Pages

Wednesday, 28 August 2019

有政府利用根证书设陷阱,拦截通讯,监察民众

问:虽然网络科技日新月异,但个别政府侵犯民众网络私隐的手法亦层出不穷,像最近哈萨克政府推出的新数码根证书,就被发现有可能让政府监视民众的网络活动,因此被苹果、谷歌和Mozilla三大浏览器开发组织联手封锁,只有微软至今仍然态度暧昧。其实哈萨克政府的根证书有甚么问题?
李建军:数码证书看来是很简单的一回事,但实际并非如此,因为要确保整个加密通讯过程,并不会有人可以成功中途拦截资料,数码证书如何发出,必须有一套严谨机制,因此,数码证明的发出机构,一般要投资相当多技术和金钱,去确保整个证书发出过程可靠性,亦会寻求独立的机构,去证明证书发出机构,并不会利用签发证书的机会,暗中设陷阱偷资料。
而哈萨克政府,就滥用政府部门在签发数码证书时,一般被视为可信任机构的假设,暗中在根证书中加入陷阱,可以令哈萨克政府任意拦截加密的通讯,包括浏览脸书、GMail一类网站的通讯,对民众私隐有极大的威胁,因此,哈萨克政府成为中国政府属下CNNIC之后,另一个政府所签发的证书,不被主流浏览器开发组织承认。
问:这次哈萨克政府签出的根证书,与2015年CNNIC签发的证书不被信任,到底又有甚么不同?
李建军:2015年的CNNIC事件,主要是CNNIC签发假的谷歌证书,本身行为太明显有问题,因此被否定,这不涉及在技术上设下陷阱,藉机拦截网络通讯。
但这次哈萨克政府的狡猾程度,比2015年CNNIC事件严重得多,哈萨克是设计一个有缺陷的根证书,只要民众为了享受政府服务,安装哈萨克政府的根证书,哈萨克政府精心设计的监控系统,就因此获授权得到民众通讯的内容,因此,这次哈萨克政府的做法,比起CNNIC那次的做法先进得多。
问:如果政府部门滥用根证书签发权,成为了一种趋势,甚至日后中国都可能会出现类似情况,但使用一些政府网上服务,就难免要安装政府的根证书,那可以怎么办?特别主流浏览器都可能拒绝承认这些政府发出的根证书。
李建军:首先,个别政府可能滥用Chrome或Safari的源码,在加以修改后,推出特殊的浏览器,有可能各大电讯公司只接受使用特殊浏览器的用户通行,达致监视网民活动的效果,因为在各大浏览器开发组织杯葛下,只有政府推出一些奇怪的浏览器,才能够做到强迫民众安装相关的根证书的效果。
而要避免受到硬要安装的根证书和浏览器影响,可能用作翻墙用的电脑,必须与一般使用公共服务用的电脑分开。翻墙用的电脑,不要安装政府强迫的浏览器和根证书,为了避开当局的检查,就平常浏览网页都翻墙,以及避免浏览中国当局的网站,或必须使用当局强逼安装的根证书的网站和程式,相信有相当多国有的网上银行会受影响;而另一部电脑就安装了有问题的根证书,以及主力用作浏览政府网站,处理网上银行或公共服务申请。哈萨克这次事件,其实是警告中国民众,当局要千方百计偷取个人资料,其实是可以做得到,翻墙时不可以对这种技术趋势掉以轻心。

No comments:

Post a Comment