源是靠市场、资本、金钱的流动来调整的,但是大数据技术可能可以让我们绕过经济规律,直接更有效地调整社会资源。说到资本主义是在大家都获得知识的情况下运作,但实际上资本主义也经常靠无知来运作,我们不知道一次google搜索的费用(我们不知道房产泡沫)。

最近几年看到不少文章反思资本主义的,不是说反思资本主义对穷人的不利,而是反思资本主义是不是比社会主义优化,带来技术创新和全民富裕。说实话,所有指着中国的崛起说这是另一条更有效的道路的,我都是不同意的。中国的崛起是因为走了资本主义道路,而我觉得中国崛起最大的阻碍是如今偏离西方民主+资本主义的模式。最近看到Elizabeth Warren说要拆分硅谷大科技企业,第一次对她有了真正的兴趣,因为促进竞争应该是资本主义该做的事情。

然而今天Morozov说的,是唯一动摇我相信资本主义的观点了。如果真的如此的话,我们更需要学习经济规律,甚至不是经济规律,是超越经济学的东西。然而因为我自己是做数据的(albeit很低级的一种),我特别讨厌迷信数据。但是我能想象真的这门新学问发展起来(姑且叫做超经济学),知道怎么用数据,然后。。?然后对世界下判断,你应该做什么他应该做什么?感觉还是不太对,然而足以让人感觉兴奋。也许应该找这个人的书来看看,不知是否看得懂。(我发现他才比我大一年。)

另一个我的同龄人是斯诺登。昨天下午打开了他的自传后,一晚上都被抓住了。正好今天Morozov说了和斯诺登说的相反的观点。哦,其实并不是相反的,还是compatible的。我的思想经历和斯诺登比较像(请忽略我自大把自己和斯诺登相比),成长的年代经历了web 1.0。斯诺登写道:

In the early 2000s the Internet was still just barely out of its formative period, and, to my mind at least, it offered a more authentic and complete incarnation of American ideals than even America itself. A place where everyone was equal? Check. A place dedicated to life, liberty, and the pursuit of happiness? Check, check, check. It helped that nearly all the major founding documents of Internet culture framed it in termes reminiscent of American history: here was this wild, open new frontier that belonged to anyone bold enough to settle it, swiftly becoming colonized by governments and corporate interests that were seeking to regulate it for power and profit. The large companies that were charging large fees — for hardware, for software, for the long-distance phone calls that you needed back then to get online, and for knowledge itself, which was humanity’s common inheritance and so, by all rights, should have been freely available — were irresistible contemporary avatars of the British, whose harsh taxation ignited the fervor for independence.

听Sinica和看关于中国的报道,经常看到说,当年认为互联网会给中国带来民主,克林顿还说想要封锁互联网好比想要把jelly钉在墙上。但是看看现在的中国互联网啊?这个论调听多了,就一直默认自责自己曾经觉得网络是民主的力量是脑子发热的错觉。看到斯诺登这么写,他也有这个‘错觉’,非常感动。

维基百科上看,Morozov在2011年就说了因特网带来民主这个信念是很可笑的。我觉得他的论证很可靠:网络和其它技术一样,只是一种工具,可以被矛盾的双方利用。他觉得可笑的是很多人认为互联网这个东西的存在可以do our work for us,我们就不需要去uphold民主的大旗了,好像它是force of nature,不需要人工干预就能达成的一样。

关于forces of nature我还有一点有点哲学的想法。不过今天太晚了,我还要洗头,明天还要上班,就打住吧。最后,为了证明我脑子是一团浆糊,下面是一个叫做Evegeni’s Waltz的曲子。这个曲子是我第一次遇到这个俄国名字。

更新过的wordpress后台太难用了(好像是5.3),我都看不见我写的东西在哪里了,是不是有什么css没有加载。。。先发出来吧。

update:忘记写他说的资本主义信念是quasi-religious信念了。因为最近看宗教改革所以我其实有点想法。。另外,spotify widge怎么变得这么大!

bookmark_border最近沉迷的一张专辑&豆瓣

BWV 528

Víkingur Ólafsson演奏的巴赫。

我是在豆瓣上别人的2018年总结里知道这张录音的,可以说是2018年的网红砖了。我后知后觉地听。很久没听到这么特别的演奏了。我觉得这张砖也非常讨巧。好几个声乐和管风琴曲子被改编成钢琴曲,我都没听过。 后来我在油管上搜里面的曲子,经常看到有人提到这张专辑,大家都是和我一样因为这张专辑知道的那些曲子。 Spotify上显示这位钢琴家播放数最多的也是这一首BWV 528。回头去听管风琴版本的,就不太一样。这位钢琴家的演奏,很有思路,我这样迟钝的人都一下子被惊艳了。

所有我熟悉的曲子,主要是BWV 974和平均律的曲子,他都弹得驾轻就熟。BWV 974第三段里面有一段他着重强调了一个低声部的旋律线。这个曲子我以前一直听一个Alexandre Tharaud的录音,一直嫌有点乱,从没听出过这种声部。巴赫为什么有这么多演绎?因为交织的旋律线,真的每一根拿出来都很好听。DNA在Dirk Gently里写,他们到了宇宙飞船上,Richard忽然感动掉泪,因为他只要一转头就可以听到不同的音乐,每一条音乐都那么好听,交织在一起又那么好听。在那个小说里,这就是巴赫。这仍然是我读到过的最好的对巴赫的描述。

希望冰岛钢琴家能把平均律都录一下啊!

