文章

再論 Zoom 的安全性:AES_128_ECB

圖片
Zoom 的風暴越演越大,在教育局一聲令下全體禁用之後,我們看到葉丙成老師出來發話了。細節要看他的 Facebook,但是因為我擔心之後會被蓋掉,所以這邊先放上新聞的連結。

教部停用Zoom 葉丙成:老師們的努力全白費

如我所料,另外一位自認是資安專家的李老師出來講話了。


很明顯是在對罵 ... 
以我個人來說,這百分百是政治議題。要資安?那請問政府能不能看你的信件,我不是說中國或是美國,我指的是中華民國或是台灣,看你要怎樣稱呼。
離題了,我們回到 Zoom 這邊來。我這邊只針對爆出來的問題做分析。
昨天又看到一則新聞,關於 Zoom 使用 AES_128_ECB 的方式來進行加密,內容如下:
Move Fast and Roll Your Own Crypto: A Quick Look at the Confidentiality of Zoom Meetings
說真的,這篇寫的內容非常好,有憑有據,比之前只會隨便抓兩句話就上來吹一整篇的人好多了。真要說缺點的話是沒有註明軟體的版本,畢竟 Zoom 都一直有在更新。在通篇文章裡面,扣掉資料傳中國以外(請注意,我知道美國和歐洲應該是有法律規定用戶資料必須要留在國內,所以我之前的文章討論的純粹是技術,畢竟大家拿出來講的是資安而比而不談政治),最大的問題只有一個,Zoom 是使用 AES_128_ECB 的方式進行加密,而且金鑰是來自中國的。按照文章來說,架構如下:

關於金鑰來自中國這件事情我在技術上沒有意見(政治上另外一回事),因為這個架構就是很單純,在資安上是「公正第三方」(Trusted Third Party),簡單來說是你不能去質疑它的安全性,正如你在使用 Google 服務的時候你也不會去質疑 Google 的安全性一樣。問題出在 AES_128_ECB。這沒啥好說的,這是一個問題。128 的意思代表金鑰長度 128 bits,以目前來說還算夠用,根據 wikipedia 的資料

Since 2015, NIST guidance says that "the use of keys that provide less than 112 bits of security strength for key agreement is now disallowed." NIST approve…

有關 Zoom 的安全性問題:End-to-End Encryption

因應新冠肺炎的影響,教育部開始大力鼓吹「遠距教學」。教育部本來主打的軟體是 Zoom,直到下面的這些新聞:

立委點名教育部、司法院,籲公部門禁用 Zoom!
Zoom爆資安疑慮 立委提醒教育注意遠距資安風險
Zoom 資安爭議懶人包,專家建議如何使用這套視訊會議服務較為安全

然後教育部做了下面的裁示:

教育部對zoom資安疑慮後續處置說明

好,接下來是我的看法。

End-to-End Encryption

Zoom 最大的問題是它曾宣稱它具有 End-to-End Encryption,對作資安的人來說,這個宣告指的是 Sender 和 Receiver 之間有共享的金鑰可以加密(當然建立金鑰可以透過非對稱式的方式)。但後來被抓到並沒有這樣實作!!Zoom 因此宣稱他們的點對點加密指的是「從用戶端到Zoom的伺服器」。作資安的沒有半個會認可這樣的說法。上面這段敘述的資料來源附在下面:

ZOOM MEETINGS AREN’T END-TO-END ENCRYPTED, DESPITE MISLEADING MARKETING

問題來了,要做到 Zoom 那樣的功能,有可能實現 End-to-End 的加密嗎?我認為不可能。一般一對一的聊天軟體這並不難,但想想看,Zoom 可以在多人的會議室當中,允許有些成員在私下講話,根據 End-to-End 的定義,每個成員之間都要有一把共享的金鑰,這在金鑰管理的機制下是不可行的,因為會議成員是來來去去的,動態金鑰管理一直是資安領域一個難解的問題。

為了證明我的猜想沒錯,我們來看看大部分新聞提到的幾套軟體:Google Meet、Microsoft Team、Cisco Webex。當然還有其他軟體啦,不過我只找了這三套的資料,若有人有興趣歡迎找其他的相關資料。

Google Hangouts Meet

Meet security and privacy

在 Encryption 那邊很明確寫到「All data in Meet is encrypted in transit by default between the client and Google for video meetings on a web browser, on the Meet Android and Apple® iOS® apps, and in meeting r…

遠距教學的考試問題

因應新冠肺炎的疫情,學校開始要求老師們要「遠距教學」。「遠距教學」對我來說沒有任何問題,事實上,我並不討厭數位化的教學模式,我甚至自己去 Coursera 上面上過一些課程,一方面是去學習,二方面也是看看人家怎樣上的。BTW,我超喜歡 Charles R. Severance 這位老師的。他的 Python For Everybody ,雖然對資工領域的人來說有點太簡單,但是上課風趣,也講得非常清楚。但我個人本身還是比較喜歡實體授課,去親身體會上課的氛圍,和學生的互動等。當然很多人說:「網路授課還是可以互動阿」,特別是學生還會說:「隔著網路比較敢問問題」(拜託,我的課堂上,問題答不出來從來沒扣分好嘛),對,但隔著網路會更容易只跟有反應的同學互動,更難在一大片信息中注意到比較沒有反應的學生,而且對於氛圍的感受力下降,也造成老師很難立時做調整。不過這些對我來說問題還不大 ... 我在意的是 ...

