VPN可能被入侵嗎?我們進行了深入探討

我們檢視了VPN的規格並探討VPN是否存在任何可能遭駭客入侵的漏洞。

什麼是VPN?

虛擬私人網絡(VPN)讓您能創造一個藉由網路通往其他網絡或載具的安全虛擬通道。若您透過此虛擬通道使用網路,任何人 – 包括您的網路服務供應商 – 都難以窺探您的瀏覽紀錄。

VPN也幫助您掩飾您的位置,不論您身在何處,同時解開受到地理性限制的服務。VPN在訊息於公共網路流通時保護其機密性(使數據保持隱密性)與完整性(使數據原封不動)

建立一個安全的連結相對來說十分容易。使用者先透過一個網路服務供應商連接至網路,接著透過使用客戶端軟體(在地安裝)啟動一個VPN與其伺服器的連結。VPN伺服器取得指定的網頁後,通過安全的管道交給使用者;如此一來,便能在網路中保護使用者數據的安全性及私密性。

VPN如何進行加密?

VPN協議是組針對數據傳輸及加密的協議規則。多數VPN供應商提供使用者從數個VPN協議中做選擇。某些最廣為使用的協議包含:點對點隧道協議 (PPTP)、第二層隧道協定 (L2TP)、網際網路安全協定 (IPSec),以及開放VPN (SSL/TLS)。

為了徹底了解VPN如何保護您的安全,我們必須更深入探討加密技術的原理。VPN使用「加密」技術來將您的可讀取數據(單純文本)進行加工,使其在網路傳輸過程中任何試圖解讀的人都完全無法讀取(密碼文本)。一個VPN協議的運算方式或密碼,決定加密和解密過程如何進行。VPN協議使用這些加密運算方式來隱蔽您的數據,以保持您瀏覽紀錄的私密性及機密性

每個VPN協議的優點和缺點,取決於其所運用的加密運算方式。某些VPN供應商讓使用者從幾種不同的密碼間作決定。這些運算方式或密碼可以三個分類的其中一項為基礎:對稱式、非對稱式及雜湊運算方式。

對稱式加密使用一個金鑰來上鎖(加密),而使用另一個金鑰來解鎖(解密)數據。非對稱式加密使用兩個金鑰,一個用來上鎖(加密)而另一個用來解鎖(解密)數據。下表是對稱式及非對稱式間概要性的比較。

特性 對稱式 非對稱式
金鑰 多個群體共享一把金鑰 一個群體擁有一把公共金鑰,另一個群體則擁有私人金鑰
交換金鑰 需要使用安全機制來發送和接收金鑰 私人金鑰由擁有者保管,而公共金鑰則開放使用
速度 較簡單快速 較複雜緩慢
強度 較容易解開 較難解開
規模延展性 更好
用途 大量加密(亦即任何文件) 僅限金鑰分配及數位簽名
提供安全服务 機密性 機密性、身份鑑別及不可否認性
範例 DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 及 RC6 RSA, ECC, DSA, 及 Diffie-Hellman

非對稱式加密是針對對稱式加密的內部侷限所提出的解決方法(如上表所示)。惠特菲爾德·迪菲與馬丁·赫爾曼著手開發了一項名為迪菲–赫爾曼的非對稱式運算法,以彌補前者的不足。

這個廣受歡的加密運算法成為許多VPN協議的基礎,其中包含HTTPS、SSH、 IPsec、及OpenVPN。該運算法讓兩個不曾會面的群體得以協商出一把秘密金鑰,即使是透過一個不安全的公開管道,像是網路,也不影響其溝通。

雜湊是一個單項式(不可逆)的加密法,可用來保護傳輸數據的完整性。多數VPN協議使用雜湊運算法來驗證透過VPN寄發之訊息的真實性。範例包含MD5、SHA-1及 SHA-2。一般認為MD5和SHA-1已不再具安全性。

VPN可能被駭客入侵,但非常不容易。未使用VPN而被駭客入侵的可能性遠高於使用VPN而被入侵的可能。

CVPN有可能被駭客入侵嗎?

