中共破解AirDrop私隱
前周,中共司法局官網上有文章稱,蘋果手機Airdrop功能的匿名性被破解,傳送資料中可識別發送者身份,繼而緝捕那些發送中共政權認為不當資訊的人。在業界層面這是一件大事,但普羅大眾可能未意識到有甚麼影響。先說事件來龍去脈。蘋果的AirDrop功能令用戶可以繞過電訊網絡,直接在範圍內的蘋果手機收發資料。民眾可利用該功能互相傳送資料,避過審查。此功能令中共非常害怕,並壓迫蘋果對AirDrop實施限時功能,但仍無法全面阻截民眾使用。有人收到Airdrop訊息後向執法機關舉報,並將iPhone送往分析,結果被政權利用「彩虹表」將湊集數(Hash)中隱藏的發送者手機號碼資訊還原,實名制下電話號碼等同身份證,從而鎖定訊息發送者身份。一向強調產品私隱安全的蘋果公司,對相關報道暫未有回應。事實上,早於19年專家早已發現Airdrop的相關漏洞,並告知蘋果修正,但蘋果一直沒有採取行動,21年專家再次提醒修正,要求蘋果在相關程序「加鹽」,蘋果仍未有理會。這宗事件中共是贏家,除了打擊蘋果的聲譽,對那些行使中國憲法第35條及40條享有言論自由及通訊秘密受到保護的民眾將產生寒蟬效應。
認識基本保密術語
上述牽涉了三個術語:湊集數、彩虹表及加鹽,皆是資料保密的重要概念。湊集就是利用數學方程式將輸入資料生成指定長度的湊集數(Hash)。例如你有一個巨大的檔案,經過湊集計算可變成數十節的湊集數。湊集數的特性是相同資料相同的湊集程式永遠得出相同結果,當輸入中有任何一個字節不同,將會得出極不相同的湊集數。若取得湊集數而要還原輸入,只能隨機測試而無法推算。湊集數經常是公開資料,而且用作核對輸入資料,例如核對密碼。傳送及儲存敏感資訊時,例如ID,亦經常利用湊集數。所謂彩虹表就是利用預知的湊集程式,預先把一大堆組合計算湊集數並編成表格。當拿到湊集數,就可查找表格,若有對應,就可推斷輸入,破解密碼或ID。極權地區掌握民眾數據,極容易取得民眾儲存的密碼作分析,更可動用國家運算資源,令彩虹表威力增加。應對彩虹表攻擊,方法之一就是先把敏感資訊「加鹽」(Salting),即在資料加入隨機字節,然後再進行湊集,這樣彩虹表攻擊便難以運作。有兩點值得提出。其一,「加鹽」很多時亦是公開資訊,儲存在檔案的標頭或裝置內,拿到「加鹽」,就可重新計算彩虹表,是否值得花計算資源視乎目標。其二,為了展示湊集沒有漏洞,湊集公式亦經常是使用業界標準公式。儘管如此,增加湊集推算次數可令彩虹表組合大增而難以有效運作。
控制範圍內儘量做足
可見蘋果公司犯的是低級錯誤。要解決問題其實不難,就是替AirDrop「加鹽」,生產另一ID而非使用電話號碼作湊集,又或改變湊集程式推算。面對彩虹表攻擊威脅,應在個人可控制的情況下儘量做足,尤其是密碼處理。
首先,除非你能確定裝置特設安全硬件晶片,避免使用PIN作主密碼,因為組合有限,取得裝置,就有機會在儲存中取得「加鹽」資訊進行彩虹表攻擊。如果有一檔案讓你設定密碼才能開啟,你要知道密碼如何湊集。例如Microsoft Office的文件,取得檔案就可直接取得「加鹽」資料,而且湊集程式屬業界標準,所以超強密碼是唯一的保護。筆者建議使用開源密碼管理器生成長度達20字符或以上的密碼。同樣地,任何重要網上服務,應使用那些對密碼處理有足夠透明度的服務,並使用密碼管理器及啟動二次認證。
一些需要放在加密庫內的資料,你要要清楚加密庫生成加密鎖匙的方法。筆者前期文章推薦Veracrypt加密庫的開源軟件,從技術角度有多個原因。首先是自主「加鹽」而且有最低標準量,「加鹽」越多計算時間越長。其次是用戶可改變湊集數推算倍數,為生成加密鎖匙的湊集程式多加一個維度。再有就是容許附加檔案作為密碼的一部份。充份使用這些功能可完全杜絕彩虹表攻擊。
今日理解一些較複雜的技術不難,甚至有人工智能幫助,所以不要被專業名詞嚇到。湊集、彩虹表、加鹽等都與日常數碼生活息息相關,理解這幾個術語,有助避開陷阱。◇
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
