问:在两年前的翻墙问答,提到安全传输层协议采用TLS1.3,将有助解决翻墙时被中共干扰的部分问题,TLS1.3在上月正式成为国际标准的一部分,在TLS1.3成为国际标准后,会在甚么时间才会普及起来,并且在翻墙上作出实质的贡献?
李建军:TLS1.3要发挥效用,可以在浏览器层面,以及翻墙软件两个层面去看。先讲浏览器层面,现时最新版本的Firefox和Chrome都已经支援TLS1.3,所以只要网站支援TLS1.3的加密技术,利用Firefox和Chrome最新版,都很大机会使用TLS1.3,而Cloudflare等公司亦都提供TLS1.3的支援,所以,浏览加密的网站,应有相当一部分用了TLS1.3的技术,中共要干扰当中连线的难度增加不少。
而Safari和Edge,由于依附作业系统,十分倚赖作业系统的更新,因此并不可以像Chrome和Firefox般,之前的版本已经提供TLS1.3的实验功能,使用系统内置浏览器的听众,需要比较迟的时间,才能享受TLS1.3加密功能的好处。而几乎可以肯定的是,微软并不会为旧版的IE升级,故此IE是肯定享受不到由TLS1.3带来的各种好处,以及对电脑保安上的升级。
至于翻墙软件方面,就十分视乎翻墙软件有否使用SSL的加密部分,像OpenVPN,就百分百使用SSL加密的技术,只要VPN供应商及时作出更新,是可以支援TLS1.3,因此只要更新了最新版的OpenVPN终端软件、只要VPN供应商更新了系统,就可以用TLS1.3进行连接。由于不少VPN主要用途都是翻墙,相信TLS1.3的支援广泛流行,只不过是迟早问题。
而OpenVPN以外的翻墙软件,就视乎他们的主机有没有能力运行TLS1.3,由于并非每一间翻墙软件开发公司,可以立即使用TLS1.3,有部分翻墙软件,因为需要使用一些比较旧的演算式,所以未能转用TLS1.3,而翻墙软件的开发商升级技术的积极性,亦是TLS1.3能否在翻墙层面上普及的其中一个关键。愈多翻墙软件开发商愿意升级,那听众就会愈多选择,使用一些真正支援TLS1.3的翻墙软件或服务。
问:TLS1.3可以讲得上是千锤百炼的技术,因为针对现时TLS1.2不少弱点作出变动,包括对部分加密演算法作出舍弃,由TLS1.3开始,几乎大部分非AES加密演算法的加密方式都会被踢出局,这对听众而言,有甚么好及坏影响?
李建军:TLS1.3对不少旧演算法作出舍弃,包括RSA和DES等有数十年历史的加密演算法,这迫使使用者要弃用一些早已被发现漏洞多多的过时加密技术,因此对翻墙而言是好事,因为AES加密现时仍然是比较难破解,这也是美国政府至今仍然依赖这个加密技术的原因。AES技术的可靠性,加上新协定在通讯过程上的改善也是为何很多人视TLS1.3比旧版安全的原因。
只不过,由于AES这技术的性质相对复杂,且比较耗用硬件运算资源,新一代英特尔或兼容的处理器,内里有专门计算AES加密及解密动作的功能,因此这并不是问题,但有部分旧型号的电脑,中央处理器晶片并无处理AES的专门指令集,这些电脑在运行TLS1.3加密或解密工作时,就会显得相当缓慢,因为AES算式较为复杂。
因此,这次升级应会对一些不愿更换浏览器或作业系统的人影响比较大,他们很可能需要买一部新电脑,以迎接新加密技术造成的实质新软件,甚至硬件需求。
