你在網路上的通訊,會習慣性加密後傳輸嗎?但 NSA 告訴你,大部分加密是沒有用的,這些加密和傳輸方式他們可是有辦法一窺究竟。日前德國媒體 Der Spegel 刊登兩位資安專家共同撰寫的文章,他們挖掘史諾登爆料檔案,公佈 NSA 內部文件,最引人注目的是他們能夠破解的加密方式清單。
Tor 專案的工作人員 Jacob Appelbaum,以及 OTR 專案的 Aaron Gibson 發現,雖然情報單位的魔爪無處不在,但是一般人只要用對加密方式,搭配採用數種方法,他們也很難將文件還原回來,解讀出有用的情報。
早年只有情報單位有資源有能力加密訊息,所以針對加密的訊息攔截,解密的內容往往來自外國政府。過去的時代針對加密的訊息解密很合理,但如今各種商業往來,或是個人注重隱私想保護自己的通訊內容,往往用加密方式處理。但是情報單位會想盡各種辦法解讀裡面的訊息。
▲ NSA 的文件顯示加密連線威脅情報工作。NSA 文件 via Der Spegel
Skype、Facebook聊天室 NSA 輕鬆破解
NSA 將破解加密的難度,分成五個不同等級。儘管不少通訊軟體宣稱他們的加密很安全,能保護通訊雙方的隱私,但在 NSA 的眼中,實際的情形往往不是如宣稱的那樣堅不可破。
比如,大家慣用的 Skype,根據 NSA 的內部文件,Skype 為影音通訊新增加密功能, 2011 秋天 NSA 就破解了。Skype 被列入需破解的項目,到實際完成破解,前後不到半年的時間。監控 Facebook 聊天室對 NSA 是小菜一疊,攔截解密俄國的電子郵件提供商 mail.ru 郵件也不會太困難。
這五種安全工具能讓NSA傷腦筋
被歸到第四級難度的加密方式則讓 NSA 頭痛了,被歸到這類的工具有:Zoho郵件服務、Tor、TrueCrypt、PGP、OTR。
像是使用加密強度很強的 Zoho 郵件服務,或是監視 Tor 的流量狀況。加密磁區的工具 TrueCrypt 讓 NSA 相當頭痛,去年五月 TrueCrypt 宣佈停止開發,也許是受到來自政府的壓力。
比較值得信任的,是二十年前開發的 PGP ,1993 時美國政府視 PGP 為軍用品,還限制 PGP 不得任意出口。2012 年時 NSA 仍對 PGP 束手無策。
能夠加密通訊往來的 OTR (Off-the-Record) 通訊協定,也對 NSA 造成困擾。內部文件顯示他們雖然透過與美國網路公司合作攔截訊息,但是 OTR 處理過的訊息並無法解密,束手無策。
由於 OTR 和 TrueCrypt 的原始碼都是公開的,經過許多高手修正過,這種集眾人智慧的工具往往相當安全,讓 NSA 很難找出漏洞攻擊。非開源的加密軟體,則容易被 NSA 影響,留下漏洞,或是設計得稍微不安全。
VPN 並不安全
其他的加密保護方式,VPN 其實不夠安全,而 SSl/TLS 則早就可以輕易攔截破解訊息。NSA 有 12 人的團隊負責攔截希臘政府的 VPN 連線。根據不同的協定,VPN 有不同的運作方式,像是 Point-to-Point Tunneling Protocol (PPTP) 和 Internet Protocol Security (Ipsec),其中 PPTP 已經被專家認定不夠安全。NSA 內部的密碼破解員還提議遊戲 FOURSCORE,比賽誰能破解最多 PPTP VPN 連線的 meta 資料。
而 SSL/TLS 連線則有辦法監控內容。英國情報單位 GCHQ 每週會製作報表,統計監控的服務 SSL 連線次數。
NAS球員兼裁判的雙重身份
NSA 熱衷破解密碼,但也要為政府提供資安建言。NSA 同時對 National Institute of Standards and Technology (NIST) 提供資安建議。像是 NSA 建議政府用 Advanced Encryption Standard (AES) 加密資料,並且時時會去測試其安全性。其中一份洩漏的文件顯示 NSA 自己嘗試破解自己推薦的加密方式,像是 Tor。
NSA 是用什麼方法破解密碼呢?任何他們想得到的方法,包括參與社群活動。NSA 會派人參加研討會或是資安標準工作小組,像是 Internet Engineering Task Force (IETF),瞭解最新趨勢,甚至還影響協定的制訂過程,想辦法把這些資安標準的安全性降低,降低破解的難度。
政府情報破解加密,和民眾保護個人隱私的戰爭會一直打下去,不會因為史諾登爆料而重挫情報單位的實力。如果重視隱私,可以用 Tor 搭配上面提到的連線方式,或者是用 ZRTP 加密。不過這份 NSA 內部文件是兩年前的,有人就擔心 NSA 已經能夠把原先認定安全的加密方式破解。