誰可以告訴我「考試」要怎麼辦??

為了解決這個問題,我採用了現代人最會的 Google 大法,然後我看到了下面的文章:

解析大專院校難以「超前部署」遠距教學的七道陰影
大學線上測驗防止學生作弊?老師們應該要注意的弦外之音

在第一篇文章中提到:

我認為「防弊」有兩個層面,其一能否測驗出學生修業後「能力」的成長,而非只是「暫時」背起來了;其二,則是能否真正測驗出是「該名」學生的能力,也就是如何確定A答案是A學生的,而非B學生提供。

對於前者,老師們不能再出那種課本翻得到、網路上查得到的考題,而是能針對該門課程的「教學目的」拿出有水準的open book exam,而且是沒有標準答案的,才能測驗出學生在知識、技能或觀念上「內化」的程度。因此,老師勢必又要花更多的心力在出題和改考卷。

針對後者,我個人覺得,這永遠會是「道高一尺魔高一丈」,大學作為一個18歲以上的成年教育階段,學校和老師該去思考的是如何讓人有學習動機上課、並透過測驗了解自己的成長或不足,而非消極的防弊。

第二篇文章則是提到:

大企業花大錢建立的防盜機制都會有人破解,更何況是一堂課的考試。不如積極思維、超前部署,一開始就思考〝沒有嚴格的防盜機制下〞,該如何測出學生的學習狀態?由於網路的匿名性,教育者在網路上教學必需盡力回歸教學本質,直視學生的學習動機:面對它、解決它、放下它。讓學生心甘情願自主接受測驗,必需重新設計整個教學流程,這…

以「素養」為導向的教學

首先,什麼是「素養」?

直接參考官方網站好了。
http://12basic.edu.tw/12about.php

素養(competence),代表「一個人為適應現在生活和面對未來挑戰,應該具備知識能力態度」,不是將知識就只是冷冰冰的背誦和記憶,重點是跟生活情境有連結,不是用抽象的知識理論,而是從學生在日常生活裡面的體驗累積知識,自然而然地學習。

我對幾個字很感冒:「自然而然」。為什麼?因為我相信人的惰性。以素養為導向的教學,老師應該透過引導個方式引出學生的問題,並帶領學生逐步去找答案,聽起來很夢幻,但如果學生說:「我沒有問題」呢?這就是我在課堂上的狀況。提了眾多的問題,有些人反應熱烈,但有人就是低頭玩手機。

我認為理念很好,但沒有考慮到人性,以至於最後,我們會訓練出一批高級人才,但大多數的學生會在過程中被淘汰,或是被逼的去補「素養」。不要認為無法補習,只要還有考試,還要分高低,補習班就一定會存在,訓練學生演出「素養」給你看,然後考試會繼續回到玩手機的生活。這真的是我們要的社會嗎?

其實所謂的素養題目,跟過去的「應用題」又有什麼兩樣呢??

特殊選材的入學管道

最近在幫系上審特殊選材入學管道的申請資料。有個老師提到一個有趣的數字,這些申請人在班上成績幾乎都是倒數的,如果只看最後一名,好像有七八個人的樣子(這還是不計入倒數第二第三名的結果)。就算單單只看「數學」這一科,大部分的人表現都不是很讓人滿意。所以我有些同事在擔心,這種人進到學校,他們能夠畢業嗎?

廢話,這是特殊選材啊,重點就應該擺在學業以外的地方啊。

我同意,這是特殊選材原生的目的,讓一些學業不好的人,在特殊領域上有著優異表現,能夠讓這些怪才進到校園裡面學習。問題是,你知道大學裡面要學什麼嗎?在我們資工系上,純就數學領域來說,就起碼有「機率」、「線性代數」、「離散數學」這種純數學的課程,大一的微積分我們就先不提了。如果你的基礎不好,你進來以後要如何通過這些課程呢?

可是我會寫程式啊?

我同意,你應該會寫程式,但是,你的程式大概就是停留在「口語」的程度。正如你也會說中文和英文,不過都沒辦法說的很優美。舉一個例子來說,給定一個數字 N,你知不知道要怎麼判斷他是不是質數呢?你可能會從 2 到 sqrt(N) ,把每一個數字都拿去檢查一遍看是不是 N 的因數,這是正確的方法,但有沒有更好的方法?如果你學過數論,你可能會發現更好的處理的方式。所以拜託了,不要認為學科成績不重要,你可以有幾科比較沒有興趣,但在高中時期千萬不要完全把學業放下,投入各樣的競賽,我不認為這對你的生涯規劃是好的。

可是老師上課的東西很無聊,我也覺得用不到 ...

