信任和安全的話題過于龐大，涉及很多數(shù)學(xué)知識，直接涉及 “正事” 反而不利于理解問題的本質(zhì)，因此需要先講一個前置作為 part 1。

part 1 主要描述物理世界的信任和安全，千萬不要覺得數(shù)字世界是脫離物理世界的另一天堂，它只是效率高了，讓物理世界被認(rèn)為不可能的事變得可能，同時由于不可能的事變得可能了，它帶來的問題也要一并解決。

我用棘輪裝置設(shè)計了一個物理世界的非對稱加密裝置，實現(xiàn)類似 rsa 的效果：

• 公鑰加密：任何人都可以放東西進(jìn)去。
• 私鑰解密：只有有鑰匙的人才能把物品取出來。
• 私鑰加密，公鑰解密：持有鑰匙的人把物品放入，任何取出物品的人可以確定這個物品是特定持有鑰匙的人放入的，這機(jī)制可做簽名。

從網(wǎng)上找了一個可轉(zhuǎn)向棘輪原理圖：

下面是一個設(shè)計(并非唯一，但細(xì)致)：

還可以抽象出一個更簡單的實現(xiàn)方式：

箱主鑰匙旋至 180°，聯(lián)動裝置促使箱口內(nèi)凹，初始狀態(tài)為 1，分發(fā)箱子給別人，別人通過彈簧片可將物品推入箱內(nèi)卻無法取出，只有箱主插入鑰匙再旋 180° 到狀態(tài) 2，箱口外凸，方可以取出物品。

當(dāng)箱子位于狀態(tài) 2，箱主可將物品推入箱內(nèi)，之后再旋轉(zhuǎn)鑰匙 180° 至轉(zhuǎn)態(tài) 1，將箱子分發(fā)給接收者，接收者方可取出物品并確認(rèn)物品只能是箱主推入。

總結(jié)一下，箱子處在狀態(tài) 1，任何人都可存入物品，只有箱主可取出，箱子處在狀態(tài) 2，任何人都可取出物品，此物品一定由箱主推入。

?這樣子給小孩子講非對稱操作應(yīng)該可行。

我：你在一個信息幾乎透明可被任何人截獲的環(huán)境下和不能對方的人通信，要怎樣？
孩子：要把信息加密。
我：如何加密，密碼傳給遙遠(yuǎn)的對方嗎？如果密碼被經(jīng)理截獲了怎么辦？
孩子：…
我：使用上述裝置，給對方一個瓶子，讓對方把密碼塞進(jìn)去，只有我有鑰匙能打開瓶子獲得密碼，就不怕被截獲了。
孩子：既然都能塞進(jìn)密碼，如果有多個塞入，我打開瓶子后，怎么確定哪個是特定對方塞入的。
我：瓶子里只能有一個密碼。
孩子：如果你希望獲得 A 發(fā)來的密碼，結(jié)果壞人 B 截獲了瓶子，塞入了自己的密碼發(fā)回來了怎么辦？
我：A 從權(quán)威機(jī)構(gòu)那里獲得一種特殊的更小的小瓶子，并且擁有小瓶子的鑰匙，A 用鑰匙打開小瓶子，密碼裝進(jìn)小瓶子里，再把小瓶子裝進(jìn)大瓶子里，就好了。
孩子： 壞人沒有這種小瓶子嗎？
我：是的，壞人沒有。所以壞人就算搶了一個小瓶子，也沒有鑰匙打不開它，就放不進(jìn)密碼。
…

我們從沒見過類似的裝置實現(xiàn)安全認(rèn)知需求，因為在物理世界，我們有更好更方便的。

任何人都可以放錢到存錢罐，只有存錢罐的主人可以用鑰匙打開它拿出錢；只有管理員可以往自動售貨機(jī)里加物品，但所有人只要投錢就能取出；帶玻璃窗的公示欄每個人都可以看，但只有科長有權(quán)限打開玻璃門張貼新告示；印章和簽名也能從細(xì)微之處認(rèn)證每一個人或機(jī)構(gòu)。

在線下物理世界，我們會配合使用鎖，鑰匙，玻璃窗，印章，簽名，嚴(yán)格的法律等手段滿足非對稱安全需求，因為它們的操作時間處在同一個數(shù)量級，然而在線上世界，操作時延的差異被放大，使用不同的方式自然會引入木桶短板效應(yīng)拖慢整個系統(tǒng)，固然需要一個統(tǒng)一的非對稱算法，也就是我設(shè)計的上述裝置在物理世界的描述，大概就是 rsa，ecc 這類。

此外，物理世界本就是 “零信任” 的，然而互聯(lián)網(wǎng)最初卻建立在普遍信任的基礎(chǔ)上，這導(dǎo)致原則上基于 ip 地址的互聯(lián)互通，包括攻擊等惡意流量在內(nèi)的所有流量在互聯(lián)互通的原則上真的就是互聯(lián)互通，惡意流量從物理層到應(yīng)用無需付出太大代價就能在互聯(lián)網(wǎng)注入惡意，這也是互聯(lián)網(wǎng)安全的核心問題。

一個不那么技術(shù)但卻典型的例子是任何人都可針對任何人攻擊。謾罵，網(wǎng)絡(luò)暴力無處不在，你甚至不知道罵你的人在哪里(顯示 ip 地址本身爭議很大)，任何人都不需要對說過的話負(fù)責(zé)，互聯(lián)網(wǎng)事實上是一個準(zhǔn)匿名世界。然而實名制，防火墻等措施在另一方面又違背的網(wǎng)絡(luò)中立原則，左右都是錯。

物理世界的不與陌生人說話的零信任原則在互聯(lián)網(wǎng)世界其實并不適用，它和互聯(lián)網(wǎng) ip 地址互聯(lián)互通相違背，互聯(lián)網(wǎng)架構(gòu)讓零信任的實施過程非常不便。

總之，信任和安全的話題非常大。從技術(shù)上講，目前的互聯(lián)網(wǎng)安全都屬于案例，案例終究還是案例，并不會改變互聯(lián)網(wǎng)根基，這些案例，以及其涉及到的算法，注入互聯(lián)網(wǎng)的復(fù)雜性，我們可以從過往的 pki，ipsec，ssl/tls 等術(shù)語從可見一斑。很多人爭論，互聯(lián)網(wǎng)安全永遠(yuǎn)是最后貼上去的 patch，從來不是內(nèi)置的，從這個視角看，物理世界也一樣，出了事再說，規(guī)則和法律在不斷完善，而不是被設(shè)計好。

浙江溫州皮鞋濕，下雨進(jìn)水不會胖。