从以太网电缆窃听信号的人能收集敏感信息吗？

Question

假设我已经将我的笔记本电脑连接到以太网电缆上，并且以太网电缆中的所有流量都是加密的(比如VPN、HTTPS等等)。通过物理访问以太网电缆(通过以太网密钥记录器或可能是感应)窃听流量的人能解密流量并收集敏感信息吗？

Answer 1

简短的回答；理论上是的，在实践中不是。

在我解释发生什么之前，有两个原则你应该知道；

非对称算法；公钥和私钥，用于对称密钥的加密和传输。https://cryptography.io/en/latest/hazmat/primitives/asymmetric/index.html

和对称算法；通常情况下，加密速度更快，但仍然非常强大。https://cryptography.io/en/latest/hazmat/primitives/symmetric-encryption/

我将讨论你质疑加密的两个例子。我可以访问你的以太网电缆，以及所有穿越它的数据。

你在VPN

上

VPN与不对称密钥传输连接；客户端提供服务器(公共)加密密钥，客户端保存(私有)解密密钥，服务器给客户端加密密钥，并将服务器的解密保密。然后，他们通过该“较慢”的加密方法传输“更快”加密方法的密钥。

然后，使用这种更快的加密方法将所有网络数据加密到VPN服务器。本地网络头信息(元数据)没有加密，但是VPN连接在数据包数据中有自己的网络报头信息。当它是包内的数据包时，所有新的网络流量都会被加密。

通过元数据，除了VPN服务器之外，我不知道您的目的地，您可以通过该网络连接到任何网站或系统，而我不知道。我刚看到你在和VPN服务器通话。

从理论上讲，有了宇宙中所有的时间和资源，我最终可以解密这些数据。然而，在实践中，它可能在8000+年的时间范围内。我可以针对所有数据所在的更快的加密方法，也可以尝试针对非对称加密并解密传输对称密钥的会话。然而，在实践中，这两种方法现在都很难妥协。

您正在连接到HTTPS

它实际上非常相似，但只有HTTP数据是加密的。

您的浏览器与HTTPS服务器进行不对称加密，然后传输对称密钥以(更快)加密。这也可以压缩数据。然后，两台计算机使用对称密钥加密进行传输。

我可以看到您将要访问的站点(IP地址和DNS请求)，并监视您的活动(吞吐量)，但是正在讨论和传递的内容是通过这种更快的加密来隐藏的。所以我可以看到你要去naughtysite.com，你已经下载了800兆的数据，但是我不知道你看了什么视频，也不知道视频内容本身。

同样，我可以尝试攻击非对称密钥，在其中我可以获得对称密钥，或者只攻击对称密钥加密数据。这两种攻击都需要很长时间。我相信，在连接到服务器的整个过程中，对称密钥可能会随着时间的推移而改变，因此我可能不得不攻击多个对称密钥，而不知道在会话中发生这种更改的位置/时间。

弱加密

所以所有这些都假设你使用的是强加密算法。在实践中不再使用弱算法，主要是因为它们“很容易”解密，或者它们有很大的缺陷，很容易破解。这就是为什么您希望确保您使用的VPN或HTTPS具有强大的加密算法，但它们通常不会在实践中使用，只是在学习中使用。(我头顶上的一个例子是用于wifi加密的WEP )

但这并不意味着我们使用的加密算法没有我们今天所不知道的缺陷，下周我们可能会发现这个缺陷，在那里，曾经强大的加密现在被打破了。所以我今天拍到的所有东西下个月我都会解密。

易受攻击软件

链的其余部分是用来加密通信量和交换密钥的软件。如果该软件中存在漏洞，我可以强制软件向我释放密钥或更改我想要的东西的密钥，那么我就可以破坏通信，解密或注入数据。

Answer 2

不，目前无法解密正确加密的通信量。

尽管如此，如果使用弱加密，数据可能面临风险。此外，某些通信量可能实际上并不是加密的。例如，DNS通信量可能实际上不会在VPN连接上路由。这至少可以泄露您正在浏览的网站的域名。

Answer 3

为了做到这一点，他们必须打破所有的加密方法，从第二层加密(以太网或vpn )开始，如果它运行在第二层)和其他。这是可能的，但变得具有挑战性的每一步。例如，如果虚拟专用网易受攻击，或者如果ssl网站易受ssl剥离或心脏出血，等攻击，则使其成为可能。如果您使用的是openvpn，下面是一些openvpn协议脆弱性，因此这是最流行的vpn协议。但是，每一层加密都是一个挑战。