VPN依舊是用來維護線上隱私最有效的方法之一。儘管如此,必須注意的是駭客可說無孔不入,尤其當您是身價可觀的目標,而您的對手擁有足夠的時間、資金與資源。好消息是多數使用者都不在「身價不菲」的分類中,因此不太可能成為目標。

入侵VPN連結的方式,不外乎是利用漏洞來破解加密,或是使用不正當的方法來竊取金鑰。除駭客以外,密碼分析師採取加密攻擊,以在沒有金鑰的情況下將被加密的檔案回復成單純文本。儘管破解加密在運算方面非常耗費心力與時間,有時可能得花費數年。

不少人會試圖竊取金鑰,因為比破解加密容易許多。這是情報單位在面對這樣的挑戰時會採取的方式。他們不透過運算來達成目的,而是透過在技術上取巧、運算效能、詐欺、法庭裁定及幕後勸服(走後門)等方式來取得成功。加密背後仰賴的數學運算極其牢固且複雜。

既存的VPN漏洞和濫用

美國的揭密者愛德華·施諾頓及安全研究人員所揭露的資訊顯示,美國情報單位(NSA)確實破解了包含VPN在內大量加密的網路流量。施諾頓檔案顯示NSA的VPN解密基礎建設涉及攔截加密流量,並將某部分數據傳送至具強大運算能力的電腦,再藉此取得金鑰。

安全研究人員艾力克斯·海德曼及納迪亞·合寧傑同樣呈現了指證歷歷的研究結果,指出藉由一次使用迪菲–赫爾曼運算法、名為Logjam的攻擊,NSA確實得以發展出足以解密大量HTTPS、SSH及VPN流量的效能。

他們的成功乃是立基於利用執行迪菲–赫爾曼運算法中的弱點。此弱點的根源來自於加密軟體在安裝啟用中使用了一個標準化質數。研究人員估計,要建造一台超級電腦來破解一個1024位元的迪菲–赫爾曼質數,必須耗費一年以及數億美元(剛好是NSA的年度預算)。

不幸的是,真實生活中常被使用於如VPN的加密應用的質數寥寥無幾(少於1024位元)– 因此更為容易被破解。如布魯斯·史內爾所言:「數學是好的,但數學沒有代理人。密碼有代理人,而密碼已經被顛覆。」

您是否仍該使用VPN?

對服務供應商來說,研究團隊建議使用2048位元或更多迪菲–赫爾曼金鑰,同時研究團隊也發表一份有關其傳輸層安全協議配置的指南。網際網路工程任務小組(IETF) 也建議使用近期修正、改用較長質數的協議。

間諜或許有辦法破解迪菲–赫爾曼金鑰中常用、上至1024位元的質數(約309位數)。但2048位元金鑰中的質數將對他們造成很大的困難,因為他們將花很長的時間來解密這些被保護的數據。

對使用者來說,儘管情報單位確實有辦法使用其用來對付加密流量的辦法來應付VPN和其他加密協議,增加自我保護仍比使用單純文本進行溝通來的安全。儘管您的電腦可能被入侵,但駭客將花上時間與成本 – 要入侵您的電腦需要付出不少代價。您越不引人注目,您越安全。據愛德華·施諾頓所言,「加密是有效的。適當使用可靠的加密系統是少數你能依賴的辦法之一。」盡可能避免主要以MD5或SHA-1等雜湊運算法為基礎的VPN,以及PPTP或L2TP/IPSec協議。盡量使用支持 OpenVPN(被公認是最為安全的)和SHA-2近期版本的VPN。若您無法確定您的VPN使用哪個運算法,去查看VPN文件或聯絡客服。

VPN是您的朋友。相信加密,相信數學。盡量使用VPN,並盡可能確保您的使用端受到保護。如此一來才能在面對加密連結受到打壓時保持安全。

这对您有帮助吗?把它分享出去吧!