問:大家都知道,翻牆本身與加密技術是息息相關,無加密就無翻牆。現時加密技術五花八門,無論用OpenVPN,還是Shadowsock來翻牆,哪一類型的加密技術是最安全,亦最快?
李建軍:以現時電腦中央處理器技術的發展來看,使用AES是最好,因為大部分中央處理器,都有特別為AES而設計的指令集,令AES的加密和解密效率大為提升,可以用比較長的金鑰都無大問題。
但更重要的是,AES是現時最通用,亦最強的加密技術,美軍以至美國的重大國防機密,都是使用AES技術。直至現時為止,都未有人能成功破解AES較長金鑰加密下的資料。換句話說,在中國翻牆使用AES加密,會令中國當局難以破解,亦代表你的翻牆成功率越高。因此,不論你用OpenVPN,還是其他技術來翻牆,可以用AES的,都請盡量使用AES。
其他的加密技術,有部分可能相當具前瞻性,但卻可能因為坊間中央處理器支援度不足,而變得比較慢,以及不敢用盡可以用的金鑰長度,從而減損了保安程度。除非未來有更先進的處理器能支援更多不同種類的加密演算法,否則以現時業界標準而言,AES得到最廣泛的支持,其他加密演算法望塵莫及。
問:那麼在手機上是否同樣以AES比其他演算法更有優勢?
李建軍:在主流Android手機上使用的ARM架構中央處理器,大部分都支援AES指令集,因此,現代Android手機上對AES的支援是無庸置疑。蘋果iPhone有專門處理器負責加密工作,甚至蘋果手機內部的資料加密,實際上亦使用AES演算法。理論上,在因為手機一類設備的運算能力比較弱,故此使用原理相似的ChaCha演算法會比較有效率;但實際操作上,在手機上用AES,都不見得會慢很多,只是在本身未有專用晶片處理AES演算法的Android上,使用AES會導致耗電量略為增加,縮短電池壽命約莫十多分鐘,對大部分人而言這種差別只是微不足道。
問:現時中國當局有大量由支援AES運算法的中央處理器晶片組成的超級電腦,這些電腦被用於破解異見人士日常通訊。那麼要避過這些電腦的破解,AES金鑰要採用多少位元長度,才叫真正安全?
李建軍:AES採納128、192 或256三種不同長度的金鑰。AES雖然暫時未見有被暴力破解的報告,但最低級別128位元長度的金鑰,的確未必有足夠能力應付越來越強大的破解技術,所以我建議最低限度使用192位元的金鑰。而如果你是使用功能強大的最新型號手機或電腦,其實不妨用256位元,亦即現時流行最長位元的金鑰長度。在這種情況下,除非中國當局出動到量子電腦技術,否則即使使用超級電腦,破解256位元長度金鑰也需要千億年時間,實際上等同無法破解。
而在未來五年,量子電腦都不見得技術成熟至可以用於破解AES加密的程度,因為現時坊間仍然未有十分之成熟用於量子電腦的語言以至軟件,只有個別如谷歌的大公司,內部測試以量子電腦破解個別數學難題,與實際可以用於大規模商業應用的程度,相距十分之遠,更何況用於破解AES加密。
0:00 / 0:00