2025年8月23日 星期六

價值計算_The Calculus of Value_2025年8月13日

價值計算

致: 橡樹資本客戶

發自: Howard Marks

主題: 價值計算


7月28日,我搭乘一架沒有Wi-Fi的飛機前往南美洲,沒有電子郵件或娛樂設備可用。我還能做什麼,只能開始寫備忘錄?

有趣的是,我在那次飛行中寫下的內容,竟然成為我著陸後收到客戶許多問題的答案,因此撰寫以下內容對我很有幫助。我希望對你也同樣有用。

---------------------------------------------------------------------------------------------------------------

今年1月2日是我的備忘錄「bubble.com」發表25週年,那份備忘錄讓我的寫作受到關注。為了紀念這個日子,我發表了另一份備忘錄,叫做「泡沫觀察」。雖然標題可能讓讀者擔心,但我的主要結論是,當時美國股市的高估值並不一定意味著泡沫的存在,主要是因為我沒有察覺到我認為伴隨或導致大多數泡沫的極端投資者心理。我把證券價格形容為「高昂但不瘋狂」。

由於在那之後的七個月裡發生了很多事情,是時候更新一下資產價值的情況了。


在開始之前,請注意我談論的是一般性投資。我具體指的是美國公開企業證券——股票和債券——因為它們定期按市價計價,是最常進入我意識的資產。

但由於投資者對一類資產的行動和由此產生的價格變動會影響其他資產和其他市場——而且這些主要源於投資者心理,具有高度傳染性——我認為我的評論可能適用於其他資產類別,適用於私人資產和公共資產,也可能適用於美國以外的市場。


我將從闡述我認為投資價值的來源以及應該如何評估開始。我想我從來沒有以這種形式做過這件事。這是一個很大的話題,但我會盡量簡要地涵蓋它。


價值


投資資產____如股票、債券、公司和建築物____都有價值,有時被稱為「內在價值」:資產在某個時點的「價值」。這個價值是主觀的。它無法在任何地方被明確找到____據我所知,甚至AI也無法做到____人們對其價值的看法會有所不同。


在我的術語中,資產的價值來自其「基本面」。例如,一家公司的基本面包含許多內容。這包括其目前的盈利、未來的盈利能力、未來盈利的穩定性或可變性、其組成資產的市值、管理技能、開發新產品的潛力、競爭環境、資產負債表的實力,以及將影響公司未來的無數其他因素。

最終,資產基本面的總和構成了其盈利能力,而盈利能力又是其價值的來源。


一家公司可能擁有土地、建築物、機械、車輛和自然資源,如礦藏或森林,甚至是讓它能從河水或陽光中獲取電力的設施(它顯然並不擁有這些自然資源)。這些是有形資產,通常有市場和可實現的價格。

但公司也可能擁有無形資產,如專利、商業秘密、專業知識、研發能力、聲譽和形象、人才、管理技能和企業文化。其中一些可能是可轉讓和可銷售的,但其他則不然。


上述所有資產都有各自的盈利能力,結合在一起創造了公司的整體盈利能力。公司的盈利能力幾乎總是超過其各個資產孤立時盈利能力的總和。結合各個資產以最大化公司整體盈利能力是管理層的首要工作。成功時,結果就是協同效應:巧妙結合事物所獲得的好處。


但並非所有資產都有盈利能力(按我的定義),因此並非所有資產都有可計算的投資價值。我將盈利能力描述為通過擁有和經營資產可以賺到的錢——也就是說,我從「盈利」中排除了僅僅持有資產並最終出售所可能獲得的收益。

鑽戒、繪畫或經典汽車不會為其所有者產生盈利(除非出租或收費供人觀看)。因此,其經濟潛力完全來自以利潤出售的可能性。購買它的人很可能是希望以更高的價格賣給其他人...儘管在此期間它不會產生盈利。 

我認為不產生經營現金流或未來沒有這種潛力的資產沒有盈利能力,這使得它們無法客觀、分析性或內在地估值(參見我2010年關於黃金的備忘錄「閃閃發光的一切」)。


一些盈利能力是當前的,今天就產生收入。結果可以在今年的財務報表中看到:今天的資產在當前配置和今天條件下產生的收入。

其他盈利能力以潛力形式存在:例如,當今天持有的自然資源在未來被開發時將獲得的收入,或從公司員工利用其知識產權開發的新產品中產生的收入。結果將取決於展開的環境,這反過來會受到公司管理層、競爭對手、客戶、政府甚至投資者做出的決定的影響。


資產可以是有形的或無形的,資產的盈利能力今天可以產生盈利,未來也可以產生盈利,金額可能高於或低於今天。資產的當前盈利加上其未來產生盈利的能力,共同構成了其關鍵基本面。

一些投資者強調為今天的盈利能力支付合理價格,而其他投資者願意押注他們所看到的盈利能力增長潛力。

無論如何,我認為審慎的投資必須基於對資產現在和未來盈利能力的判斷。一旦投資者以這種方式確定了資產的內在價值,他就有了建立「正確」價格的基礎,這個價格將允許未來獲得良好回報。


價格


雖然價值可能看起來理論性和短暫,但價格是具體的。它是你為了獲得某樣東西而支付的金額。最終,如上所述,做好投資工作歸結為適當地估計價值並以合理價格購買該價值。


如上所述,有很多因素組合起來構成資產的基本面。最終,它們可以歸結為其盈利能力,而價值就是從盈利中衍生出來的。

在1960年代後期,我在芝加哥大學商學院研究所學到,資產的正確價格是其未來現金流或盈利的折現現值。

你可能會反對:那麼上面列出的所有其他因素,如公司的廠房設備、知識產權和管理層,甚至其聲譽呢? 它們不是也有價值嗎? 所有這些東西的價值都來自於它們對公司盈利能力的貢獻能力,因此被包含在盈利計算中。


