要生活便利 還是要隱私 自己決定 因總有一部分失落

區塊鏈不安全？機場安檢是求心安？ 傳奇密碼學大師專訪：別輕信物聯網

• 分享
• 分享
• 留言
• 列印

A-A+

2019-04-12 16:08商業周刊

【文●李玟儀】

他在30歲出版讓密碼學普及化的教科書

在訪問被CNN譽為「全球最頂尖的密碼學家」布魯斯．施奈爾（Bruce Schneier）之前，我們很容易開始聯想各種神秘形象。畢竟，密碼這個關鍵字，總出現在情報、特務與駭客電影中，連電影《不可能的任務：鬼影行動》扯到核彈交易案時，也會有密碼學家的戲分。

IBM Resilient 技術長暨資安事業部特別顧問、哈佛大學伯克曼網路與社會研究中心研究員 施奈爾(攝影者．楊文財)

施奈爾的一生很有趣，他最暢銷的《應用密碼學》（Applied Cryptography）一書，被《連線》雜誌（Wired）評為：美國國家安全局最不希望被出版的書。

《達文西密碼》小說裡提到，如何以電腦加密保護資料時，必提的密碼學家是他。

萬物連網是好或壞？ 「危機比好處大更多！」

當初揭露美國國安局秘密文件的愛德華．史諾登（Edward Snowden），被美國通緝後，極少數願意露面的場合之一，就是與施奈爾在哈佛大學的講堂視訊對談，討論主題還是：政府監控與隱私。

結果，當我們與這位傳奇人物對談時，他卻一點都不神秘，而且有夠明快，立場分明。

比如，他談最熱門的物聯網議題。他擺明：「危機比好處大更多！」他認為，從冰箱到烤箱，當所有東西都變成電腦連線，將會異常脆弱，容易被駭入，不夠安全。

比如，他看大家認為最安全的區塊鏈，他說：「沒有任何好的理由要去信任（區塊鏈）。」

比如，我們問，他如何保護自己的隱私時，他直說，不能答，「因為我的隱私一部分就是，不回答我如何保護我個人隱私的這些問題。」

這樣直來直往的人，為什麼會被資安業界推崇？連《經濟學人》都說，他是「安全大師」。

他是如何養成的？

施奈爾出生在紐約，他的父親在布魯克林區擔任法官，父親形容，「他總是著迷於數字之間。」小時候，他會一直嘗試數數的極限，把數字寫在紙上，試著能不能數到1百萬。

施奈爾曾說，他和父親在隱私、公民權利領域，有著共同的信仰。他不想和他父親一樣成為法官，「但我被法律的雄辯、寫作、邏輯、論證所啟發。」

他坦言，年輕時候，他熱愛數學更勝與人交流。從數學出發，數學會再延伸到密碼學，密碼學原理的一環，其實就是將訊息原本的樣子，經過加密運算之後，轉為讓人無法直接辨認出來的訊息，也就是密文，「理解密碼學就真的是理解數學。」

「本來，沒人把這些密碼學的知識這樣整理起來，可能就是在一些國防單位、國安單位，大家關起門來研究。」精通密碼學的台大數學系兼任助理教授陳君明說。但施奈爾卻想把他理解的密碼邏輯普及化，30歲的那年，他出版《應用密碼學》，在這之前，業界沒有一本完整、易懂的密碼學教科書。

「我因為這本書而認識了密碼學，」陳君明說。

只是，施奈爾又是如何從密碼學，變成資訊安全大師？

陳君明解釋密碼與資訊安全的關係。他舉例，在我們生活之中，連到Google首頁時，網址是https，而不是http，字尾的「s」，就是加密，進入網頁之後，所有的通信都會有密碼系統保障安全，將資料變成密文傳送，但，如果你的電腦沒有密碼系統保護，在Google查詢或傳送的資料可能會被其他人看到！

施奈爾說，「我的職涯可以說是一系列將事物『普遍化』的過程，從密碼學的數字安全開始，我的第一本書是《應用密碼學》，關於密碼學。然後我著手寫電腦安全，再來是一般的安全科技、安全經濟學、安全心理學、安全社會學、安全公共政策。」

他不斷探索，對安全有異於常人的執著。

裝防盜系統比較安全？ 可能只是心理上覺得較安全

他用經濟學角度談安全。「當我們在裝設防盜系統，我們付出的是時間、金錢、方便性抑或是自由的代價。我們要想的，不是它能不能讓我們安全，而是值不值得。」

施奈爾還用心理學看安全。「安全分為2種，實際上的安全跟心理上的安全。」施奈爾提出「安全劇院」（Security Theater）的概念，因為很多讓人們感到安全的措施，並非是真的安全。

比如，你到機場安檢，先看你有無攜帶炸藥、槍枝之類的物品，他認為，其實一般人的時間都被浪費在沒收如剪刀、打火機之類的物品，但沒有人能證明，這樣是真的安全，只是「感受」起來比較安全，這讓安全劇院的實踐成本通常遠大於實際利益。

他又說，安全感是有錯覺的，我們時常放大不常見的危險，但卻忽略常見的危機。例如，大家常常擔心被陌生人綁架，但數據顯示，熟人綁架的可能性更高。我們也對於地球暖化或是個資被掌握的危機，常常輕忽。

當數字組成密碼，密碼形成安全，他發揮父親教給他的態度：追根究柢，反覆辯證。

陳君明回憶，他曾到美國參加知名的Defcon駭客大會，當時觀眾對施奈爾的一個提問是：「標準對稱式的加解密，安不安全？」提問者隨後補上一句：「美國政府講的我不信，但你講的我信！」

為了安全犧牲隱私？ 錯！「隱私是安全一部分」

在施奈爾的部落格上，他有一篇文章是這樣寫的：未來，大型科技公司就像是地主一樣，亞馬遜想要讓Alexa智慧音箱成為智慧家居的中心，蘋果及Google要它們的手機成為唯一能控制你所有物聯網裝置的設備。這些大型科技公司保護我們免於外在攻擊，但是卻掌握著我們能看見的、或者能做的事。

他警告，若給予科技怪獸太多權力，後者也會給予我們更多限制，「（今日）HP印表機不再讓你使用非官方墨水匣，明天，他們可能要你用官方的紙張。」

在他眼裡，沒有為了安全就該犧牲隱私，使數據都被大廠掌握的道理，「我們需要隱私，隱私就是安全的一部分。」他說，他保證蔡英文總統用的絕對是iPhone，她的隱私，也就等同於台灣國家安全的一部分，沒有孰重孰輕；核電廠營運商也一樣，這些人的隱私都是國家安全的一部分。

這一生，他一路從數學延伸，談安全，現在還延伸到人與人彼此的信任機制。他解釋，安全的存在是為了促進信任，信任是目標，在現今社會，我們信任各式的人、機構和系統待我們是誠實的，「（信任）是讓一個社會生存的必需，沒有信任，社會會崩解。」至今，他一連寫了10幾本書。

這種超乎一般數學家埋頭苦算的態度，讓施奈爾不只是一個安全技術家，更是一個安全哲學家。他的一生不是忙著編密碼，而是忙著解密，找到「安全，如何與人類互利」的使命感，這或許，正是他被信任的原因。