主题：我所了解的中国“棱镜”情况 -- 汴梁牛二

“也许他们攻破了MD5或者SHA-1”

SSL协议采用非对称算法交换通讯密钥，哈希算法是用来完整性保护和机密性无关；政府一级的中间人攻击可以非常简单，使用电信运营商的proxy和ns即可。

具体来说，政府可以在自己proxy上放置google的假证书，因为用户的浏览器其实也就是去默认的CA验证证书的真假，而CA的寻址是通过NS服务器的，只需要改变DNS解析到政府伪造的CA，浏览器端就会验证为google的证书无误；然后，proxy再替代用户去和google交互就完成了整个中间人攻击。

上述实现起来其实很简单，如果你共享一个免费的wifi信号出去，在自己的网络里面照着做一次，也可以把所有逞你网的小白的信息一览无遗。所以，去咖啡馆那些什么的，接入wifi后最好自己再拨一次VPN。

SKYPE一开始，其实美国政府也很头痛。FCC曾经对其发出最后通牒，限期提供可以被监控的技术途径。所以，比流氓美国政府一点都不差。

从技术对比来讲，我们实在处于太大的劣势，从芯片、操作系统、网络全是别人的，现在能做的只能是先用我们信得过的设备把边界守起来，再慢慢替换。