證券分析師工作的關鍵部分是得出盈利預測。然後這些預測必須轉換為公平價格。在芝加哥大學,折現過程純粹是數學的:你將未來每年的盈利除以(1+r)^n,其中r是適當的折現率,n是盈利距離未來的年數,然後將年度結果加總。

但在現實世界中,價格是通過不同的折現過程設定的,這個過程主要由人們對資產及其盈利能力價值的主觀意見和態度組成。


所以這就是資產價格的本質:投資者對其潛在基本價值的共識觀點。據價值投資之父、巴菲特在哥倫比亞大學的老師班傑明·格拉漢姆說,市場價格每天都由投資者通過提出買賣報價來投票決定。

一些投資者認為某公司有穩固的產品線和稱職的管理層,而另一些人則認為它古板過時。一些投資者覺得另一家公司性感且適合未來,而其他人則認為它是高風險投機股。這些態度被轉化為資產價格。


這就是拉鋸戰的開始。在我看來,每天針對每項資產,樂觀主義者都在與悲觀主義者作戰。市場拋出「通用汽車52美元」。

樂觀主義者認為它值58美元,所以他們樂於以52美元買入。由於悲觀主義者認為它只值46美元,他們願意通過以52美元賣出來配合買方,於是交易達成。但有時,一方或另一方佔主導地位。

如果認為它值58美元的人數超過認為它值46美元的人數,想以52美元買入的人會多於想在那裡賣出的人,所以價格會上漲到53美元,也許54美元,依此類推。


就像意見的不平衡可以推動通用汽車的價格一樣,它也可以推動整個市場。有時市場中投資者的整體情緒是積極的,意味著他們的特點是樂觀、輕信、害怕錯過(「FOMO」)和風險承受能力。

有時情緒是消極的,表現為悲觀、懷疑、害怕損失和過度風險規避。雖然在現實生活中事物在相當好和不太好之間波動,但在投資者的心中,事物可以從完美無缺變為絕望,然後再反轉。


當大多數投資者樂觀時,他們會推動價格上漲並可能超過價值。

當悲觀主義者佔主導地位時,他們會導致價格下降並可能低於價值。因此,投資者心理在一方或另一方的主導地位——取代了效率市場假說所預設的理性和客觀性——可能創造出該假說認為不可能存在的便宜貨或過度定價。投資者應該留意這些機會。


資產的價格本身沒有任何意義。你無法判斷一輛售價40,000美元的汽車是否是好買賣,除非你了解決定其市場價值的因素:品牌、型號、年份、里程和狀況。

投資也是如此;重要的是資產價格與其價值之間的關係。投資者稱這種關係為資產的「估值」。


價格與價值的相互作用


如果以正確的價格(或更低)購買資產,其當前盈利可以在持有期間為買方提供良好的購買價格回報,而盈利能力的增加可以增加當前回報並增加其價值,從而提高其出售價格。

因此,投資者獲得投資吸引回報的能力很大程度上取決於他是否準確評估了投資的基本面並為這些基本面支付了適當的價格。


長期來看,投資的成功主要取決於買方對資產盈利能力的判斷是否正確。

然而,資產的當前盈利能力和對其未來盈利能力的意見通常不會每月甚至每年發生太大變化。因此,短期投資表現可能主要源於投資者願意為資產支付的價格變化。這使得價格成為任何主要關注短期的人的主要考慮因素。


價值應該被視為對價格施加「磁性」影響。如果價格高於價值,未來價格變動更可能向下而不是向上。如果價格低於價值,未來價格變動更可能向上而不是向下。然而,在短期內,相對於價值,價格可以朝任何方向移動。

這是因為資產在任何給定時點的價格主要由投資者心理決定,而投資者心理可能是非理性和不可預測的。因此,雖然價格與潛在價值的當前關係應該朝預期方向移動,但最多只能指望它在長期內如此。


「更有可能」是上述段落中的關鍵短語。一個被低估的資產可以長期保持便宜——甚至變得更便宜——就像一個被高估的資產可以變得更加高估,然後極度高估,然後瘋狂高估。價格能夠達到瘋狂極端的能力導致了泡沫和崩盤。

如果價格總是在開始超過價值時就停止上漲,我們就不會有延長的牛市和泡沫(以及隨之而來的崩盤),反之亦然。


大量押注價格會朝價值方向移動——我們稱之為「收斂」——的人如果沒有足夠的持久力可能會被淘汰出局。這就是約翰·梅納德·凱因斯所說的:「市場保持非理性的時間可能比你保持償付能力的時間更長。」

期望價格向價值移動而不是進一步偏離它在智力上是合理的,甚至可以為此下注,但大量押注它會很快發生是不明智和潛在危險的。


正如班傑明·格拉漢姆所說,短期內市場像投票機一樣運作,反映資產的受歡迎程度。但長期來看,它是一台秤重機,評估資產的價值。

因此,我們可以用「價值計算」的概念來思考,我發現這完全邏輯且幾乎數學化...除了它是由不具備這些特質的人應用的事實:

✦ 價值是你進行投資時獲得的,價格是你為此支付的。

✦ 好的投資是價格對於結果證明的價值是正確的投資。

✦ 由於投資者心理的波動性,資產價格的波動遠大於基本價值。

✦ 因此,大多數價格變化反映投資者心理的變化而不是基本價值的變化。

✦ 由於心理學在設定資產價格中的關鍵作用,為了了解價格相對於價值的位置,投資者應該嘗試衡量主流心理,而不僅僅是量化估值參數。

✦ 價格與價值的關係應該被期望強烈影響投資表現,高估值預示著低後續回報,反之亦然。

✦ 但這種關係除了在長期意義上外,不能指望產生預期影響。


當資產價格「公平」時(無論如何評估),投資者合理地期望獲得相對於其承擔風險同樣公平的報酬,相對於其他資產的風險調整後報酬。

但所謂的「主動投資者」會費心研究公司和市場,購買某些資產而不購買其他資產,對某些資產超配而對其他資產低配——客戶僱用主動投資經理並支付費用——希望獲得超過其承擔風險公平水準的報酬,從而優於其他投資者享有的風險調整後報酬。(根據投資理論,投資者可以通過被動投資可靠地獲得公平或平均報酬,從而避免支付主動管理費用。但主動投資者想要更多。)什麼條件可能產生主動投資者渴望的優越風險調整後報酬?