那麼,我可能要很殘忍的告訴你,你可能不夠有「資訊素養」(我超討厭這兩個字的)。你能不能把你高中學的內容和程式進行結合呢?為什麼一定要把他分開來看??我不是說每個人要十項全能,但太早放棄那些不是好事,不需要每個科目都出類拔萃,但不要一句「無聊」就直接打發掉了。

就算來到資工系,這裡也有很多無聊的課程。這些課程或許和你所謂的「程式」並不相關,或者應該說你會看不出關聯性,然後抱怨:「我學這要幹麻?」,不要放棄,那些課程會成為必修不是沒有理由的,等你「道行」夠高了,你才會明白會什麼要上這些課。

要怎樣才能在特殊選材拿高分?

我不知道,畢竟每個人評分的方式不同,有些老師很看重數學,有些老師很看重程式比賽,因此我最多只能代表我自己發言。第一,參加營隊的證明是不會幫你加到分的。參加營隊很好,你會多學到不少東西,可是這是有錢、有運氣(聽說熱門的營隊要用搶的??)誰都…

福音是什麽?香港反送中事件的省思

幾個月來,香港地區發生了眾多的示威行動,同時也造成了許多衝突與傷害。衝突的由來是「逃犯條例修訂草案」,相關的內容可以參考 Wikipedia。說真的,我沒有那麽在意裡面的內容,我在意的是在網路上的言論,特別是來自香港基督徒的言論。我特別在文章的最後放上了兩篇文章來作為我觀察到的現象的佐證,理論上應該以連結的方式提供,不過因為我擔心之後文章會消失,所以我會把文章整個放在本文的最後。其中沉默君的文章稱之A文,馬保羅的文章稱之為B文。下面所述僅是我個人的立場。

福音到底是什麽?用 D.A.Carson 的話來說,許多年前,沒有基督徒會對這個問題有疑問,但現在,這變成是很大的問題。每個人的福音都不一樣 ... 不相信嗎?看看下面這兩篇文章就是了。一部分的人認為,福音是關乎個人得救的,另外一派的人則認為這太狹隘了,應該要包含社會的關懷等。

那我呢?

在回答這個問題之前,我又想到一個在台灣神學界很有名的「二二八事件」,衝突的雙方是「華神」以及「台神」。起因是「華神」以神學院的名義發表了對「二二八」的看法,以及從神學的角度怎麽看這件事情。偏偏這個神學的角度完全違反了「台神」的神學立場,因此大戰一觸即發。最後在「華神」賴建國院長以教會合一的原則,撤回了這本書的發行,害我一本也搶不到。以個人來說,我超想看看裡面的內容。

說真的,我一直不欣賞台神系統的神學,當然是因為這跟我個人的神學立場有關,這也包含南神以及玉神,特別是玉神。尤其是我看到玉神某位同學的畢業講題居然是「台灣,我們的母親」,細究文章中的內容,根本跟經文八竿子打不著關係,這也可以當作講道 ... 實在令我無言。

但不管有多少衝突,其實最後的問題是,「福音是什麽?」

羅1:16 我不以福音為恥;這福音本是神的大能,要救一切相信的。

我認為,耶穌來到世上唯一的目的,就是解決人類罪的問題。而其他社會關懷、文化使命等,不過是基督徒生命的自然彰顯。所以當耶穌的門徒問他說:「主啊,你復興以色列國就在這時候嗎?」耶穌也沒有回答他們。耶穌在世上也多次提到:「我的國不屬乎世界」。基督徒該不該要關懷社會、國家?要!但那不是所謂的核心。這就是我的立場。
參考文章如下: 康來昌講道:基督徒「沒有社會責任」 什麼是福音?
坦白說,康牧師的這個立場在現今並不太受歡迎,不過這也是我的立場。
所以對我來說,社會、政治,基督徒也應該參與、關心,不過這些不是核心真…

The Intolerance of Tolerance

文章的標題是美國三一神學院 D. A. Carson 的著作,中文的翻譯是「不寬容的信仰」,想當然這是要談信仰的著作,特別是如處理「高舉真理」以及「愛」的問題。卡森教授提到,現在流行的「新寬容」觀念中,「真理」以及「愛」是一場零和博弈。當你高舉「真理」,你勢必把一些人排除在真理之外,而對外面人的「愛」就減少了。卡森教授花了不少的篇幅在處理這個問題,最後的結論是,我們都做不到,因此我們需要耶穌的寶血洗凈我們的罪。而十字架上的耶穌,正是同時滿足「真理」與「愛」的實現。

不過今天要談的不是信仰的問題,而是在真實世界中上演的各樣爭議。

你支持同性婚姻嗎?
你支持核能嗎?
你支持台灣價值嗎?
你支持反送中嗎?
你支持長榮罷工嗎?
...

每個議題我當然有我的看法跟立場,但撇開這一切,這些議題兩造雙方的人真的有在對話嗎?每個派別是不是都高舉著「真理」的大旗在玩著這場零和遊戲?在後現代的時代,在這個只強調自己是主人的年代,不同立場的人該如何坐下來好好地談,闡述自己的理念呢?曾幾何時,所謂的討論,只是叫對方閉嘴,全盤接受自己的看法呢?

「你們基督徒不就是這樣?」
「我的主是如此說的:我也不定你的罪,去吧,從此不要再犯罪了!」