如果 NSA 确定某些人使用 TOR,那么有没有办法加密未加密的网络流量?我想这是一个愚蠢的问题,答案本身就很明确,因为一旦它离开出口节点,它就全部很清楚。
ipv6 是否支持所有连接的 ssl、tls 或某种 vpn 加密?例如,实现方式可能是这样的:您与某些服务有未加密的连接,您只需单击“保护此连接”,然后就大功告成了!安全了!
我似乎记得这个功能在一些早期关于 ipv6 的文章中被提及过(但可能只是一些随机的 slashdotter)。
答案1
不,除非您能验证所连接的 Web 服务器,否则您无法保护 Web 流量,因为否则您可能正在与 NSA 的“中间人”(MitM) 攻击箱对话(想象一下 Web 代理拦截和窥探您与该 Web 服务器的所有通信,但仍会转发这些通信)。如果您未验证加密会话的另一个端点,则您的加密伙伴可能是 NSA 的中间人,而不是实际网站。
不幸的是,目前还没有一种可靠或广泛部署的方法来验证 NSA 无法验证的网络服务器到处走走。
您提到了 IPv6,但这并不是真正的解决方案。曾经,一份不太知名的 IPv6 相关规范文档指出,支持 IPv6 的主机“必须”支持 IPsec,但这一要求在 2011 年被降级为“应该”。即使没有,如果您没有将 IPsec 支持纳入 IPv6 堆栈,也不会有“IPv6 警察”吊销您的“IPv6 许可证”。即使您可以指望每个支持 IPv6 的主机都支持 IPsec,但这并不意味着它已启用并正确配置,以便您可以利用它。即使您可以利用它,典型的主机身份验证方法也使用 X.509 证书,就像 SSL/TLS 一样,正如我刚才提到的,NSA 已经破解了它们。然后还有约翰·吉尔摩的断言NSA 员工在 IPsec 标准中插入了错误的要求,并使其过于复杂,以至于加密研究人员甚至不愿意尝试对其进行安全性分析。
因此,也许你会想,“嘿,这些中间人攻击似乎很有针对性而且代价高昂,也许我不会成为攻击目标,所以也许我只关心确保我的数据不会被大规模拖网计划所捕获”,我会反驳说,“是的,但 Tor 用户揭露攻击也是有针对性的而且代价高昂,但你仍然认为自己很有可能成为攻击目标,所以你正在寻找比 Tor 更好的东西”。然后我会接着指出美国国家安全局认为加密数据可疑,并声称有权保留这些数据,直到他们能够解密为止。