✱ 投資者共識未能完全理解資產的當前價值。

✱ 相對於資產的當前價值,市場價格過低。

✱ 資產價值的增長超過投資者預期,通常是因為其盈利能力出現意外增長。

✱ 資產在投資者中變得更受歡迎,導致其價格上漲但與價值變化無關。


可能還有其他可能性,但我認為上述清單相當詳盡。當然,與上述描述相反方向的發展可能導致劣質的風險調整後報酬,包括負報酬。


在缺少上述列出的一個或多個條件時,沒有理由期望投資提供優越報酬。

即使這些因素存在,投資者也不應期望獲得優越結果,除非他們擁有發現這些因素所需的優越洞察力。

簡而言之,將報酬視為來自於(a)價值變化和(b)價格與價值關係的變化是有幫助的,而那些獲得優越報酬的人是那些比其他人更好地預測這些變化的人。


投資者如何看待價格和價值?


當你觀看財經電視節目或在報紙或投資刊物中閱讀市場報導時,你遇到的大部分內容都與價格或價格與價值的關係有關。

觀眾並不是為了了解公司有多好或其2045年的盈利能力如何而來。他們是為了被告知股價在短期內會上漲還是下跌(也就是說,如果他們知道要問的話,短期回報是否會比風險更公平或更不公平,以及是否會優於或劣於其他資產的風險調整回報)。當然,這主要關於價格/價值。那麼這種關係今天處於什麼位置?


就像由大量定性和定量因素組成的許多事物一樣,公司的屬性無法通過演算法總結或簡化為單一數字。評估它們需要判斷力。

如果一家公司的價值是多變量且令人困惑地無法量化的,顯然很難在某個時點評估其價格的公平性。


股權投資者主要——往往幾乎完全——通過查看股票的本益比(股價與歸屬於每股普通股盈利的比率)來應對這一挑戰。

計算一支股票或股市或指數的平均本益比很容易,因此可以知道當前本益比與其他股票或其他時點的本益比比較如何。這些本益比標準的偏差根據區分該公司與其他公司的因素(基於超出當前盈利的基本面方面)或區分今天與過去時期的因素進行檢視,投資者在考慮這些因素後得出資產是否被高估、公平定價或低估的結論。

當然,基於單一指標(如股票的本益比)做出投資決定代表了決策的極大簡化,因此引入了出錯的可能性。


更新到最新狀況


現在我們可以開始了解當前和具體的情況。2025年開始時我們處於什麼狀態?


★ 標普500股票指數是美國股市最受關注的晴雨表。去年年末,其前瞻性本益比(其價格與來年預估盈利的比率)約為23倍,顯著高於歷史平均水準。

★ 當時,摩根大通發布了一張圖表,顯示如果你在1987-2014年期間(唯一有前瞻性本益比和由此產生的十年回報數據的時期)以23倍來年每股盈利的價格購買標普500指數,你在後續十年的年平均回報每次都在正2%和負2%之間。在這種本益比歷史相關的程度上,它對標普500的預測相當糟糕。

★ 我在1月的備忘錄中得出結論,這是令人困擾但不是威脅性的,主要還是因為我相信伴隨或導致大多數泡沫的暫時狂熱或「非理性繁榮」並不存在。


那是過去。從那以後發生了什麼?

美國股市在今年第一季度下跌高達10%,以科技股為主的納斯達克綜合指數跌幅最大。這主要是不突出的經濟和企業表現、溫和但仍高於預期的通脹,以及可能對估值水準和美國是否會保持其作為世界首選投資目的地地位的擔憂的結果。


然後,在4月2日,川普總統宣布對進口商品徵收遠比預期更高且更全面的關稅。投資者迅速得出結論,關稅可能導致通脹加速、經濟增長放緩,並使美國在全球國家和投資者眼中的形象變差。

結果是標普500急劇下跌,跌至比2024年底低15%的水準。簡而言之,投資者認為基本面前景已經惡化,他們根據這些較差的基本面拉低了股價。

債券投資者也有反應,要求基準10年期國債收益率高達4.5%,比關稅宣布前的略高於4%上升了。

更高的債券收益率意味著更低的債券價格,債券投資者明確表示他們認為風險更高,因此需要增加風險補償。


但從4月8日標普500的低點開始,它已經上漲了29%直到昨天,今年迄今為止上漲了9%。這大部分似乎是「緩解性反彈」,貿易協議截止日期被延長和/或關稅被設定在低於4月宣布水準,並且來自關稅的通脹尚未實現。簡而言之,到目前為止的關稅情況比最初宣布時所擔心的要好。

投資者也可能受到對盈利上升預期的鼓舞;通過的對企業有利的稅收和支出法案;許多外國作為貿易協議一部分對美國投資的承諾;甚至人工智慧為公司盈利能力增加價值的潛力。


關於今天的價格/價值計算,我們可以說什麼?

✱ 標普500在2024年底和關稅宣布前都被高估。

✱ 經濟可能性——以及公司可能的多年盈利能力——可能總體上比關稅宣布前要不那麼正面,儘管不像最初擔心的那麼糟糕。通脹上升仍然是一個擔憂。

✱ 更高通脹的威脅降低了投資者希望的早期刺激性降息的可能性。

✱ 政府尋求的貿易和關稅協議正在被提取,但美國似乎在世界範圍內被視為不太可靠的盟友和夥伴,一些投資者可能得出結論,他們應該減少對美國資產的重度配置。這種觀點的實施可能導致淨賣出和/或減少對這些資產的未來需求。

✱ 美國財政赤字和國債沒有改善的跡象,全球對此的擔憂似乎在增加。

✱ 儘管如此,在前景可能總體上有所減弱的情況下,美國股價卻在上漲。雖然盈利預計會上升,但股價上漲得更多。因此,無論今年開始時的情況如何,美國股票的價值主張似乎比年底時要差——即使那時也不是很好。


投資者行為和由此產生的價格/價值關係的指標是什麼?

