問:雖然現時已經在5G年代,但似乎GPRS技術遺留的問題,仍然影響每一位聽眾,有研究指,當年歐洲制訂電訊標準的機構,在GPRS手機所使用的GEA-1加密技術故意被削弱了,為了留有後門使用較短金鑰,造成相當多的問題,能否為大家解釋一下?
李建軍:現時雖然是5G年代,甚至有部分網絡供應商都已經不支援GPRS,但GPRS普遍仍是大部分手機以至網絡供應商支援的技術,至少會用於後備通訊用途,當你的手機5G、4G甚至3G訊號都收不到的時候,2G為本的GPRS其實仍然會收得到。
第一代GPRS技術使用的GEA-1加密技術,在推出的時候,其實美國政府已經放寬加密技術的金鑰長度限制到64位元,當時大部分美國以外的瀏覽器都用56位元的長度,以當時的技術水平而言是足夠的。不過,歐洲的電訊標準制訂機構,為了留後門供政府部門使用,所以故意用40位元這樣短的金鑰。而當時並無預計電腦運算能力增長得那麼快,亦沒有預計到,GPRS技術在三十年後都仍然是後備通訊技術。
而太短的金鑰,不單留後門給執法機構,更為執法機構帶來大量的麻煩,因為其他黑客甚至海外情報人員,一樣可以使用這樣短的金鑰留下的後門,從事各類不法活動,例如偷竊目標人物資料,只要黑客利用程式,強迫手機使用GPRS技術連接,黑客就可以達到目的。因為GPRS模式要破解輕而易舉,結果執法部門反而要花更多時間,去對付那些濫用後門的黑客,這一點是歐洲制訂標準的機構,未有深思熟慮的結果。
問:究竟這個問題是否能夠解決,還是要存在於各國電訊網絡好一段時間?聽眾又有甚麼可以做?
李建軍:聽眾除了選擇沒有GPRS網絡服務提供的流動電話供應商,基本上很難解決這個問題。
有部分國家未有就此問題構成困擾,因為這些國家的電訊已經關閉2G網絡,包括GPRS網絡,只要你小心設定漫遊功能,避免漫遊到仍然保存2G網絡的國家或網絡,基本上都不會因此造成太大影響。不過,並非每一個國家都像部分歐洲國家乾脆關閉保安功能較差的2G網絡,有部分國家,因救災系統,或其他因素影響,寧願關閉3G網絡,都不放棄GPRS的情況,那就不可以透過轉台去避過這一個問題。
另一方面,不少保安專家都呼籲手機製造商,不要再支援以GEA-1技術為本的GPRS,如果未來的新電話,會自動拒絕使用GEA-1技術的連接,相信都會減少受影響的人次。但手機製造商能否放棄舊制GPRS,仍要視乎電訊公司的態度。因為手機製造商設計手機時,為了未來與電訊公司合作出售手機增加利潤,都盡量維持與電訊系統兼容度,這個造成很多手機製造商,根本不敢為照顧消費者私隱,不再使用GEA-1有關的加密技術。因此,未來未必有太多手機製造商,會廢除GEA-1以及很多由GSM年代留傳的「老爺」技術。
問:如果我的手機網絡是使用北美CDMA技術,又會否受到影響?
李建軍:雖然現時4G和5G,幾乎無分歐洲或北美技術,但2G和3G部分,仍然有所分別,如果你的手機網絡是建基於過往的北美CDMA技術,手機顯示轉成2G模式時,使用CDMA並非GPRS,那幾乎不會受影響,因為CDMA技術的理念,以及加密技術原理,與歐洲制式的GSM和GPRS是完全兩回事。
但有部分原本使用CDMA技術的網絡,在轉成4G的時候,一次過更換基礎設施,轉成GPRS技術為本,那就另作別論,就會受到這次事件影響。如果你在北美居住,大部分都是CDMA網絡,那不會受影響。