問︰近日,都有很多加密匙保安太弱的問題被暴露出來,其中比較嚴重是英飛凌公司的TPM晶片,因為所用的加密演算法程式太弱,產生很多加密匙都很容易被黑客攻破,這到底是怎樣一回事?
李建軍︰所謂的TPM晶片,中文名叫可信平台模塊,由2006年後出產的手提電腦,以及不少手機都內置這個晶片,為產生加密匙時提供一個獨一無二的簽署,提高黑客破解的難度。而德國英飛凌公司出產的TPM晶片,其實的一個程式庫出現漏洞,黑客可以透過取得公用匙,推算出私密匙的資料,這會對很多人的系統構成相當大的威脅。由於很多手機和電腦都使用英飛凌公司的晶片,所以現時有可能要對不同的電腦或手機軟件作出大規模更新,以補救這個漏洞所造成的問題。由於用戶不一定知道自己的電腦或手機,或用作產生加密匙的機器,是否受這次事件影響。因此,我會建議聽眾,儘早對日常使用的加密匙,特別用作加密電郵用的加密匙,以及自己網站的數碼證書作出測試,以策安全。
問︰那我怎知自己的PGP或其他加密匙所用的加密技術有沒有問題,是否容易被攻破?
李建軍︰如果用PGP或其他加密匙,可以透過研究這個保安漏洞團隊組織的網站,測試一下PGP或其他加密匙,是否受這次英飛凌公司晶片所用的RSA程式庫太弱問題所影響。這次翻牆問答,我準備了視頻,示範如何對你用的加密匙作出測試,歡迎各位聽眾瀏覽本台網站,收看有關視頻。
問︰在之前的翻牆問答曾介紹一些二步認證用的USB加密匙,在這次事件有否受影響,因為不少都使用英飛凌公司的技術。
李建軍︰近年買的型號應不受影響,但早期的型號有可能出問題,最好前往製造商的網站下載最新軟件,修補相關漏洞。這次事件由於可以靠軟件來修補,因此現時使用USB二步認證匙為戶口加密的聽眾,不用買新型號,或者停用手上的二步認證匙。
問︰近日除了英飛凌公司的TPM問題,另有Wifi WPA2加密有漏洞的問題,這是甚麼漏洞?暫時有否解決方案?
李建軍︰WPA2由於演算法有漏洞,黑客可以突破加密機制,甚至連http加密都可以突破,取得用戶不同敏感資料。只不過這個漏洞同樣可以利用軟件修補,現時Windows以及Mac,還有iOS設備,都可以透過更新作業系統作出修補,只要你的作業系統是最新版本,那就不會受到這個問題困擾,一切在Wifi上的通訊,基本上是安全的。
但這次事件的重災區其實是Android手機,Android 6.0以上手機的受災情況最嚴重,而谷歌預料在11月中至12月初,才陸續發放修補漏洞的軟件,所以現時使用Android手機的聽眾,不要透過Wifi處理敏感資料。由於中國情況比較特殊,國有電訊公司都信不過,因此,在海外可以純粹關閉WiFi,用3G和4G網絡處理財務敏感資料,但在中國,很可能要停用任何Android手機處理敏感資料,直至谷歌以及你的手機生產商推出更新軟件,並成功安裝為止。
部分小廠商有可能不提供更新軟件,這意味著你的手機一直會受到這個保安漏洞所困擾,若然你的手機未有軟件更新,唯一可以做的,就是不要在這部手機處理任何敏感資料,並且另買一部新機,而新機的作業系統必須在購買的時候,已經更新妥當。
0:00 / 0:00