✦ 標普500的高本益比是估值樂觀論點的主要支柱。

✦ 據英國《金融時報》(7月25日)報導,「據彭博社報導,標普500的股票現在估值超過其[公司]銷售額的3.3倍,創歷史新高。」

✦ 來自同一篇FT文章,「巴克萊的『股權欣快指標』,一個衍生品流動、波動性和情緒的綜合指標,已經激增到其正常水準的兩倍,進入與資產泡沫相關的區域。」

✦ 巴菲特最喜愛的指標——美國股票總市值與美國GDP的比率——也處於歷史最高點。特別值得注意的是,美國市值受到公司這些天上市前等待時間更長的趨勢以及許多公司在收購中被私有化的事實的抑制。因此,這個升高的指標可能比表面看起來更令人擔憂。

✦ 10年期美國國債收益率與標普500股息收益率之間的當前關係顯示,從歷史角度來看,後者是昂貴的。

✦ 所謂的「迷因股票」——受線上散戶投資者青睞的股票,他們不一定按照上述價值主張思考——最近引起了更多關注。許多股票的價格乍一看似乎很低,但你不得不懷疑它們的買家是否完全理解公司的基本面,其中一些似乎很不穩定。

✦ 收益利差——投資者如果要放棄國債的安全性並購買企業債務以獲得更高收益所要求的增量收益——正在接近歷史低點,比我3月份寫《給我信貸》備忘錄時要慷慨得多。這也暗示了投資者風險承受能力的提高,因此是市場高位的另一個跡象。


關於標普500估值的題外話:其在2023-24年令人驚嘆的58%兩年總回報中,有一半多歸因於僅僅七支股票的卓越表現,即所謂的「輝煌七雄」——蘋果、微軟、Alphabet(谷歌母公司)、亞馬遜、Meta Platforms(Facebook母公司)、英偉達和特斯拉。這些都是偉大的公司——其中一些是有史以來最好的公司——這七支股票已經成長到佔500支股票指數總市值驚人的三分之一。

(請記住,我並不聲稱自己是股票或科技股方面的專家。)


由於這些公司的卓越性,它們的股票被高估值,有一種流行觀點認為它們的高估值是標普500異常高平均本益比的原因。事實是它們的本益比平均約為33倍。

這當然是一個高於平均水準的數字,但當我考慮到這些公司的卓越產品、重要市場份額、高增值利潤率和強大競爭護城河時,我並不認為這是不合理的。

(我1969年到第一國民城市銀行時,很多「漂亮五十」股票的本益比在60到90倍之間。那個才叫高!)

相反,我認為是指數中493家非輝煌七雄公司的平均本益比22倍——遠高於標普500中等水準的歷史本益比——使得指數的整體估值如此之高,可能令人擔憂。


為什麼在我認為是淨負面發展的情況下,資產價格如此強勁?考慮到大多數觀察者認為關稅會加劇通脹、拖累經濟增長,並降低美國作為首選投資目的地的認知,標普500怎麼能在4月1日(關稅宣布前一天)以來的四個多月裡上漲14%?以下是我的解釋:

✦ 投資者天性樂觀。你必須是一個樂觀主義者才會把錢交給別人,希望以後能得到更多回報。這對股權投資者尤其如此,我認為他們的樂觀情緒很難消除。

✦ 當他們處於樂觀情緒時,投資者有能力正面解讀模糊的發展並忽視負面因素。

✦ 上一次持續的市場修正在2009年初結束,意味著已經超過16年沒有承擔風險被嚴重懲罰,「買入下跌」沒有得到回報。這意味著35歲左右以下的人——無論是專業還是業餘投資者——都從未經歷過長期熊市。年長的投資者經歷過一次或多次,但隨著如此長時間的過去,一些人可能已經被虛假的安全感所迷惑。

✦ 雖然美國可能仍然提供世界上最好的投資基本面,但一些投資者可能沒有意識到它可能有點「不那麼最好」的可能性。

✦ 理性化論述經常出現以保持牛市繼續。最近的一個是「TACO」,代表「川普總是退縮」。暗示他最強烈的威脅——以及投資者由此產生的一些最嚴重擔憂——不會實現。

✦ 鑑於市場連續多年的好時光,今天的投資者似乎更多地被FOMO而不是對市場高位可能產生糟糕回報甚至損失的擔憂所驅動。

✦ 最後,當然,負責今天資產價格的投資者共識可能比我更積極地看待基本面前景。


計算的底線是什麼?對我來說,基本面總體上似乎不如七個月前那麼好,但與此同時,資產價格相對於盈利很高,比2024年底時更高,相對於歷史也處於高估值。

大多數牛市都是通過在運作良好的經濟基礎上增加「積極因素星座」來建立的。今天我看到的因素包括以下內容:

➤ 市場、高端房地產和加密貨幣近期收益帶來的積極心理和「財富效應」,

➤ 相信對大多數投資者來說,真的沒有美國市場的替代選擇,以及

➤ 圍繞今天的新新事物:AI的興奮情緒。

這些都是能夠激發投資者想像力並促成牛市的因素,它們現在似乎確實在這樣做。

----------------------------------------------------------------------------------------------------------

我去年遇到了約翰·斯圖爾特·密爾(1859年)的一句精彩名言:「只知道自己一方觀點的人對此知之甚少。」換句話說,如果你不熟悉反對你立場的人的論點,你真的無法評估其有效性。因此,我不能在不給出問題另一方面的情況下負責任地推進我的觀點。


在每個強勁上漲的市場中,必須有延長估值的理由:「牛市論點」。如果它不存在,資產價格就不會在現在的位置。這通常是「這次不同」的某種變化。以下是今天的情況:


