LINE X Intertrust 資安高峰會:你聽過白箱加密、FIDO 認證嗎?圖靈獎得主親臨做科普

LINE 和 Intertrust Technologies 5/17 在東京舉辦了資安大會「LINE and Intertrust Security Summit」,想讓更多人知道並瞭解最新的資訊安全技術趨勢,以及 LINE 現在及未來為此所做的努力。
評論
▲圖靈獎得主 Robert E. Tarjan,photo credit: LINE Corporation
▲圖靈獎得主 Robert E. Tarjan,photo credit: LINE Corporation
評論

LINE 和 Intertrust Technologies 5/17 在東京舉辦了資安大會「LINE and Intertrust Security Summit」,想讓更多人知道並瞭解最新的資訊安全技術趨勢,以及 LINE 現在及未來為此所做的努力。

高峰會 講者名單 相當豪華,除了 LINE 的資安長中山剛志,還有曾獲「電腦界諾貝爾」圖靈獎的 Intertrust 首席科學家 Robert E. Tarjan。

Photo credit: LINE Corporation

LINE 的 CISO(資安長)中山剛志表示,LINE 共同舉辦這次大會,除了希望可以達到教育使用者的目的,更重要的是想進一步讓更多人了解他們手邊正在做的事。

資安工程師不怕失業

Photo credit: LINE Corporation

中山剛志表示資安工程人才需求一直都在,LINE 產品開發每個階段都需要資安工程師的參與,並且持續延攬資安人才,還擴大推行「資 安 漏洞回報獎金計劃」,依據類別,獎勵從 500 美元到 10000 美元不等。

對於廣告及濫發訊息帳號,LINE 預計會導入人工智慧來判別垃圾訊息,另外 LINE 2016 年整體營收為 1407 億日圓(約 380 億台幣),除了現有的商務平台及遊戲、新聞、禮品、支付、影音等服務,隨著將來涉足 AI、物聯網,還要推出語音助理 Clova,服務的範圍愈來愈大,使用者也愈來愈多,安全性也就更加不可忽視。個人隱私方面,除了預設開啟訊息點對點加密,LINE 近期也開始公佈 透明度報告 ,主動揭露曾受執法單位要求調閱紀錄的次數,讓使用者更安心。

▲Intertrust CEO Talal G. Shamoon,photo credit: LINE Corporation

Intertrust 的 CEO Talal G. Shamoon 也認為,網路出現後各種新攻擊層出不窮,而且不只傳輸訊息的當下,而是只要資訊存在的地方都需要安全防護,資安人員不怕失業。另外,Shamoon 還點出了安全和便利之間的拉扯,在商業邏輯上,就算安全性強,但要是步驟太繁複使用者就不會再使用了,這在技術突破之前有些兩難,需要設計、工程、法務等人才一起努力,才能誕生更好的解決方案。

白箱加密:無招勝有招

▲圖靈獎得主 Robert E. Tarjan,photo credit: LINE Corporation

作為圖靈獎得主、Intertrust 首席科學家,同時任教普林斯頓大學的 Robert E. Tarjan 則從密碼學基礎開始講解躍上潮流的「白箱加密」。現在常見的一般非對稱加密,是利用一把公開金鑰加密、另一把只有當事人才有的私人金鑰則用來解密。

那到底是怎麼加密的?這裡需要解釋一下,其實每家公司的加密機制都不盡相同,過去主流是採「黑箱加密」,外界一概不知加密的機制,加解密等不為外人所知的資訊透過黑箱進行。在網際網路還不普及的時代,所謂的「壞人」大多停留在外部,因此黑箱加密有其效果。然而,現在駭客透過網路,相較過去更容易侵入到系統內部,而一旦進入黑箱內部就能輕易取得資訊。

因此資安界開始傾向「白箱加密」(White-box Cryptography),也就是透過複雜的數學演算,讓侵入者就算拿到了密鑰或加密資料,還是無法解讀。比較簡化的比喻就是像一般人只拿到一張亂數表卻沒拿到解讀方法的指示一樣。這樣一來,加密機制也不必關在黑箱帷幕中,資安界更鼓勵軟體開發團隊開放加密機制,集眾人之力一起檢驗其安全性。

Shamoon 也提到,在商業考量上總是將易用性優先於安全性,忽視了資安的重要性。對此技術上的進步目標自然是用可證實的方法,但用上大量資源加密,而考量現實,則是盡力把破解代價提高,同時兼顧資源與速度。實際的方法則是把原本的程式,加工成很難逆向工程破解或分析的版本。

另外對於量子電腦擁有超強運算能力,因此能輕易破解所有加密方法的說法,Shamoon 則是認為太過天真。 量子電腦 可以做大量運算,不代表沒有弱點。

比如同樣利用物理特性讓破解方無法嘗試讀取的 量子加密 ,就是一例。

不用密碼就能認證,FIDO 聯盟的協定

▲ NTT DOCOMO 產品創意資深總監 Koichi Moriyama,photo credit: LINE Coporation

LINE 在資安大會上還宣布正式加入 FIDO 聯盟,並成為董事會成員。FIDO 目前成員超過 250 家企業,董事會成員還包括 Google、Intel、NTT DOCOMO、微軟等。日本最大電信商 NTT DOCOMO 產品創新資深總監 Koichi Moriyama 解釋,FIDO 聯盟主要的目標是讓各種網路服務不用輸入密碼,就能用更快更安全的方式認證。目前 FIDO 推出了兩種技術規格,分別是 UAF 及 U2F。

其中通用認證框架 UAF(Universal Authentication Framework)用在不用輸入密碼的通訊協定,早期有實體 USB 當作鑰匙的認證,現在則致力於指紋、虹膜、臉部等生物特徵辨識認證。

通用第二因素框架 U2F(Universal Second Factor),用於登入軟體常見的兩階段認證,比如登入 LINE 時就需要具備 email、Facebook 帳號、電話號碼,輸入任意兩項才能登入。多一道門檻把關,能提升網路應用服務安全性的措施,降低網路釣魚、帳號盜用、未授權使用、盜取密碼等隱私問題發生。

Koichi Moriyama 舉例,比如 NTT DOCOMO 推出 d ACCOUNT 服務,就是讓使用者只要註冊一個帳號,就能利用裝置上的指紋、虹膜等生物特徵認證登入多種服務,以其廣大的涵蓋率,提供使用者方便的通用登入帳號。

中山剛志提到,LINE 也計畫可能在通訊軟體及旗下 app 及未來物聯網等服務,應用 FIDO 生物辨識認證技術,並看好 FIDO 為兼顧便利性與安全性的下一代認證選項之一。

 


精選熱門好工作

客服消費爭議專員

樂購蝦皮股份有限公司
臺北市.台灣

獎勵 NT$20,000

遊戲美術 Game Artist

Orangenose Studio 易銘有限公司
臺北市.台灣

獎勵 NT$20,000

資深UI / UX 設計師(中壢)

雷麒科技有限公司
桃園市.台灣

獎勵 NT$20,000

評論