發表文章

目前顯示的是 四月, 2020的文章

再論 Zoom 的安全性:AES_128_ECB

圖片
Zoom 的風暴越演越大,在教育局一聲令下全體禁用之後,我們看到葉丙成老師出來發話了。細節要看他的 Facebook,但是因為我擔心之後會被蓋掉,所以這邊先放上新聞的連結。 教部停用Zoom 葉丙成:老師們的努力全白費 如我所料,另外一位自認是資安專家的李老師出來講話了。 很明顯是在對罵 ...  以我個人來說,這百分百是政治議題。要資安?那請問政府能不能看你的信件,我不是說中國或是美國,我指的是中華民國或是台灣,看你要怎樣稱呼。 離題了,我們回到 Zoom 這邊來。我這邊只針對爆出來的問題做分析。 昨天又看到一則新聞,關於 Zoom 使用 AES_128_ECB 的方式來進行加密,內容如下: Move Fast and Roll Your Own Crypto: A Quick Look at the Confidentiality of Zoom Meetings 說真的,這篇寫的內容非常好,有憑有據,比之前只會隨便抓兩句話就上來吹一整篇的人好多了。真要說缺點的話是沒有註明軟體的版本,畢竟 Zoom 都一直有在更新。在通篇文章裡面,扣掉資料傳中國以外(請注意,我知道美國和歐洲應該是有法律規定用戶資料必須要留在國內,所以我之前的文章討論的純粹是技術,畢竟大家拿出來講的是資安而比而不談政治),最大的問題只有一個,Zoom 是使用 AES_128_ECB 的方式進行加密,而且金鑰是來自中國的。按照文章來說,架構如下: 關於金鑰來自中國這件事情我在技術上沒有意見(政治上另外一回事),因為這個架構就是很單純,在資安上是「公正第三方」(Trusted Third Party),簡單來說是你不能去質疑它的安全性,正如你在使用 Google 服務的時候你也不會去質疑 Google 的安全性一樣。問題出在 AES_128_ECB。這沒啥好說的,這是一個問題。128 的意思代表金鑰長度 128 bits,以目前來說還算夠用,根據 wikipedia 的資料 Since 2015, NIST guidance says that "the use of keys that provide less than 112 bits of security strength for key agre

有關 Zoom 的安全性問題:End-to-End Encryption

因應新冠肺炎的影響,教育部開始大力鼓吹「遠距教學」。教育部本來主打的軟體是 Zoom ,直到下面的這些新聞: 立委點名教育部、司法院,籲公部門禁用 Zoom! Zoom爆資安疑慮 立委提醒教育注意遠距資安風險 Zoom 資安爭議懶人包,專家建議如何使用這套視訊會議服務較為安全 然後教育部做了下面的裁示: 教育部對zoom資安疑慮後續處置說明 好,接下來是我的看法。 End-to-End Encryption Zoom 最大的問題是它曾宣稱它具有 End-to-End Encryption,對作資安的人來說,這個宣告指的是 Sender 和 Receiver 之間有共享的金鑰可以加密(當然建立金鑰可以透過非對稱式的方式)。但後來被抓到並沒有這樣實作!!Zoom 因此宣稱他們的 點對點加密 指的是 「從用戶端到Zoom的伺服器」 。作資安的沒有半個會認可這樣的說法。上面這段敘述的資料來源附在下面: ZOOM MEETINGS AREN’T END-TO-END ENCRYPTED, DESPITE MISLEADING MARKETING 問題來了,要做到 Zoom 那樣的功能,有可能實現 End-to-End 的加密嗎? 我認為不可能 。一般一對一的聊天軟體這並不難,但想想看,Zoom 可以在多人的會議室當中,允許有些成員在私下講話,根據 End-to-End 的定義,每個成員之間都要有一把共享的金鑰,這在金鑰管理的機制下是不可行的,因為會議成員是來來去去的,動態金鑰管理一直是資安領域一個難解的問題。 為了證明我的猜想沒錯,我們來看看大部分新聞提到的幾套軟體:Google Meet、Microsoft Team、Cisco Webex。當然還有其他軟體啦,不過我只找了這三套的資料,若有人有興趣歡迎找其他的相關資料。 Google Hangouts Meet Meet security and privacy 在 Encryption 那邊很明確寫到「All data in Meet is encrypted in transit by default between the client and Google for video meetings on a web browser, on the Meet Andr

遠距教學的考試問題

因應新冠肺炎的疫情,學校開始要求老師們要「遠距教學」。「遠距教學」對我來說沒有任何問題,事實上,我並不討厭數位化的教學模式,我甚至自己去 Coursera 上面上過一些課程,一方面是去學習,二方面也是看看人家怎樣上的。 BTW,我超喜歡 Charles R. Severance 這位老師的。他的 Python For Everybody ,雖然對資工領域的人來說有點太簡單,但是上課風趣,也講得非常清楚 。但我個人本身還是比較喜歡實體授課,去親身體會上課的氛圍,和學生的互動等。當然很多人說:「網路授課還是可以互動阿」,特別是學生還會說:「隔著網路比較敢問問題」(拜託,我的課堂上,問題答不出來從來沒扣分好嘛),對,但隔著網路會更容易只跟有反應的同學互動,更難在一大片信息中注意到比較沒有反應的學生,而且對於氛圍的感受力下降,也造成老師很難立時做調整。不過這些對我來說問題還不大 ... 我在意的是 ... 誰可以告訴我「考試」要怎麼辦?? 為了解決這個問題,我採用了現代人最會的 Google 大法,然後我看到了下面的文章: 解析大專院校難以「超前部署」遠距教學的七道陰影 大學線上測驗防止學生作弊?老師們應該要注意的弦外之音 在第一篇文章中提到: 我認為「防弊」有兩個層面,其一能否測驗出學生修業後「能力」的成長,而非只是「暫時」背起來了;其二,則是能否真正測驗出是「該名」學生的能力,也就是如何確定A答案是A學生的,而非B學生提供。 對於前者,老師們不能再出那種課本翻得到、網路上查得到的考題,而是能針對該門課程的「教學目的」拿出有水準的open book exam,而且是沒有標準答案的,才能測驗出學生在知識、技能或觀念上「內化」的程度。因此,老師勢必又要花更多的心力在出題和改考卷。 針對後者,我個人覺得,這永遠會是「道高一尺魔高一丈」,大學作為一個18歲以上的成年教育階段,學校和老師該去思考的是如何讓人有學習動機上課、並透過測驗了解自己的成長或不足,而非消極的防弊。 第二篇文章則是提到: 大企業花大錢建立的防盜機制都會有人破解,更何況是一堂課的考試。不如積極思維、超前部署,一開始就思考〝沒有嚴格的防盜機制下〞,該如何測出學生的學習狀態?由於網路的匿名性,教育者在網路上教學必需盡力回歸教學本質,直視學生的學習動機:面對它、解決它、放下它。讓學生