本益比基本上是將折現現金流計算應用於盈利流的結果,如上所述。進行此類計算和分配估值的主要輸入是關於盈利增長率、持久性和投資資本回報的假設。與過去相比,今天的標普500越來越由以下公司組成:(a)增長更快,(b)週期性較低,(c)需要較少的增量資本來增長,使它們能夠產生更多自由現金流,以及(d)具有更強的競爭地位或「護城河」。因此,它們理應獲得高於平均水準的本益比。


這種解釋完全合理。它引用了可能真正不同的因素。根據約翰·坦普頓爵士的說法,他是我知道的第一個談論「這次不同」陷阱的人,20%的時間事情確實如此;今天我打賭它超過20%。


所以,一方面,「這次不同」是一個反復出現的牛市陳詞濫調,總是值得審視,另一方面,未能認識到事情實際上何時不同是阻止普通投資者獲得卓越表現的因素。我只是不知道這兩個擔憂中哪一個在今天更有效。但投資者應該記住三件事:

➤ AI和相關發展改變世界的巨大可能性,

➤ 對一些公司來說可能「不同」的可能性——那些真正體現上述因素並將展現我在《泡沫觀察》中描述的「持久性」的公司,但同時也要記住

➤ 在大多數「新新事物」中,投資者傾向於將太多公司——往往是錯誤的公司——視為可能成功的事實。

----------------------------------------------------------------------------------------------------------


高估的存在永遠無法被證明,也沒有理由認為上述討論的條件意味著很快就會有修正。但綜合起來,它們告訴我股市已經從「高位」轉向「令人擔憂」。


你應該怎麼做?我從激進到防禦的光譜角度考慮戰術行動,當估值很高時,我考慮變得更加防禦。在我和妻子南希喜歡看的「動作片」中,五角大樓有時會宣布國防準備狀態,從DEFCON 5開始,隨著危險增長升級到DEFCON 1,表示核攻擊正在進行或即將發生。以類似的方式,面對高於平均水準的市場估值和樂觀的投資者行為,我考慮逐步應用以下投資準備狀態(INVESTCONs):

6. 停止買入

5. 減少激進持股並增加防禦性持股

4. 賣出剩餘的激進持股

3. 同時減少防禦性持股

2. 消除所有持股

1. 做空


在我看來,合理達到實施INVESTCON 3、2或1所需的確定性程度基本上是不可能的。因為「高估」永遠不等同於「肯定很快下跌」,很少明智地走向那些極端。我知道我從未這樣做過。但我毫不懷疑現在是INVESTCON 5的時候了。如果你減輕那些看起來歷史上昂貴的東西,轉向看起來更安全的東西,市場在一段時間內繼續緩慢上漲可能損失相對較少...或者至少不足以讓人失眠。


當然,我要趕緊說明,信貸投資通常比股票更安全,因此非常適合在我描述的環境中作為防禦性持股。

狹窄的收益利差意味著今天信貸的預期回報在歷史背景下相對於「無風險」資產並不慷慨(詳見《給我信貸》)。但回報在絕對條件下是顯著的,與股票的歷史回報競爭,並得到發行人支付利息和歸還本金的合約承諾支持,這是股票無法做到的。


2025年8月13日


原文出處

The Calculus of Value

2025年6月24日 星期二

Cisco IOS XE 版本分支比較

Cisco IOS XE 版本分支比較

Cisco IOS XE 軟體版本中的「Cupertino」、「Dublin」等是不同「發行分支(Release Train)」的開發代號,代表不同的開發路線與設計目標。這有助於區分版本的主要特性與適用情境。

版本分支(Release Train)比較

發行分支 代表版本範例 主要定位與特性 適用情境
Cupertino Cupertino-17.9.6 MD 主流穩定版本,功能全面且經過最充分的市場驗證。以通用性與長期穩定性為最高優先級。 追求極致穩定、需要長期維運的大規模生產環境。是多數企業的首選。
Dublin Dublin-17.12.5 MD 創新功能優先的版本,較快引入新協定、新硬體支援與前瞻性技術。 需要最新功能、支援新硬體或有特定創新技術需求的用戶。
IOSXE (無代號) IOSXE-17.15.3 ED 通用命名,通常代表較新的主流發展線或功能整合的過渡分支。 需參考該版本的發行說明(Release Notes)來確定其定位,通常適合早期採用者或特定功能驗證。

版本類型(Deployment Type)比較

在版本號後方的「MD」與「ED」則代表該版本的支援類型與生命週期。

類型 全名 (Full Name) 特色 適用情境
MD Maintenance Deployment 以穩定性、長期維護為核心。專注於錯誤修正與安全性更新,支援週期較長(約44個月)。 建議用於所有生產環境。提供最高的穩定性與最長的維護支援,降低維運壓力。
ED Early Deployment 提供最新的功能、新平台支援。支援週期較短(約18個月),穩定性相對MD版本較低。 在非生產環境中測試新功能,或因業務需求必須搶先導入特定新硬體或軟體功能時使用。


總結建議

  • 追求穩定:選擇 Cupertino (MD) 版本。這是最安全、最穩定的選擇。
  • 需要新功能:評估 Dublin (MD) 版本,它在提供新功能的同時也具備良好的穩定性。
  • 測試或嘗鮮:僅在非關鍵環境下考慮 ED 版本,並規劃好後續的升級路徑。

2025年6月4日 星期三

IEEE 802.1X 認證與 Wi-Fi 安全性學習

IEEE 802.1X 認證與 Wi-Fi 安全性學習指南

一、核心概念與 802.1X 概述
1.1 什麼是 IEEE 802.1X?