这张砖一共大概没有一小时,但我可以轮一整天。一般我上下班路上会听podcast,但是最近好几次我尽管听了这张短短的砖一整天了,下班路上还要听,都没心思听podcast了。

周五我工作的时候因为PM的愚蠢和自大感觉委屈得怨气冲天。回到座位上戴上耳机,BWV 528正好在播,忽然我就被带到了宁静的世界。我很不喜欢用感情来描写音乐。但是那一刻,我这个感情丰富的人,被激发出来的是强烈的感激之情。虽然现实很让人感觉委屈,自大不知耻的吹牛男总是混得很好,但是我能听到这样的音乐算是平衡了。最好还能更加理解音乐。


下面再说几句关于豆瓣。从一开始,豆瓣就不是我的first choice。一开始我主要玩deviantArt(我上网主要为了娱乐,而dA上有很多喜欢DW和SW的粉丝在活跃),而关于音乐则主要玩油管。两个网站上都是有不少和我一样的业余爱好者。看业余钢琴演奏给我很多激励。我是08年注册的豆瓣。后来dA和Y2B都被墙了以后,我也不会翻墙,所以才开始主要依赖豆瓣的。但是从一开始我就明白,虽然豆瓣本身本来是很有底线的,但是如果真的要压缩,豆瓣是没有能力抵抗的。我们的生存一直是因为影响力没有大到成为打击目标。最近几年豆瓣的影响力越来越大,随之而来有压力增加了很多。在压力下它也越来越变形。条目不能打分、删除条目、删除广播、删除评论、账户禁言。今年十月有半个月干脆把广播功能关了。让我一直回去用豆瓣,是在上面互动的友邻,有的已经认识了十多年了。今年我喝茶后,已经开始自我阉割了。我的豆瓣主账号基本上不怎么用了,因为想发的东西其实要么会被删,没被删的对我自己也有危险。豆瓣上还是有不少人发着值得发的东西的,我有时候会转播一下(我也是有八百个关注的号,感觉有些东西有点责任帮助传播)。而豆瓣的基本功能也就是书影音标记,也越来越感觉不可靠,也许有一天就没了。

现在我其实可以不用豆瓣。书都记录在goodreads,看片记录在trakt.tv和imdb,这两个地方都可以给电视剧分集打分,比豆瓣好,我现在主要用trakt因为还可以写短评。音乐暂时不知道怎么记录,但这方面我的需求并不是很高,听完一张专辑我要花很长时间。

然而豆瓣上还有很多认识的人,我想看他们在干什么,看了什么书和电影。我想和他们说话。还有很多不认识的人。比如让我发现了Olafsson的人,就是一个我不熟悉但有点信任他关于音乐的评论的人。如果没有豆瓣,我就听不到这张专辑,我就发现不了这么好听的音乐,也许我早就成了一个极端分子,可能周五的时候就把PM给谋杀了。

bookmark_borderThe Reformation (Very Short Introductions)

读了Very Short Indroduction系列里的这一本。先附上我的豆瓣短评:

概括一下这本书的意思就是,宗教改革,是新教和天主教两边同时在进行的,其实两边挺相像的。而如今的世界很大程度是宗教改革unintended的产物。宗教改革是为了提出新的建设统一基督教社会的准则,但最后爆发出各种教派,逼欧洲社会学会容忍异端。我们看来世俗政权但兴起、科学的兴起等等,是宗教改革的产物,但这并不是路德和其他宗教改革领袖想要的。(而且世俗政权的兴起真的比基督教好吗( 因为如今的世界又在经历ideology分裂,所以忽然想到宗教改革时期肯定同样复杂和分裂。读起来挺感慨的。 牛津通识系列其实蛮难读的。因为简短所以要抽象因此难读,至少我读的两本我都觉得蛮难的。这本的语言非常不熟悉,读起来很困难。

回头去看了我的划线标记。书的开头说:

But what was the Reformation, and was it a force for progress, liberty, and modernity, or for conflict, division, and repression? Is it history’s premier example of religion’s ability to inspire selfless idealism and beneficent social change, or a cautionary tale of fanaticism and intolerance in the name of faith? Was it actually about religion at all, or should we see it as the historical instance par excellence of spiritual motivations being cynically invoked to legitimate economic and political changes?

