問:雖然網絡科技日新月異,但個別政府侵犯民眾網絡私隱的手法亦層出不窮,像最近哈薩克政府推出的新數碼根證書,就被發現有可能讓政府監視民眾的網絡活動,因此被蘋果、谷歌和Mozilla三大瀏覽器開發組織聯手封鎖,只有微軟至今仍然態度曖昧。其實哈薩克政府的根證書有甚麼問題?
李建軍:數碼證書看來是很簡單的一回事,但實際並非如此,因為要確保整個加密通訊過程,並不會有人可以成功中途攔截資料,數碼證書如何發出,必須有一套嚴謹機制,因此,數碼證明的發出機構,一般要投資相當多技術和金錢,去確保整個證書發出過程可靠性,亦會尋求獨立的機構,去證明證書發出機構,並不會利用簽發證書的機會,暗中設陷阱偷資料。
而哈薩克政府,就濫用政府部門在簽發數碼證書時,一般被視為可信任機構的假設,暗中在根證書中加入陷阱,可以令哈薩克政府任意攔截加密的通訊,包括瀏覽臉書、GMail一類網站的通訊,對民眾私隱有極大的威脅,因此,哈薩克政府成為中國政府屬下CNNIC之後,另一個政府所簽發的證書,不被主流瀏覽器開發組織承認。
問:這次哈薩克政府簽出的根證書,與2015年CNNIC簽發的證書不被信任,到底又有甚麼不同?
李建軍:2015年的CNNIC事件,主要是CNNIC簽發假的谷歌證書,本身行為太明顯有問題,因此被否定,這不涉及在技術上設下陷阱,藉機攔截網絡通訊。
但這次哈薩克政府的狡猾程度,比2015年CNNIC事件嚴重得多,哈薩克是設計一個有缺陷的根證書,只要民眾為了享受政府服務,安裝哈薩克政府的根證書,哈薩克政府精心設計的監控系統,就因此獲授權得到民眾通訊的內容,因此,這次哈薩克政府的做法,比起CNNIC那次的做法先進得多。
問:如果政府部門濫用根證書簽發權,成為了一種趨勢,甚至日後中國都可能會出現類似情況,但使用一些政府網上服務,就難免要安裝政府的根證書,那可以怎麼辦?特別主流瀏覽器都可能拒絕承認這些政府發出的根證書。
李建軍:首先,個別政府可能濫用Chrome或Safari的源碼,在加以修改後,推出特殊的瀏覽器,有可能各大電訊公司只接受使用特殊瀏覽器的用戶通行,達致監視網民活動的效果,因為在各大瀏覽器開發組織杯葛下,只有政府推出一些奇怪的瀏覽器,才能夠做到強迫民眾安裝相關的根證書的效果。
而要避免受到硬要安裝的根證書和瀏覽器影響,可能用作翻牆用的電腦,必須與一般使用公共服務用的電腦分開。翻牆用的電腦,不要安裝政府強迫的瀏覽器和根證書,為了避開當局的檢查,就平常瀏覽網頁都翻牆,以及避免瀏覽中國當局的網站,或必須使用當局強逼安裝的根證書的網站和程式,相信有相當多國有的網上銀行會受影響;而另一部電腦就安裝了有問題的根證書,以及主力用作瀏覽政府網站,處理網上銀行或公共服務申請。哈薩克這次事件,其實是警告中國民眾,當局要千方百計偷取個人資料,其實是可以做得到,翻牆時不可以對這種技術趨勢掉以輕心。