「加密」一詞被濫用
私隱是基本權利。今時今日,我們全面倚賴電子資訊科技通訊,為了保護私隱加密是基本要求。不幸地「加密」一詞被濫用多時, 太多軟件或通訊方式自稱「加密」卻沒有清楚描述加密的整個過程,更甚者偷換概念以混淆視聽。不少用家亦大安旨意,只要看到「加密」一詞便釋除疑慮,不再深入考究。先看一則事實。私隱專員公署於今年四月發表《社交媒體私隱設定大檢閱》報告,測試十款常用社交媒體程式,結果發現WeChat是唯一一款在用戶傳送訊息時沒有採用端對端加密(即End-to-End Encryption)。WeChat 回應稱傳送者及收訊者與伺服器連繫時有加密(即Encryption in Transit),與發送方及收訊方端對端加密完全是兩回事,不能排除其伺服器有讀取訊息的能力。只要伺服器有能力讀取訊息,這些訊息就有被審查、過濾、竄改、內鬼竊看、假冒身份發送、意外竊漏、後門讀取、分析、傳給第三方、黑客入侵取用等各種風險。端對端加密是通訊標準,任何軟件刻意不用,讀者自行取捨。另一邊廂,消委會去年8月的報告竟將WeChat 傳送資料保密性評為4.5分(5分滿分)。筆者並不了解消委會的評測基準,一般市民更難搞清來龍去脈。
瞭解加密基本概念
這裏先粗略解釋加密的運作。加密就是透特定的算術程式將資料轉換及還原。坊間有很多成熟的加密算術程式,經過反覆驗證並被廣泛應用.例如AES、Twofishes、Camella等。算術程式需要一個參數,不同參數得出不同轉換結果,這個參數可稱之為「鎖匙」。鎖匙可分兩類,第一類是加密及解密都是倚賴同一條鎖匙,通常是由輸入的密碼經過「加鹽」(Salting,即加上隨機字串)然後雜湊演算(Hashing)而生成。這類加密主要用作個人資料加密,例如你的電腦及手機內存、移除裝置、又或放在雲端上的資料等,沒有其他人需要知道密碼(即鎖匙)。但用作傳輸通訊的加密情況較為複雜,因為對方需要解密,你要告知對方解密鎖匙,但若果解密鎖匙沒有加密,豈非白費心機?數學家就另闢蹊徑,制定了雙鎖匙交換技術(Diffie-Hellman Key Exchange) ,一條鎖匙是公開鎖匙,可任意傳送分享。公開鎖匙有一條對應的私人鎖匙,用作解密之用。當通訊時,發訊方利用對方的公開鎖匙加密,收訊方就可用相應的私人鎖匙解密,第三方因沒有私人鎖匙無法解密。在實際操作上,雙鎖匙自動生成並適時更換,在軟件背後運作。上述撇開了很多技術細節,目的是讓讀者掌基本概念,從而理解三個重點,就是加密方法、關係方及鎖匙。
查清加密關鍵元素
任何標榜「加密」的軟件或通訊必須清楚檢驗所指。在實際操作中首先你要查找其加密方式,如果不是基於公開並廣泛應用的方式又或沒有公開,可能隱藏安全漏洞,應儘量避免。其次是留意鎖匙生成,例如Office 2010之前的上鎖文件,既沒將密碼「加鹽」,雜湊演算後得出的結果亦太短,加密容易被破解。之前本欄已介紹過,個人加密儲存利用Veracrypt是理想的選擇。在通訊方面,避免使用非採用端對端加密的軟件和通訊。即使是端對端加密,你亦要查清楚私人鎖匙收藏在哪裏,較佳的是儲存於個人裝置特定位置或可移除的密碼器硬件內。若私人鎖匙存放在伺服器,伺服器擁有者理論上就有足夠資料將通訊解密,應避免使用。有時查找這方面的資訊並不容易,可嘗試查找忘記密碼的處理方法,若果只要一條簡單連結就可重設密碼,而且取回所有資料,而不是預先警告遺失密碼將失去資訊,伺服器極可能存有解密鎖匙。即使是端對端加密,仍要查清楚那些資訊加密那些沒有加密。相關資訊可在網上查找,或直接閱讀軟件的安全資訊文件,而好的軟件往往透明度高。留意最好的軟件亦可能會有一些資訊非加密處理,例如WhatsApp,通訊內容加密但你發訊給那個號碼(實名制下就能查出登記人)則被記錄。又例如Protonmail,電郵內容是加密,但收件人、電郵題目欄、聯絡人內的名稱及電郵則可被Protonmail讀取。對於沒有加密的資訊,必須以另外方式保護。
在資訊安全的層面,常常一個細節就是安全與否的分界線。若不搞清這些細節,你可能墮入陷阱更不自知。時時刻刻保持頭腦清醒,打爛砂盆問到篤,才是自保的方法。◇
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