看完这本书,我觉得书回答了这些问题吗?这本书对这些问题的回答都是,这样说也对,那样说也对。这样说不完全,那样说也不完全。读这样“中立”的书我总是感觉很累,因为没有简单易记的结论可以take away。

书里讲宗教的部分我基本上看得一知半解。宗教改革最根本是关于基督教的,是关于如何可以得到赎罪,死后上天堂的。书里说,关于赎罪,天主教的观点是,需要在此生以行动获取;而路德认为,已经获得赎罪是基督徒的起始点。(这个区分我看得不太懂……那么就不需要虔诚了吗?)关于自由意志,天主教(以Erasmus的观点)是赞同所谓的double predestination,也就是上帝有先知的能力,知道哪些人能赎罪,哪些人不能。也就是天主教不认为有自由意志?而路德则认为这个问题没有意义——书里这么说,也没解释,可能是默认西方读者都很熟悉吧。加尔文认为没有自由意志。还有一个问题:Does God will the damnation? 加尔文的观点是”limited atonement”(这样的话,上帝也太小心眼了吧)。

我以前看不懂宗教,总把它当作一种不靠谱的哲学来思考。但是基督教在西方历史上,更是统治手段。它有时候被王权拿来当作统治利器,有时候又和王权叫板对立。我觉得更深入了解这个历史会是非常有意思的。

书里经常在试图消除现在的普通人把很多好东西归给新教的倾向。这一点我看得有点惊讶的。我的确不太懂宗教,但从各种地方得来的印象是,新教更加liberal。书里说,惩罚哥白尼的是天主教,但哥白尼自己并不是新教徒。新教经常同样教条主义。烧女巫、驱逐犹太人等等的事情,双方做得不相上下。还有一种观点是觉得资本主义的兴起和新教有关系。书里给的观点是,新教鼓励大家寻找获得救赎的证明,而物质方面的充裕就是其中之一。我第一次听说这个观点……我心里本来也有资本主义和新教的联系,我脑中的联系好像是新教的prudence观念是和资本主义有关的。书里说,资本主义在新教国家兴起,只是欧洲的中心向北转移了而已。

还有一个细节是去新大陆和来东方传教的主要是天主教。我想起前一阵在River Town里读到的涪陵的天主教神甫,还有最近CCP对宗教的打压,起来抱怨的好像都是天主教(抱怨不能由教皇任命主教),还有一打击天主教,我们就不能去梵蒂冈旅游了之类的事情。可能在世界的这一头,天主教和新教的冲突没有意义了,所以也不复存在了。

我打开这本书的原因,除了因为最近看剧的缘故,还有觉得如今世界的分裂非常严重,宗教改革看起来是历史上一样分裂的时期。书里有这么一句话证实了我的感觉:

The Reformation was, in fact, the first great era of ideological politics, and in the 16th and 17th centuries, ideology meant religion.

那么第二次意识形态战争是资本主义对社会主义;第三次是现在的populist对liberal。这是我瞎说的。

书里说,血腥的宗教战争后,大家还是没法根本消除异端,所以不得不学会互相共处。这后来发展成欧洲的宗教宽容。这我也蛮惊讶的,我本以为是科学发展了以后大家就不信教了。这个联想到现在,难免有点想是不是可以套在现在的冲突上。古代欧洲人没法根除异教,但CCP可能可以把维吾尔族人消灭的。欧洲那时候异教徒可以逃到海外去,免受迫害。而现在CCP可以有软硬兼施各种方法来影响海外的维族人。可以威胁他们在新疆的亲戚,可以收买海外的政客富商,可以买水军在社交媒体混淆视听,可以和土耳其商量好,一起给维族人苦日子过。那么国内的维族人呢?关起来不够,还可以强制通婚、给男女绝育。。。古代欧洲人相信上帝比CCP相信共产主义深得多,但是CCP维稳手段却比宗教战争有效得多。

那么放到全球,这一阵的populist vs liberal会怎么过去呢?我感觉宗教改革并没有收场,只是宗教已经不再是大家重点的关注了。那么要等到现在的主题(资本主义对社会主义、populist对liberal)也淡出世界舞台才会结束?从Brexit来看,populist vs liberal已经替代了传统的经济阵营,造成工党和保守党各自自身都在是否脱欧方面裂成一半。所以其实核心问题是,人类怎么组合成一部分,去欺负另一部分人类。并没有进步,只有改头换面。(我可能是在胡说八道,但可能也有点道理。。。)

还有一个细节是,上说烧女巫这件事,虽然天主教和新教其实都没宣称对方是女巫,(好像天主教烧得比较好多,但新教地区也有非常可怕的案例。萨勒姆就是新教地区)但是的确在新教兴起的时期比较盛行。很可能烧女巫和宗教改革的冲突并没有直接联系,但因为宗教改革的冲突,社会上有一种紧张的气氛,觉得需要管管,让社会净化,所以才有这么多迫害。这又让我想起前一阵看到RTD综合他朋友和阿特伍德说的一句话:当社会紧缩的时候,弱势群体总是最先受害。(阿特伍德说的是女人,RTD朋友说的是同性恋。)所以呢,虽然我支持的一方胜出是不可能在有生之年等到的(你就是忽略书里教的新教和天主教都还不到哪里去),就算等到了也是被别的形式的冲突替代了,那我还是并不选择在此生加入某一方去欺负另一方,这是因为我永远同情弱势群体,因为我是女人,it could always have been me.

好了以上是我强行把这本非常中立的书用我的偏见理解一遍。因为没有偏见的话我就看不懂,就感觉没有有意义的东西可以记。