原文链接:https://zh.vpnmentor.com/blog/vpn可能被入侵嗎?我們進行了深入探討/
什麼是VPN?
虛擬私人網絡(VPN)讓您能創造一個藉由網路通往其他網絡或載具的安全虛擬通道。若您透過此虛擬通道使用網路,任何人 – 包括您的網路服務供應商 – 都難以窺探您的瀏覽紀錄。
VPN也幫助您掩飾您的位置,不論您身在何處,同時解開受到地理性限制的服務。VPN在訊息於公共網路流通時保護其機密性(使數據保持隱密性)與完整性(使數據原封不動)。
建立一個安全的連結相對來說十分容易。使用者先透過一個網路服務供應商連接至網路,接著透過使用客戶端軟體(在地安裝)啟動一個VPN與其伺服器的連結。VPN伺服器取得指定的網頁後,通過安全的管道交給使用者;如此一來,便能在網路中保護使用者數據的安全性及私密性。
VPN如何進行加密?
VPN協議是組針對數據傳輸及加密的協議規則。多數VPN供應商提供使用者從數個VPN協議中做選擇。某些最廣為使用的協議包含:點對點隧道協議 (PPTP)、第二層隧道協定 (L2TP)、網際網路安全協定 (IPSec),以及開放VPN(SSL/TLS)。
為了徹底了解VPN如何保護您的安全,我們必須更深入探討加密技術的原理。VPN使用「加密」技術來將您的可讀取數據(單純文本)進行加工,使其在網路傳輸過程中任何試圖解讀的人都完全無法讀取(密碼文本)。一個VPN協議的運算方式或密碼,決定加密和解密過程如何進行。VPN協議使用這些加密運算方式來隱蔽您的數據,以保持您瀏覽紀錄的私密性及機密性。
每個VPN協議的優點和缺點,取決於其所運用的加密運算方式。某些VPN供應商讓使用者從幾種不同的密碼間作決定。這些運算方式或密碼可以三個分類的其中一項為基礎:對稱式、非對稱式及雜湊運算方式。
對稱式加密使用一個金鑰來上鎖(加密),而使用另一個金鑰來解鎖(解密)數據。非對稱式加密使用兩個金鑰,一個用來上鎖(加密)而另一個用來解鎖(解密)數據。下表是對稱式及非對稱式間概要性的比較。
非對稱式加密是針對對稱式加密的內部侷限所提出的解決方法(如上表所示)。惠特菲爾德·迪菲與馬丁·赫爾曼著手開發了一項名為迪菲–赫爾曼的非對稱式運算法,以彌補前者的不足。
這個廣受歡的加密運算法成為許多VPN協議的基礎,其中包含HTTPS、SSH、 IPsec、及OpenVPN。該運算法讓兩個不曾會面的群體得以協商出一把秘密金鑰,即使是透過一個不安全的公開管道,像是網路,也不影響其溝通。
雜湊是一個單項式(不可逆)的加密法,可用來保護傳輸數據的完整性。多數VPN協議使用雜湊運算法來驗證透過VPN寄發之訊息的真實性。範例包含MD5、SHA-1及 SHA-2。一般認為MD5和SHA-1已不再具安全性。
VPN可能被駭客入侵,但非常不容易。未使用VPN而被駭客入侵的可能性遠高於使用VPN而被入侵的可能。
CVPN有可能被駭客入侵嗎?
VPN依舊是用來維護線上隱私最有效的方法之一。儘管如此,必須注意的是駭客可說無孔不入,尤其當您是身價可觀的目標,而您的對手擁有足夠的時間、資金與資源。好消息是多數使用者都不在「身價不菲」的分類中,因此不太可能成為目標。
入侵VPN連結的方式,不外乎是利用漏洞來破解加密,或是使用不正當的方法來竊取金鑰。除駭客以外,密碼分析師採取加密攻擊,以在沒有金鑰的情況下將被加密的檔案回復成單純文本。儘管破解加密在運算方面非常耗費心力與時間,有時可能得花費數年。
不少人會試圖竊取金鑰,因為比破解加密容易許多。這是情報單位在面對這樣的挑戰時會採取的方式。他們不透過運算來達成目的,而是透過在技術上取巧、運算效能、詐欺、法庭裁定及幕後勸服(走後門)等方式來取得成功。加密背後仰賴的數學運算極其牢固且複雜。
既存的VPN漏洞和濫用
美國的揭密者愛德華·施諾頓及安全研究人員所揭露的資訊顯示,美國情報單位(NSA)確實破解了包含VPN在內大量加密的網路流量。施諾頓檔案顯示NSA的VPN解密基礎建設涉及攔截加密流量,並將某部分數據傳送至具強大運算能力的電腦,再藉此取得金鑰。
安全研究人員艾力克斯·海德曼及納迪亞·合寧傑同樣呈現了指證歷歷的研究結果,指出藉由一次使用迪菲–赫爾曼運算法、名為Logjam的攻擊,NSA確實得以發展出足以解密大量HTTPS、SSH及VPN流量的效能。
他們的成功乃是立基於利用執行迪菲–赫爾曼運算法中的弱點。此弱點的根源來自於加密軟體在安裝啟用中使用了一個標準化質數。研究人員估計,要建造一台超級電腦來破解一個1024位元的迪菲–赫爾曼質數,必須耗費一年以及數億美元(剛好是NSA的年度預算)。
不幸的是,真實生活中常被使用於如VPN的加密應用的質數寥寥無幾(少於1024位元)– 因此更為容易被破解。如布魯斯·史內爾所言:「數學是好的,但數學沒有代理人。密碼有代理人,而密碼已經被顛覆。」
您是否仍該使用VPN?
對服務供應商來說,研究團隊建議使用2048位元或更多迪菲–赫爾曼金鑰,同時研究團隊也發表一份有關其傳輸層安全協議配置的指南。網際網路工程任務小組(IETF) 也建議使用近期修正、改用較長質數的協議。
間諜或許有辦法破解迪菲–赫爾曼金鑰中常用、上至1024位元的質數(約309位數)。但2048位元金鑰中的質數將對他們造成很大的困難,因為他們將花很長的時間來解密這些被保護的數據。
對使用者來說,儘管情報單位確實有辦法使用其用來對付加密流量的辦法來應付VPN和其他加密協議,增加自我保護仍比使用單純文本進行溝通來的安全。儘管您的電腦可能被入侵,但駭客將花上時間與成本 – 要入侵您的電腦需要付出不少代價。您越不引人注目,您越安全。據愛德華·施諾頓所言,「加密是有效的。適當使用可靠的加密系統是少數你能依賴的辦法之一。」盡可能避免主要以MD5或SHA-1等雜湊運算法為基礎的VPN,以及PPTP或L2TP/IPSec協議。盡量使用支持 OpenVPN(被公認是最為安全的)和SHA-2近期版本的VPN。若您無法確定您的VPN使用哪個運算法,去查看VPN文件或聯絡客服。
VPN是您的朋友。相信加密,相信數學。盡量使用VPN,並盡可能確保您的使用端受到保護。如此一來才能在面對加密連結受到打壓時保持安全。
没有评论:
发表评论