何為端對端加密技術?

5474b238a84b2.jpg

許多公司總喜歡標榜他們通訊應用的加密技術,既然有加密,那麼問題來了:解密密鑰在誰手上?多數情況下,公司自己會持有密鑰的數據,能解密用戶信息,因此,那些入侵企業或政府機構的黑客們也能做到如此。

如今,隨着人們對隱私越來越重視,端對端(end-to-end)加密技術應運而生,它讓發出的信息只能被特定的收信人解密,並獲得信息內容,不允許第三方介入。換言之,只有終端電腦持有密鑰,而負責傳遞信息的服務器僅作為媒介,它本身不能解密信息。

這種密鑰不會離開用戶設備的理念可能難以理解,若公司服務器無法看到密鑰,那麼當用戶安裝應用時,它又是如何到設備上的呢?

這是可行的,因為還有一種名為公共密鑰的加密技術,該技術系統中,有一個程序會讓用戶電腦通過運算生成一對密鑰。其中一把是私人密鑰,用來解碼設備收到的信息,並保存在設備中,絕不外泄。另一把即公共密鑰,它會將收到的信息進行加密,確保僅相應的私人密鑰才能解碼這些信息。用戶能共享這把密鑰給那些想要發送加密信息過來的人。該系統就像一個鎖箱,公共密鑰持有者就像UPS送貨員,只有他們能向其中添加東西,並鎖好保存起來,而只有私人密鑰持有者才能打開它。

PGP(Pretty Good Privacy )是首款免費的端對端信息加密軟件,如今已被廣泛使用,其中軟件程序由Phil Zimmermann編碼,於1991年發佈。但過了數十年,成熟的加密技術才開始逐漸普及大眾。像Jabber即時信息應用的「Off The Record」程序插件和TextSecure 短訊的發展,完善了端對端加密技術。蘋果公司在 iMessage中應用了端對端加密。(仍然有安全研究員指出該舉措可能會讓信息被解密)。目前,谷歌在為Chrome瀏覽器測試一款端對端加密的郵件插件。就在上周,Whatsapp將 TextSecure 整合進了其安卓軟件中,為廣大用戶開啟了端對端加密時代。

然而,該技術也有漏洞。比如,竊密者也許會偽裝成收信人,從而讓發信人的會以竊密者的公共密鑰加密,待竊密者解密信息后,接着可以用收信人真正的公共密鑰進行加密,然後再進行回復,躲避偵測。為了解決這個漏洞,有些端對端加密程序會基於兩方用戶的公共密鑰生成特定的、一次性的字符串。在雙方正式通訊前,設備會讀取對方的字符串以確認身份。如果字符串匹配,即可確保安全。

當然,加密系統的終端也是兩個致命弱點,因為兩端用戶的電腦仍可能被黑,導致解密密鑰被盜或者收信人的解密信息被黑客直接讀取。端對端加密系統安全與否關乎兩個端口,有時即使再完美的系統也會敗在另一端的瓦解。

via wired


想在手機閱讀更多Google資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems