0
| 本文作者: 井三胖 | 2014-12-30 11:47 |
棱鏡門事件的主角愛德華·斯諾登又回來了!這次他披露一份2012年的美國國家安全局NSA的內部文件,表示在某些加密工具的保護下,NSA的追蹤監控依舊是無從下手。
德國《明鏡周刊》對斯諾登的文件解讀顯示,NSA給想要破解的網站和程序定義了一個“層級排名系統”,分為1-5級,亦即“無關緊要”(trivial)到“堅不可摧”(catastrophic)。而我們熟悉的社交網站巨頭Facebook,在NSA面前完全是不堪一擊,被列入進存在感最低的第一等級。
這份兩年前的文件顯示,NSA仍然尚未攻破一些電子郵件和聊天軟件,而這些軟件或服務都被NSA列入了第四等級“至關重要”(major)。其中有兩個典型的例子Zoho和Tor。NSA未能順利破解Zoho提供的加密電子郵件。而Tor是全世界最受開發者歡迎的給網絡流量進行三重加密的匿名瀏覽網頁的工具,利用全世界的志愿者計算機可以讓用戶流量在世界各地的電腦終端里跳躍傳遞,從而實現了匿名訪問的效果。所以說當NSA試圖追蹤整個Tor網絡時,用戶們就會面臨嚴重的問題,NSA的破解計劃又泡湯了。
另外讓NSA難以下手的還有開源加密軟件TrueCrypt,它可以在硬盤上建立虛擬硬盤,用戶按照盤符進行訪問,而所有虛擬磁盤上的文件都自動被多種加密算法加密。不過TrueCrypt已經在今年早些時候關閉了。
1991年推出的基于RSA公鑰加密體系的郵件加密軟件PGP,安全運行了這么多年,NSA仍未曾破解,成為其心心念念想要扳倒的對手。
不過話雖如此,并不意味著Tor和PGP的用戶便可高枕無憂。而最新的實際情況是,目前相關的執法部門已經成功實現了對Tor發起攻擊。一個雪上加霜的事實是,這份文件還顯示,曾經NSA難以破解的、行業最廣泛的加密標準之一AES加密標準,在經過NSA在經過兩年不懈的努力,也是終于被攻破了。
美國信息安全、密碼學專家Bruce Schneier曾經給出了躲避NSA追擊的溫馨提示,“越匿名,越安全”。如果上述這些頂級加密服務也只是被NSA列入了第四等級,那么“堅不可摧”第五等又該是如何滴水不漏的防御NSA的魔爪呢?
第五等通常是用戶綜合串聯起這一系列加密服務,例如在Tor網絡中使用匿名IM軟件和手機加密app,如RedPhone。《明鏡周刊》的原文稱,這一系列的加密軟件的結合導致了一種“完全失去了目標對象”的狀態。如此重重保護,也怪不得NSA攻不下。
世界上沒有絕對的“防火墻”,姜還是老的辣。除開這幾個比較棘手的對手之外,NSA的監控能力依舊是不可小視。追蹤普通的網絡文件對NSA來說簡直就是易如反掌。而在我們印象中堅固異常的VPN網絡,基本上也快陷入NSA的魔爪之中,NSA的新技術可以實現每小時監控數千個VPN連接。
對于網民們來說,最壞的消息是HTTPS貌似也不安全了。這個多年來號稱安全的超文本傳輸協議,基本上伴隨著網民上網沖浪的每一刻。其實只是網民們不知情,而實際上在NSA的追蹤下,HTTPS基本上是“毫無隱私”可言。NSA的內部文件顯示,早在2012年就實現了每天攔截1000萬個HTTPS連接。
雖然說這次揭露的是兩年前的NSA內部文件,但其價值仍然不可小視。不過專家們表示,在最近幾年中,NSA應該還是會對這些重量級的“上榜對手”們束手無策,畢竟在全匿名的服務中,NSA真的很難做到既不破壞本身的網絡秩序,又實現秘密監控的目的。
想起2013年棱鏡門事發之時,身處香港的斯諾登曾經說過,“為了避免受到NSA的監控,或許使用一整套的強大加密系統才是為數不多的抵御手段。”
對于安全人員來說,這個結果真是喜憂參半。雖然說加密工具在“防御NSA保衛戰”中獲得了勝利,而且NSA很多破解的標準仍存在瑕疵,但HTTPS被破解無疑拉響了警報,是該做出些行動了吧。
via mashable
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