定義:IEEE 802.1X 是一種基於連接埠的網路存取控制標準,主要用於提供使用者驗證,以防止未經授權的裝置連接到網路。它不是一個單一的協定,而是一個用於使用者認證的「框架」或「規範」。

應用環境:特別適用於 Wi-Fi 網路,因為其廣播性質使得未經授權的存取威脅更大。在有線網路中,資料通常保留在連接終端裝置的電纜中,而無線網路則通過無線電訊號傳輸資料。

工作原理:當 Wi-Fi 使用者透過 802.1X 認證網路存取時,存取點上會開啟一個允許通訊的虛擬連接埠。如果認證不成功,則不提供虛擬連接埠,通訊就會受到阻擋。

1.2 802.1X 認證的三個基本要素:
  • 申請者 (Supplicant):在 Wi-Fi 工作站上執行的軟體用戶端,負責發起認證請求(例如,筆記型電腦、手機等裝置上的 802.1X 用戶端軟體)。
  • 認證者 (Authenticator):接收認證請求並充當申請者和認證伺服器之間代理的網路裝置,通常是 Wi-Fi 存取點 (AP) 或交換器。它負責將申請者的認證資訊轉發給認證伺服器。
  • 認證伺服器 (Authentication Server):一個集中管理使用者資訊並執行認證的伺服器,通常是一個 RADIUS 伺服器(例如 Cisco ACS、Microsoft IAS)。它根據儲存的使用者憑證(ID/密碼、數位憑證)來驗證申請者的身分。
1.3 802.1X 認證中的通訊協定:
  • EAP (Extensible Authentication Protocol):一種用於在申請者和認證伺服器之間傳遞認證資訊的可延伸認證通訊協定。802.1X 利用 EAP 進行認證。
  • EAP over LAN (EAPOL):申請者和認證者之間的通訊使用 EAPOL,它將 EAP 封裝在乙太網路訊框的資料部分中。
  • RADIUS (Remote Authentication Dial-In User Service):認證者和認證伺服器之間的通訊通常使用 RADIUS 協定來傳送認證資訊。因此,認證伺服器常被稱為 RADIUS 伺服器。
二、EAP 類型與憑證認證
2.1 EAP 的主要類型:

EAP 類型實際上處理和定義身分驗證。有多種 EAP 驗證類型,其中最常用的包括 EAP-PEAP 和 EAP-TLS。

EAP-PEAP (Protected Extensible Authentication Protocol)

認證方式:使用 ID 和密碼進行用戶端認證。

安全性:透過在 PEAP 用戶端與認證伺服器之間建立加密通道(隧道)來安全地傳輸認證資料,包括舊型的密碼式通訊協定。

憑證要求:只需要伺服器端憑證(伺服器憑證)來驗證 Wi-Fi 區域網路用戶端。

優點:實施和管理相對簡單,用戶端不需要憑證,由 Microsoft、Cisco 和 RSA Security 共同開發。

缺點:如果 ID 和密碼洩露,可能導致未經授權的存取。

EAP-TLS (Transport Layer Security)

認證方式:利用數位憑證進行用戶端認證。

安全性:提供用戶端與網路之間基於憑證的相互認證。數位憑證(用戶端憑證)安裝在用戶端上,比密碼更難洩露,因此安全性更強。

憑證要求:用戶端和伺服器端都需要管理相關的憑證。

優點:安全性高,支援動態產生每次連接作業的 WEP 金鑰。

缺點:憑證的準備和安裝過程較為繁瑣,對於大型網路來說管理成本較高。

其他 EAP 類型簡介:

  • EAP-MD-5:提供基本等級 EAP 支援,但不建議用於 Wi-Fi 網路,因為密碼可能被推斷,且不提供動態 WEP 金鑰導出。只適用於單向認證。
  • EAP-TTLS (Tunneled Transport Layer Security):EAP-TLS 的延伸,透過加密通道提供用戶端與網路之間的憑證共同驗證,並提供動態 WEP 金鑰。與 EAP-TLS 相比,只需要伺服器端的憑證。
  • EAP-FAST (Flexible Authentication via Secure Tunneling):由 Cisco 開發,不使用憑證執行相互驗證,而是透過 PAC (Protected Access Credential) 在安全通道中進行。PAC 可以手動或自動提供給用戶端。
  • EAP-SIM (Subscriber Identity Module):使用 GSM (Global System for Mobile Communications) 用戶識別模組 (SIM) 進行認證,並使用動態作業階段金鑰加密資料。
  • EAP-AKA (Authentication and Key Agreement):使用 UMTS (Universal Mobile Telecommunications System) 用戶識別模組 (USIM) 進行認證。
  • Cisco LEAP (Lightweight Extensible Authentication Protocol):Cisco 專有認證方法,支援用戶端和 RADIUS 伺服器之間透過登入密碼進行雙向認證,提供動態的每使用者、每會話加密金鑰。


2.2 伺服器憑證:

EAP-PEAP 和 EAP-TLS 都會使用數位憑證進行伺服器認證,這稱為「伺服器憑證」。

三、802.1X 部署模式
3.1 部署模式概述:

802.1X 部署模式允許逐步增加網路的安全性態勢。

監控模式 (Monitor Mode)

特性:開啟 802.1X 但不實際阻擋流量。所有裝置都能連接到網路,無論是否認證。

目的:用於觀察 802.1X 的運作情況,了解哪些裝置正在發送 EAP 憑證,以及哪些裝置可能不支援 802.1X,以便在全面部署前進行評估,而不會中斷現有服務。

存取控制:不影響終端使用者或端點的連接。

低衝擊模式 (Low Impact Mode)

特性:在認證前提供有限的網路存取,例如僅允許 DHCP、DNS、HTTP (port 80) 和 HTTPS (port 443) 等基本連線能力。

目的:允許裝置在完成 802.1X 認證前進行基本的網路通訊,例如取得 IP 位址或進行網頁瀏覽以完成認證過程(例如導向到網頁認證入口)。

存取控制:認證成功後,會應用更廣泛的存取控制列表 (ACL) 或角色,提供完整的網路存取。

封閉模式 (Closed Mode)

特性:在認證成功前,不允許任何網路存取,包括 DHCP、DNS 等。

目的:提供最高等級的安全性。任何未經認證的裝置插入網路連接埠時,將無法進行任何通訊。

存取控制:只有在完成 802.1X 認證後,裝置才能獲得網路存取權限。

3.2 802.1X 容錯機制 (Fallback Mechanisms):

