【翻牆問答】中國黑客侵美政府電郵　電郵漏洞多加強保安要加密

問：包括美國駐華大使在內的電郵被中國一群黑客入侵，而這次入侵又與微軟公司的電郵系統有關。其實微軟公司的電郵系統，已經不止一次被黑客入侵，而當中的安全問題亦是眾所周知。為何美國政府，甚至不少跨國企業仍然未改用其他的電郵系統，例如採用安全係數更高的谷歌電郵？

李建軍：對於普通人而言，要放棄用了多年的電郵地址，都是一個十分之痛苦的事，更何況更換整個電郵系統？美國政府要更換電郵系統，牽一髮動全身，有可能要改變整個系統基建，過程中會影響到日常運作，這是十分之困難的事。因此，儘管微軟的電郵系統一而再，再而三出現保安問題，很多政府以至大公司都拒絕更換，因為更換很可能帶來更多的問題。另一方面，電郵這種技術，其實已經相當古老，除非在可見的將來，電郵技術出現大躍進，否則改用其他公司的系統，都不見得萬無一失。

問：如果要防範這類黑客攻擊，又應該怎樣做？

李建軍：有兩個做法可以考慮，第一個做法，是參考之前翻牆問答介紹的做法，用PGP加密電郵內容，該做法適合發送和接收電郵雙方都認識的情況。PGP可靠度十分之高，如果對方沒有相關的金鑰，以現時的技術，除非有量子電腦配合，否則黑客十分之難暴力破解電郵內容。如果你和收信人是認識，又有交換金鑰的安全方法，不妨將電郵用PGP加密，那基本上就算有人成功入侵電郵系統，由於黑客無法破解加密內容，損失都相當輕微。這亦解釋了，為何谷歌現時都開始在電郵中加入加密功能，因為這可以某程度彌補傳統電郵在保安技術上的不足。電郵作為資訊基建的一部分，要改變相關技術牽一髮動全身，就算像谷歌這樣大的公司，都未必做得到。

另一個方法，是世界上不少大公司和銀行已經在使用的方法，那就是電郵只會傳一個已經加密的PDF檔案，或者連結，而收件人要用事前約定的密碼，或自己的的谷歌帳戶才可以看到相關內容。這種做法之下，就算黑客入侵都不會有大礙，而且亦能符合不少民主國家的存檔要求。

不少西方民主國家都有檔案法。政府官僚使用電郵通訊，其實是檔案法之下的要求，確保日後公眾可以查閱電郵內容，得知政策訂立的過程，作為對公眾負責的手段。因為民主國家政府的系統設計，既講求系統安全，但亦要保持政府運作過程中保持透明度。而利用Google Meet或點對點加密通訊軟件的通訊內容，不能日後存檔，因此無法作為最終政策依據。而我們提到用PDF檔案的做法，則能在向公眾問責及保安兩者之間取得一種平衡。

而且上述方法還有另一個好處——就算電郵送錯到一些危險地方，造成損害都不大。舉了例子，美國軍方網址尾碼，與非洲國家馬里十分相近，因此經常送到這個非洲國家，但為何暫時未有大規模資訊洩漏所造成的問題？這正是因為美國軍方的電郵有很多時都會加密，甚至有些更加機密的通訊內容，根本不會使用電郵這類科技，而是使用軍方其他合符檔案法，或其他法律要求的系統傳送。

總而言之，在電郵技術太古老而漏洞多多的情況下，幫內容、附件加密，或只傳送相關已加密的連結，都是很有效保障自己和收件人安全的方法。當然，如果你的通訊內容，根本不需要留下任何檔案供後世查閱的話，使用點對點加密軟件，或一些已加密的會議通訊軟件，有可能對你的安全更有保障。當然，如無必要都不要用電郵，在現代都不失為一個相當不錯的保安方法，至少防止黑客截獲通訊內容，為自己和通訊者的安全都造成危險。