【翻牆問答】TLS 1.3成國際標準 干擾翻牆難度增加

2018-09-28
電郵
評論
Share
打印

問:在兩年前的翻牆問答,提到安全傳輸層協議採用TLS 1.3,將有助解決翻牆時被中共干擾的部分問題,TLS 1.3在上月正式成為國際標準的一部分,在TLS 1.3成為國際標準後,會在甚麼時間才會普及起來,並且在翻牆上作出實質的貢獻?

李建軍:TLS 1.3要發揮效用,可以在瀏覽器層面,以及翻牆軟件兩個層面去看。先講瀏覽器層面,現時最新版本的Firefox和Chrome都已經支援TLS 1.3,所以只要網站支援TLS 1.3的加密技術,利用Firefox和Chrome最新版,都很大機會使用TLS 1.3,而Cloudflare等公司亦都提供TLS 1.3的支援,所以,瀏覽加密的網站,應有相當一部分用了TLS 1.3的技術,中共要干擾當中連線的難度增加不少。

而Safari和Edge,由於依附作業系統,十分倚賴作業系統的更新,因此並不可以像Chrome和Firefox般,之前的版本已經提供TLS 1.3的實驗功能,使用系統內置瀏覽器的聽眾,需要比較遲的時間,才能享受TLS 1.3加密功能的好處。而幾乎可以肯定的是,微軟並不會為舊版的IE升級,故此IE是肯定享受不到由TLS 1.3帶來的各種好處,以及對電腦保安上的升級。

至於翻牆軟件方面,就十分視乎翻牆軟件有否使用SSL的加密部分,像OpenVPN,就百分百使用SSL加密的技術,只要VPN供應商及時作出更新,是可以支援TLS 1.3,因此只要更新了最新版的OpenVPN終端軟件、只要VPN供應商更新了系統,就可以用TLS 1.3進行連接。由於不少VPN主要用途都是翻牆,相信TLS 1.3的支援廣泛流行,只不過是遲早問題。

而OpenVPN以外的翻牆軟件,就視乎他們的主機有沒有能力運行TLS 1.3,由於並非每一間翻牆軟件開發公司,可以立即使用TLS 1.3,有部分翻牆軟件,因為需要使用一些比較舊的演算式,所以未能轉用TLS 1.3,而翻牆軟件的開發商升級技術的積極性,亦是TLS 1.3能否在翻牆層面上普及的其中一個關鍵。愈多翻牆軟件開發商願意升級,那聽眾就會愈多選擇,使用一些真正支援TLS 1.3的翻牆軟件或服務。

問:TLS 1.3可以講得上是千錘百煉的技術,因為針對現時TLS 1.2不少弱點作出變動,包括對部分加密演算法作出捨棄,由TLS 1.3開始,幾乎大部分非AES加密演算法的加密方式都會被踢出局,這對聽眾而言,有甚麼好及壞影響?

李建軍:TLS 1.3對不少舊演算法作出捨棄,包括RSA和DES等有數十年歷史的加密演算法,這迫使使用者要棄用一些早已被發現漏洞多多的過時加密技術,因此對翻牆而言是好事,因為AES加密現時仍然是比較難破解,這也是美國政府至今仍然依賴這個加密技術的原因。AES技術的可靠性,加上新協定在通訊過程上的改善也是為何很多人視TLS 1.3比舊版安全的原因。

只不過,由於AES這技術的性質相對複雜,且比較耗用硬件運算資源,新一代英特爾或兼容的處理器,內裡有專門計算AES加密及解密動作的功能,因此這並不是問題,但有部分舊型號的電腦,中央處理器晶片並無處理AES的專門指令集,這些電腦在運行TLS 1.3加密或解密工作時,就會顯得相當緩慢,因為AES算式較為複雜。

因此,這次升級應會對一些不願更換瀏覽器或作業系統的人影響比較大,他們很可能需要買一部新電腦,以迎接新加密技術造成的實質新軟件,甚至硬件需求。

您的評論 (1)
Share

匿名遊客

不懂就不要瞎说,esni还没有在tls 1.3默认开启
现在防火墙早就会通过sni来阻断连接
Tls sni reset了解一下
还在推荐别人用vpn不是坏就是蠢
不知道vpn协议会被识别根本连不上,效率还低,从来没看你说过shadowsocks shadowsocksR v2ray这些主流工具,还有翻墙的服务器部署在哪儿也是有讲究的

2018-09-29 20:34

完整网站