入侵VPN的方式,不外乎是利用漏洞來破解加密,或是使用不正當的方法來竊取金鑰。除駭客以外,密碼分析師採取加密攻擊,以在沒有金鑰的情況下將被加密的檔案回復成單純文本。儘管破解加密在運算方面非常耗費心力與時間,有時可能得花費數年。
不少人會試圖竊取金鑰,因為比破解加密容易許多。這是情報單位在面對這樣的挑戰時會採取的方式。他們不透過運算來達成目的,而是透過在技術上取巧、運算效能、詐欺、法庭裁定及幕後勸服(走後門)等方式來取得成功。加密背後仰賴的數學運算極其牢固且複雜。
美國的揭密者愛德華·施諾頓及安全研究人員所揭露的資訊顯示,美國情報單位(NSA)確實破解了包含VPN在內大量加密的網路流量。施諾頓檔案顯示NSA的VPN解密基礎建設涉及攔截加密流量,並將某部分數據傳送至具強大運算能力的電腦,藉此取得金鑰。
安全研究人員艾力克斯·海德曼及納迪亞·合寧傑同樣呈現了指證歷歷的研究結果,指出藉由一次使用迪菲–赫爾曼運算法、名為Logjam的攻擊,NSA確實得以發展出足以解密大量HTTPS、SSH及VPN流量的效能。
他們的成功乃是立基於利用執行迪菲–赫爾曼運算法中的弱點。此弱點的根源來自於加密軟體在安裝啟用中使用了一個標準化質數。研究人員估計,要建造一台超級電腦來破解一個1024位元的迪菲–赫爾曼質數,必須耗費一年以及數億美元(剛好是NSA的年度預算)。
不幸的是,真實生活中常被使用於如VPN的加密應用的質數寥寥無幾(少於1024位元)– 因此更為容易被破解。如布魯斯·史內爾所言:「數學是好的,但數學沒有代理人。密碼有代理人,而密碼已經被顛覆。」
您是否仍該使用VPN?
對服務供應商來說,研究團隊建議使用2048位元或更多迪菲–赫爾曼金鑰,同時研究團隊也發表一份有關其傳輸層安全協議配置的指南。網際網路工程任務小組(IETF) 也建議使用近期修正、改用較長質數的協議。
間諜或許有辦法破解迪菲–赫爾曼金鑰中常用、上至1024位元的質數(約309位數)。但2048位元金鑰中的質數將對他們造成很大的困難,因為他們將花很長的時間來解密這些被保護的數據。
對使用者來說,儘管情報單位確實有辦法使用其用來對付加密流量的辦法來應付VPN和其他加密協議,增加自我保護仍比使用單純文本進行溝通來的安全。儘管您的電腦可能被入侵,但駭客將花上時間與成本 – 要入侵您的電腦需要付出不少代價。您越不引人注目,您越安全。據愛德華·施諾頓所言,「加密是有效的。適當使用可靠的加密系統是少數你能依賴的辦法之一。」盡可能避免主要以MD5或SHA-1等雜湊運算法為基礎的VPN,以及PPTP或L2TP/IPSec協議。盡量使用支持 OpenVPN(被公認是最為安全的)和SHA-2近期版本的VPN。若您無法確定您的VPN使用哪個運算法,去查看VPN文件或聯絡客服。
VPN是您的朋友。相信加密,相信數學。盡量使用VPN,並盡可能確保您的使用端受到保護。如此一來才能在面對加密連結受到打壓時保持安全。
No comments:
Post a Comment