問:傳聞已久的Facebook Messenger加密功能,臉書現時正進行測試。同樣點對點加密,Facebook Messenger的加密功能,與同公司推出的Whatsapp有何分別?而臉書的用家,又何時能享受點對點加密保護?
李建軍:臉書最近開始對Messenger的加密功能做測試,由於現時只是小規模測試,因此,現時臉書Messenger的用家,並不需要更新或重新安裝應用程式。當你的帳戶被選中作測試之用時,臉書會通知你。
雖然Messenger和Whatsapp都是臉書公司的產品,但Messenger和Whatsapp在加密策略上截然不同。Whatsapp是強制選擇點對點加密,而縱使你使用Whatsapp網頁版,或Whatsapp桌面版,都不會影響你通訊的保密性。但Messenger由於依附臉書本身運行,加上有不同的第三方應用依附Messenger運作。因此,Messenger並不預設加密,而你一旦設定了使用點對點加密,就只有一部設備會享受到加密的好處,如果你選擇已經選定加密設備以外的設備的話,就不會享受到點對點加密的好處。
但一旦你選擇使用點對點加密,縱使你用Messenger都好,臉書公司都不會再知道你的通訊內容。因為Messenger用是點對點通訊,除了發信人和收件人,其他各環節都不會知道通訊內容。
問:在臉書未全面採用點對點通訊的時候,那臉書用戶之間的通訊,怎樣會比較安全,而不會外洩?
李建軍:由於臉書Messenger,實際是臉書的一部分,因為,你用臉書網站版本,某程度上,你的通訊已經得到一定加密。現時臉書網站版已經使用256位元加密金鑰,以及SHA-2技術,只要你使用最新版的瀏覽器,除了臉書公司本身外,其餘人等都很難知道你的通訊內容。當然,如果你臉面書公司都不信任的話,那就要等臉書Messenger全面引進加密功能後,才使用Messenger與朋友通訊。
問:在Messenger未全面引進點對點加密前,臉書用戶之間通訊的保密,很大程度上仍然要依賴臉書在網站版本上的加密工作。那我怎知臉書的加密水平,以及使用的數碼證書標準如何?
李建軍:當你進入已經加密的網站後,瀏覽器網址的一欄,都會顯示一個灰色的鎖,或綠色的鎖,這個代表網站通訊己經加密了。而你只要按一下灰色或綠色的鎖,就可以瀏覽網站加密用的數碼證書資料,從而知道你的網站加密水平是否足夠。綠色鎖並不代表網站使用比較強的加密,但仍然代表比較可靠,因為網站數碼證書發出過程中,數碼證明簽發機構,曾經對持有人作出詳盡審核。一般而言,銀行的網站都會有綠鎖。但臉書或谷歌,一般都只會出現灰鎖,所以要知道網站的保安是否足夠,仍要審視網站的數碼證書資料。
而以現代網站的要求而言,數碼證明要顯示使用SHA-2或SHA-256技術,至少以256位元加密,以及加密金鑰長度至少為2048位元,至稱得上在資料保護上夠安全。如果你發現網站使用SHA-1技術,或加密金鑰長度仍然維持在1024位元的水平,或加密水準仍然在128位元,證明這些網站可能已經用了過時的技術,當然你將私隱交託給這些網站時,應保持相當審慎的態度。因為SHA-1早已是漏洞百出的技術,而以現代電腦的運算水平而言,128位元已經不足以保護你的個人資料。
這集翻牆問答,會有視頻示範,如何查閱網站數碼證書的資料,歡迎聽眾瀏覽本站網站,收看有關視頻。雖然這集用Firefox來作示範,但Safari和Chrome這兩隻瀏覽器使用方法都大同小異,分別不大。(完)
0:00 / 0:00