問:在兩年前的翻牆問答,提到安全傳輸層協議採用TLS1.3,將有助解決翻牆時被中共干擾的部分問題,TLS1.3在上月正式成為國際標準的一部分,在TLS1.3成為國際標準後,會在甚麼時間才會普及起來,並且在翻牆上作出實質的貢獻?
李建軍:TLS1.3要發揮效用,可以在瀏覽器層面,以及翻牆軟體兩個層面去看。先講瀏覽器層面,現時最新版本的Firefox和Chrome都已經支援TLS1.3,所以只要網站支援TLS1.3的加密技術,利用Firefox和Chrome最新版,都很大機會使用TLS1.3,而Cloudflare等公司亦都提供TLS1.3的支援,所以,瀏覽加密的網站,應有相當一部分用了TLS1.3的技術,中共要干擾當中連線的難度增加不少。
而Safari和Edge,由於依附作業系統,十分倚賴作業系統的更新,因此並不可以像Chrome和Firefox般,之前的版本已經提供TLS1.3的實驗功能,使用系統內置瀏覽器的聽眾,需要比較遲的時間,才能享受TLS1.3加密功能的好處。而幾乎可以肯定的是,微軟並不會為舊版的IE升級,故此IE是肯定享受不到由TLS1.3帶來的各種好處,以及對電腦保全上的升級。
至於翻牆軟體方面,就十分視乎翻牆軟體有否使用SSL的加密部分,像OpenVPN,就百分百使用SSL加密的技術,只要VPN供應商及時作出更新,是可以支援TLS1.3,因此只要更新了最新版的OpenVPN終端軟體、只要VPN供應商更新了系統,就可以用TLS1.3進行連接。由於不少VPN主要用途都是翻牆,相信TLS1.3的支援廣泛流行,只不過是遲早問題。
而OpenVPN以外的翻牆軟體,就視乎他們的主機有沒有能力運行TLS1.3,由於並非每一間翻牆軟體開發公司,可以立即使用TLS1.3,有部分翻牆軟體,因為需要使用一些比較舊的演算式,所以未能轉用TLS1.3,而翻牆軟體的開發商升級技術的積極性,亦是TLS1.3能否在翻牆層面上普及的其中一個關鍵。愈多翻牆軟體開發商願意升級,那聽眾就會愈多選擇,使用一些真正支援TLS1.3的翻牆軟體或服務。
問:TLS1.3可以講得上是千錘百鍊的技術,因為針對現時TLS1.2不少弱點作出變動,包括對部分加密演算法作出捨棄,由TLS1.3開始,幾乎大部分非AES加密演算法的加密方式都會被踢出局,這對聽眾而言,有甚麼好及壞影響?
李建軍:TLS1.3對不少舊演算法作出捨棄,包括RSA和DES等有數十年歷史的加密演算法,這迫使使用者要棄用一些早已被發現漏洞多多的過時加密技術,因此對翻牆而言是好事,因為AES加密現時仍然是比較難破解,這也是美國政府至今仍然依賴這個加密技術的原因。AES技術的可靠性,加上新協定在通訊過程上的改善也是為何很多人視TLS1.3比舊版安全的原因。
只不過,由於AES這技術的性質相對複雜,且比較耗用硬體運算資源,新一代英特爾或兼容的處理器,內里有專門計算AES加密及解密動作的功能,因此這並不是問題,但有部分舊型號的電腦,中央處理器晶片並無處理AES的專門指令集,這些電腦在運行TLS1.3加密或解密工作時,就會顯得相當緩慢,因為AES算式較為複雜。
因此,這次升級應會對一些不願更換瀏覽器或作業系統的人影響比較大,他們很可能需要買一部新電腦,以迎接新加密技術造成的實質新軟體,甚至硬體需求。
