料加密


再看封包內容

在上一章我使用過netxray擷取過一些封包。下面讓我們再擷取兩個封包﹐看看您能發現什麼﹖


沒錯啦﹕就是使用者名稱和密碼﹗哇﹗﹗那還了得﹖那還有保密可言嗎﹖

的確如此﹗假如您使用純文字(paint text)方式來傳送密碼的話﹐雖然在您的螢幕上看到的是“******”﹐但使用網路封包擷取工具來看的﹐卻是原原本本的文字。雖然這裡使用的例子是擷取本機的封包﹐但其實大部份的封包擷取工具都可以擷取所有流經本地網路的封包。假如駭客成功的登錄了網路中的其中一台工作站﹐那麼﹐所有資料都無所遁形了。這情形在internet上面也非常普遍。之所以現在的網頁流覽器﹐都會在您提交資料的時候提出警告﹐讓您認知到您的資料隨時可能被別人截獲。那麼﹐有沒有方法避免﹐或儘量減少資料被竊聽的風險呢﹖

資料加密的手段

在沒有使用資料加密之前﹐在網路中傳遞的email或商業資料﹐甚至任何文字資料﹐都有如“網路明信片”一般﹐有心人士隨手可得﹐一覽無遺。有鑒於此﹐人們在傳送資料之前﹐都會將資料進行加密處理(Encode)﹔然後在接收到資料後﹐再進行解密處理(Decode)﹐而將資料還原。而在傳送過程中的資料﹐除非您有能力進行decode﹐否則您看到的只是一些雜亂無章的文字而已。

那麼﹐這個加密和解密是怎樣合作的呢﹖如果您喜歡看二次世界大戰間諜片的話﹐應該知道什麼叫密碼電報和公碼電報吧﹖公碼電報就是使用一套公認的規則﹐將資料轉換成特定的電波信號發送出去﹐然後接收到信號的那一端也使用公認的規則將信號還原成資料。而密碼電報呢﹖是使用一套只有發送者和接收者才知道的規則來發送信號和將信號還原。雖然發送出去的電波任何人都接收得到﹐但如何還原資料﹐也就是如何破解這個秘密的規則﹐就成了反間諜的一項重要任務了。聞說日本偷襲珍珠港之前﹐任何飛機都不能發送通訊﹐也就是為了避免遭美軍攔截到信號從而破解﹐因而偷襲相當成功。不過﹐其策劃者山本五十六後來也是因為美軍破解了日方的密碼電報﹐獲知其行蹤﹐在太平洋上空將其飛機擊落。

那麼﹐我們在網路傳遞資料的時候﹐如果沒有加密的話﹐就好比是公碼電報。不過﹐我們也可以和接收者擬定自己的一套“密碼電報”﹕我們可以用自己的規則將資料加密後才傳遞出去﹐然後﹐利用秘密的管道將規則傳遞給對方﹐這樣﹐資料的保密性就大大提高了。我們稱這樣的加密方法為“單一鍵值加密”。

不過﹐這又有另外應一個問題出現了﹕假如﹐我們要將資料傳遞給上萬個客戶呢﹖要維持好這樣的一套規則恐怕是件非常耗時耗量的工作﹐是非常不符合效益的。

不過﹐正所謂路不轉人轉﹐聰明的人們在剛才的“單一鍵值加密”方法的基礎上﹐開發出另一套更靈活的加密方法﹐叫做﹕“公用鍵值加密”。在使用“公用鍵值加密”的時候﹐任何人都可以使用公開的鍵值進行加密﹐但需要配合另一個私有鍵值同時工作才能將資料解密。其情形就好像這樣﹕
我打制了一把只有自己才擁有的鎖匙﹐另外再打制另外一把鎖匙掛在門口﹐任何人都可以拿去複製。
然後郵局提供一個標準鐵罐來傳遞資料﹐這鐵罐本來是沒有上鎖的。
如果朋友想傳遞資料給我﹐他就先把我掛在門口的鎖匙拿去複製﹐然後用複製好的鎖匙將鐵罐鎖上。
一但鐵罐鎖上了﹐只有用我的私有鎖匙才能夠打得開。除非是開鎖專家﹐別人休想看到裡面的東西。

這樣﹐傳送者和接收者就無需事先約定好加密的鍵值了﹕任何人都可以將公用鍵值公佈在網路上﹐任人下載﹐然後用之加密資料送來﹐也只有知道私有鍵值的人才能夠將資料還原。不過﹐這個時候﹐保護好私有鍵值不被盜竊﹐就成了最重要的保密工作 了。

數位簽名

無需再花費太多的時間來解釋﹐相信您也知道資料加密的重要性和用途之廣了吧。除了可以用來做公司內部的資料傳遞﹐也可以用來和客戶進行保密交易。

在網路上﹐我們還可以使用“數位簽名(Digital Sinature)”來進行身份確認。數位簽名可以說是一個獨一無二的數值﹐它由使用者的私有鍵值進行加密﹐然後利用公用鍵值進行確認。

時至今天網路的廣泛應用﹐傳統的手寫簽名顯然派不上用場。但有過網上購物經驗的朋友﹐有幾何使用到“電子數位簽名”呢﹖可以說﹐今天的網上購物還是極俱風險的﹕既沒有簽名﹐也沒有電話﹐銀行就照樣從您的信用卡帳戶中過數給網路商店﹐都不知道他們憑什麼居然這樣兒戲的﹖﹗不過﹐如果引入了數位簽名系統﹐由於它目前還被認為是“幾乎無法偽造”的特性﹐網上購物才會顯得是安全的﹕您使用您的信用卡和數位簽名進行購物﹐然後商店必須將付款資料連同您電子認證資料一起送給銀行請求授權﹐待核實無誤之後﹐銀行才會進行轉帳。這樣既保障信用卡不會被冒用﹐同時還可以減少錯帳的出現。只可惜的是﹐現今的人們還普遍缺乏網路安全意識﹐就連銀行本身﹐也只顧賺錢﹐不理顧客利益﹐實在是有點可悲的。

網路認證的取得

現在的許多網站為保護流覽者的資料保密性﹐大多會使用由Netscape公司開發SSL(Security Socket layer)技術來進行資料加密﹐它工作於OSI的應用層和傳送層之間﹐所以不局限於特定的網路協定之上。不過﹐要提供SSL連結服務﹐網路伺服器和和流覽器雙方都必須支援才可。而SSL數位認證的簽發﹐目前由美國的VeriSing (http://www.verisign.com)受理﹐伺服器如果要提供SSL服務﹐都必須到該公司註冊才可以。

如果您使用網路購物﹐SSL技術可以保障您的信用卡號碼不會被除了商店之外的人獲得﹐如果再配合數位認證的話﹐其安全性就更高了。

 

 

© 2000 Netman 網中人
 Last Updated: March 28, 2000