問:谷歌推出新功能,現在起在Gmail以及其他使用以Gmail為基礎的電郵服務上,認證帳號會被加上藍剔。這項功能對用戶有甚麼好處?又該怎樣做才能獲得藍剔認證?
李建軍:電郵是一種相當「古老」的技術,比Web技術更早得多出現,幾乎是現代互聯網第一項應用。經過多年以來發展,由於當初推出電郵這項技術時,並無假冒主機的問題,以致後來出現了很多釣魚電郵問題。近年為了解決假冒其他公司的釣魚電郵問題,谷歌以至其他業界人士,都在研究電郵來源認證的技術,希望可以幫助用戶更容易辨認電郵的真假。在以往,只有對互聯網技術有相當認識的人,透過閱讀電郵上的技術資料,才能辨識出假的電郵,但具備這種能力的人不多。
谷歌的新做法,是透過同時查核電郵來源的IP,以及電郵上的數碼簽名,去確認發件人的真實身份。如果電郵來源IP與其標榜的發信公司DNS登記脗合,而數碼簽名又可以作出核證,那谷歌就會自動將藍剔加在電郵之上,證明電郵確由相關公司發出,這樣便能杜絕那些偽裝成大企業的釣魚電郵,從而減低散播木馬或病毒的風險。
而企业用戶要得到藍剔認證,亦不用特別向谷歌申請,只要依照谷歌的技術指引,妥善部署相關的數碼簽名就可以,因為數碼簽名相關的數碼證書認證,已經某程度是一種核證身份過程,所以谷歌就不用多此一舉,要求企業向谷歌付費後再取得藍剔。現時谷歌Gmail已經對合符資格的電郵加上了藍剔。
問:這技術聽來很不錯,但有沒有甚麼限制呢?以後我們就不必擔心中國當局散播的釣魚電郵了嗎?
李建軍:這項技術仍需要一段時間普及,估計大部分西方大企業以及政府部門都會逐漸部署相關技術,防止有人盜用其招牌搞假冒電郵,相信日後能有效杜絕相當一部分偽裝成大公司電郵,去竊取資料的行為。
只不過,暫時該技術只能防範偽冒大型機構的釣魚電郵,並不能對散戶身份作出識別。換言之,Gmail用戶可識別出他人以假冒的大機構郵箱對其發送電郵,但對一般普通用戶身份的釣魚電郵,就因沒有藍剔機制,很難辨別出對方的真實身份。除非谷歌在個人郵箱中引進類似推特、臉書的藍剔認證機制,否則仍然離完全防止這類偽冒行為有一段距離。
問:那麼對散戶而言,要防止自己的電郵被中國當局偽冒,有甚麼好方法?
李建軍:現時個人假如有專有的域名,即可透過谷歌的收費服務,部署各類所需技術,從而取得藍剔認證,杜絕中國當局或者其他人偽冒。
現時購買域名十分便宜,不少域名,只要數美元就已經可以註冊用一年,這也是近年假冒域名橫行的其中一個原因,因為現時要註冊域名真的又便宜又容易。
註冊域名時,應避免採用中國、香港或澳門為國家碼的域名,因為這些域名都難免要向當地互聯網域名管理組織登記,而這些組織,大部分都有政府參與,甚至是政府部門,這與送羊入虎口無分別。在海外登記域名,並且選擇不向公眾披露域名持有人的資料,這對你的保障最大——既可以有自己的域名以便取得電郵藍剔,又不用因域名持有人資料披露問題而惹上麻煩。
而在海外登記域名,最好自己翻牆去海外的域名公司購買,不要向中國那些公司購買,以避免中國公司將資料交付中國當局。