並非所有裝置都支援 802.1X,因此需要容錯機制來確保網路的可用性。

MAC 認證旁路 (MAC Authentication Bypass, MAB)

目的:為不支援 802.1X 的裝置提供基本的認證方式。

工作原理:當裝置未能響應 EAP 請求時(通常是發送身份請求但沒有回覆憑證),交換器會嘗試使用裝置的 MAC 位址作為使用者名稱和密碼在 RADIUS 伺服器中進行驗證。

安全性考量:安全性較弱,因為 MAC 位址容易被偽造。通常需要結合 ACL 來限制 MAB 裝置的網路存取,例如只允許印表機進行列印。

訪客 VLAN (Guest VLAN)

目的:為無法理解 EAP 協定或無法成功認證的裝置提供有限的網路存取。

工作原理:當裝置在多次 EAP 嘗試後仍無回應(逾時)時,會被動態地分配到一個訪客 VLAN。

存取控制:訪客 VLAN 通常會導向到一個網頁認證入口 (Central Web Authentication),或提供極其有限的網路資源。

受限 VLAN (Restricted VLAN)

目的:處理認證失敗(提供錯誤憑證)的裝置。

工作原理:當裝置提供錯誤的憑證導致認證失敗時,會被動態地分配到一個受限 VLAN。

存取控制:受限 VLAN 通常會提供極為有限的網路存取,可能只允許裝置訪問修復認證問題所需的資源。

3.3 主機模式 (Host Modes):

802.1X 在埠級別運作,並支援不同的主機模式以適應多個裝置連接到單一連接埠的情況,例如 IP 電話後連接電腦。

  • 單主機模式 (Single-Host Mode):只允許一個裝置透過該連接埠進行認證和存取。一旦第一個裝置認證成功,其他裝置將被阻擋。
  • 多主機模式 (Multi-Host Mode):允許一個連接埠上有多個裝置連接,但只有第一個裝置需要通過 802.1X 認證。一旦第一個裝置認證成功,該連接埠上的所有其他裝置(無論是否認證)都將被允許存取網路。這對於虛擬機環境很方便,但安全性較低。
  • 多網域認證 (Multi-Domain Authentication, MDA):為每個連接埠提供一個資料裝置和一個語音裝置的獨立認證。這允許 IP 電話和連接到電話的電腦各自獨立地進行認證。
  • 多重認證模式 (Multiple Authentication Mode):每個連接埠上的每個 MAC 位址都需要獨立地進行 802.1X 認證。這是最安全的模式,但管理複雜度也最高。
四、WPA2 與 802.1X 的整合
4.1 WPA2 概述:

定義:WPA2 是一種加密標準,用於在無線裝置和存取點之間提供安全通訊。它使用 AES (Advanced Encryption Standard) 加密資料傳輸,被認為是目前最安全的無線安全選項。

類型:

  • WPA2-PSK (Pre-Shared Key):使用單一預共享密碼保護網路,適用於家庭或小型辦公室環境。缺點是單一密碼易於洩露,存在憑證竊取和中間人攻擊的風險。
  • WPA2-Enterprise:為每個使用者分配唯一的憑證或數位憑證來連接網路,而不是共享單一密碼。安全性遠高於 WPA2-PSK。
4.2 WPA2-Enterprise 與 802.1X 的協同工作:

WPA2-Enterprise 和 802.1X 經常結合使用,以提供企業級別的 Wi-Fi 安全性。

  • 802.1X 的角色:802.1X 標準透過 RADIUS 伺服器管理網路存取控制,負責驗證使用者的身分(基於密碼、令牌或憑證)。
  • WPA2-Enterprise 的角色:WPA2-Enterprise 提供改進的加密,確保資料在空中傳輸的機密性和完整性。
  • 協同效應:當兩者結合時,使用者使用其唯一的憑證或憑證透過 802.1X 認證,然後 WPA2-Enterprise 提供強大的加密來保護認證後的資料傳輸。這比單純的 WPA2-PSK 更安全,因為每個使用者都有獨立的憑證。
4.3 加密機制:
  • WEP (Wired Equivalent Privacy):舊版加密標準,已被證明不安全,易受攻擊。
  • TKIP (Temporal Key Integrity Protocol):為了解決 WEP 缺點而引入,使用 RC4 演算法,並為每個資料包更改臨時金鑰。雖然優於 WEP,但仍存在漏洞。
  • AES (Advanced Encryption Standard):最安全的加密標準,使用 Rijndael 演算法,支援 128、192 和 256 位元金鑰。WPA2 通常與 AES 結合使用。
  • MIC (Message Integrity Check):WEP 的增強功能,可防止對加密資料包的位元翻轉攻擊,確保資料完整性。
五、快速安全漫遊 (Fast Secure Roaming, FSR)
5.1 漫遊的基本概念:

用戶端主導:無線用戶端始終是決定漫遊到哪個 AP 的主導者。漫遊事件在無線用戶端認為需要漫遊時啟動。

關聯過程:無論有無安全性,用戶端連接到 AP 時都會經過 802.11 開放系統認證和關聯過程。在漫遊時,這個過程會使用「重新關聯」訊框。

延遲問題:對於啟用了高層次安全性的 WLAN,每次漫遊到新的 AP 時,用戶端都需要重新執行完整的 EAP 認證和 WPA/WPA2 4 次握手,這會導致延遲,可能影響對延遲敏感的應用程式(如語音或視訊)。

5.2 FSR 的目的:

加速 WLAN 漫遊過程,尤其是在啟用安全性時,以減少延遲並提供更流暢的使用者體驗。

5.3 主要的快速安全漫遊方法:
CCKM (Cisco Centralized Key Management)

