我刚刚看了 Eben Moglen 的一段视频,视频中讲述了我们联网设备受到的监控越来越多,他说的很多内容都是真的。该视频可以在这里如果你感兴趣的话。我不是网络新手,但我很好奇匿名和加密浏览是如何工作的,因为目前我的理解是这是不可能的。这是我目前的理解。
我的 ISP 总是处于中间位置,无论我发送什么流量和接收什么流量,它总是通过我的 ISP。即使我通过其他服务器的加密连接隧道传输我的流量,我的 ISP 仍然会知道建立初始加密隧道的密钥交换,因此通过加密隧道的任何后续流量可能都是未加密的。我理解得对吗?还是我遗漏了某些部分,导致我的论点不正确?
答案1
初始密钥交换的结构使得您的 ISP 无法确定密钥,即使他们截获了整个密钥交换过程。这是因为非对称公钥加密技术。
在非对称加密中,数据使用不同的密钥进行加密和解密(不同于对称加密,后者使用相同的密钥)。加密和解密密钥相互关联,因此使用目前的计算机无法通过一个密钥计算出另一个密钥。
公钥加密是典型的非对称加密,其中一个密钥是“公钥”,另一个密钥是“私钥”。当您使用 SSL 连接到互联网上的计算机时,服务器有一个私钥,您的计算机有一个私钥(由您的浏览器为连接生成)。您的计算机和服务器交换公钥,但不需要互相发送私钥。然后,您的计算机使用服务器的公钥加密数据,并且只能使用服务器的私钥解密数据。反之亦然:服务器使用您的公钥加密数据,并且只能使用您的私钥解密数据。
由于私钥从未在线上交换,因此您的 ISP 无法看到它们。您的 ISP 确实可以看到公钥,但无法使用公钥解密信息(只能加密信息),因此您的 ISP 无法解密交换的信息。
有趣的是,公钥系统通常也可以反向工作 - 私钥可用于加密某些内容,然后只能使用公钥解密。这就是“数字签名”的工作原理 - 如果某人或设备的公钥成功解密信息,那么您就知道它是由拥有私钥的人或物创建的。
请注意,非对称加密比对称加密更耗费处理器资源。为了最大限度地提高性能,SSL 仅在密钥交换阶段使用非对称加密 - 您的计算机和服务器创建一个受非对称加密保护的临时连接,以便交换将用于对称加密实际连接的密钥。但是对称密钥永远不会以明文形式显示,因此您的 ISP 永远不会看到它。
非对称加密是一个非常有趣的系统,对于互联网安全至关重要:它具有强大的特性,可以让双方安全地通信,而无需信任信使。
答案2
有一种称为“Diffie-Hellman 密钥交换”的技术可以解决中间方拦截加密密钥的问题。SSH 和许多其他协议都使用了它。
但是,您的 ISP 和其他中间主机可以看到您正在进行密钥交换和/或设置加密会话。
但是,以下任何一项:
- 网络上存在加密协议
- 涉及特定源或目标 IP 地址
- 传输时间
- 加密发送的流量
即使加密保护着您的实际传输,也可能会向拦截方泄露信息。
答案3
视频中的演讲者提到了当今最好的安全软件,尽管前列腺特发性硬化症不是用于浏览,而是用于电子邮件。尽管如此,PGP 仍能满足所有三大安全要求:消息完整性(没有人修改过消息)、消息机密性(没有人能看到您发送的内容)和消息身份验证(消息确实来自其声称的发送者和发送地点)。
浏览网络则完全不同。使用 SSL 连接(https 而不是 http)将阻止您的 ISP 查看您发送/接收的内容,但不会阻止他们查看您从谁/哪里发送和接收信息。截至目前,匿名浏览的唯一方法是使用无法追溯到您的代理服务器或伪造 IP 地址(在大多数情况下这是非法的)。
关于 SSL 的一点说明:SSL 并未指定必须使用哪种级别的加密,服务器和客户端必须就要使用的加密算法达成一致。如果使用弱加密算法,中间人截获消息,则消息可能会被解密。