特性:Cisco 專有協定,最初由 Cisco 開發以解決漫遊延遲。

工作原理:用戶端首次認證後,WLC 會快取其主要金鑰 (MSK),並與行動群組中的其他 WLC 共享。漫遊時,CCKM 用戶端只需傳送一個重新關聯請求訊框,其中包含足夠的資訊來從快取的主金鑰中導出新的加密金鑰,從而跳過完整的 EAP 認證和 4 次握手。

優點:速度最快,支援多種加密方法。

缺點:Cisco 專有,限制了對非 Cisco 裝置的支援。

PMKID 快取 / 粘滯金鑰快取 (Sticky Key Caching, SKC)

特性:IEEE 802.11i 標準中建議的可選快速安全漫遊方法。

工作原理:用戶端和 AP 會快取已建立安全關聯的配對主金鑰 (PMK)。漫遊時,如果用戶端回到之前連接過的 AP,它會使用快取的 PMKID 進行重新關證,只需執行 WPA2 4 次握手即可獲取新的加密金鑰,從而避免完整的 EAP 認證。

優點:可由獨立 AP 在本地實施。

缺點:只在用戶端漫遊回之前連接過的 AP 時才有效;對快取的 PMK 數量有限制;非所有 WPA2 裝置都支援;不支援控制器間漫遊。

機會式金鑰快取 (Opportunistic Key Caching, OKC) / 主動式金鑰快取 (Proactive Key Caching, PKC)

特性:PMKID 快取方法的增強版,非 802.11 標準定義。

工作原理:與 SKC 類似,但 OKC 允許用戶端在相同 WLAN/SSID 下漫遊到新的 AP 時仍能利用快取的 PMK。它在初始認證後將原始 PMK 共享給所有 AP,並根據用戶端 MAC、AP MAC 和 PMK 計算 PMKID。漫遊時,新的 AP 會重新計算 PMKID 以驗證匹配,然後只需進行 4 次握手,跳過完整的 EAP 認證。

優點:用戶端和 WLAN 基礎設施只需快取一個 PMK,在任何 AP 間漫遊都能加速,無需重複 EAP 認證。

缺點:需要在集中式環境中部署(如 WLC),非標準化,裝置支援差異大。

預認證 (Preauthentication)

特性:IEEE 802.11i 標準中建議的方法,但 Cisco WLAN 基礎設施不支援。

工作原理:用戶端可以在與當前 AP 關聯的同時對多個鄰近 AP 進行預先認證。這意味著在實際漫遊之前,用戶端已經與目標 AP 完成了完整的 EAP 認證和 PMK 建立。

優點:每個 AP 到用戶端都有獨立的 PMK。

缺點:對可預認證的 AP 數量有限制;每次預認證都會產生完整的 EAP 交換,增加網路和認證伺服器負載;大多數無線用戶端不支援。

802.11r (Fast BSS Transition, FT)

特性:IEEE 於 2008 年正式批准的首個標準化快速安全漫遊方法。定義了更複雜的金鑰層次結構。

工作原理:在用戶端首次認證後,會生成多級 PMK(PMK-R0、PMK-R1、PTK)。漫遊時,802.11r 將 802.11 認證訊框和重新關聯訊框結合起來交換 FT 資訊,並直接導出新的加密金鑰,從而避免了完整的 EAP 認證和 4 次握手。

漫遊方法:
  • 空中 (Over-the-Air):認證金鑰管理協商發生在 802.11 認證訊框或操作訊框中。
  • 透過 DS (Over-the-DS):用戶端向當前 AP 傳送 FT 操作請求訊框,然後由原始 AP 透過有線基礎設施轉發給目標 AP,目標 AP 回應 FT 操作響應。

優點:標準化、跨廠商相容性高;在有 PSK 安全性的情況下也能加速漫遊。

缺點:裝置支援不一;實施較新,可能存在未預期的問題;不支援 802.11r 的用戶端無法連接到啟用了 802.11r 的 SSID,需要單獨的 SSID 或自適應模式。

5.4 自適應 802.11r (Adaptive 802.11r):

目的:解決舊版用戶端無法連接到已啟用 802.11r 的 WLAN/SSID 的問題。

工作原理:當 FT 模式設定為 Adaptive 時,WLAN 會在啟用 802.11i 的 WLAN 上廣播 802.11r 移動域 ID。某些 Apple iOS10(及更高版本)裝置會識別 MDIE 並執行專有握手建立 802.11r 關聯。其他用戶端仍可繼續 802.11i/WPA2 關聯。

六、無線網路安全的其他考量
6.1 802.11 無線 LAN 標準定義的認證方法:
  • 開放式認證 (Open Authentication):基本上是空認證演算法,意味著不對使用者或機器進行驗證。任何裝置都可以發出認證請求。如果未啟用加密,任何知道 WLAN SSID 的裝置都可以存取網路。
  • 共享金鑰認證 (Shared Key Authentication):使用 WEP 加密金鑰進行認證。AP 傳送質詢文本,用戶端使用 WEP 金鑰加密後回覆。主要缺點是質詢文本和加密文本的交換容易受到中間人攻擊,導致 WEP 金鑰被推斷。
6.2 不建議使用的認證機制:
  • SSID 認證 (SSID Authentication):SSID 是一種網路名稱,不是安全機制。SSID 值以明文形式廣播,容易被竊聽者確定。禁用 SSID 廣播也無法實現增強安全性。
  • MAC 位址認證 (MAC Address Authentication):雖然常用,但 MAC 位址可以被偽造,安全性較弱。
6.3 無線網路安全漏洞:
  • 弱裝置認證:只驗證裝置而非使用者。
  • 弱資料加密:WEP 已被證明無效。
  • 無訊息完整性:ICV (Integrity Check Value) 無效。
6.4 VPN 作為替代方案:

一些企業不依賴 Wi-Fi 區域網路進行認證和隱私保護,而是實施 VPN。這種方法在企業防火牆外部放置存取點,使用者透過 VPN 閘道連接。然而,VPN 解決方案通常成本高昂,初始安裝複雜,且管理成本持續存在。