區塊鏈不安全?機場安檢是求心安? 傳奇密碼學大師專訪:別輕信物聯網
【文●李玟儀】
他在30歲出版讓密碼學普及化的教科書
在訪問被CNN譽為「全球最頂尖的密碼學家」布魯斯.施奈爾(Bruce Schneier)之前,我們很容易開始聯想各種神秘形象。畢竟,密碼這個關鍵字,總出現在情報、特務與駭客電影中,連電影《不可能的任務:鬼影行動》扯到核彈交易案時,也會有密碼學家的戲分。
施奈爾的一生很有趣,他最暢銷的《應用密碼學》(Applied Cryptography)一書,被《連線》雜誌(Wired)評為:美國國家安全局最不希望被出版的書。
《達文西密碼》小說裡提到,如何以電腦加密保護資料時,必提的密碼學家是他。
萬物連網是好或壞? 「危機比好處大更多!」
當初揭露美國國安局秘密文件的愛德華.史諾登(Edward Snowden),被美國通緝後,極少數願意露面的場合之一,就是與施奈爾在哈佛大學的講堂視訊對談,討論主題還是:政府監控與隱私。
結果,當我們與這位傳奇人物對談時,他卻一點都不神秘,而且有夠明快,立場分明。
比如,他談最熱門的物聯網議題。他擺明:「危機比好處大更多!」他認為,從冰箱到烤箱,當所有東西都變成電腦連線,將會異常脆弱,容易被駭入,不夠安全。
比如,他看大家認為最安全的區塊鏈,他說:「沒有任何好的理由要去信任(區塊鏈)。」
比如,我們問,他如何保護自己的隱私時,他直說,不能答,「因為我的隱私一部分就是,不回答我如何保護我個人隱私的這些問題。」
這樣直來直往的人,為什麼會被資安業界推崇?連《經濟學人》都說,他是「安全大師」。
他是如何養成的?
施奈爾出生在紐約,他的父親在布魯克林區擔任法官,父親形容,「他總是著迷於數字之間。」小時候,他會一直嘗試數數的極限,把數字寫在紙上,試著能不能數到1百萬。
施奈爾曾說,他和父親在隱私、公民權利領域,有著共同的信仰。他不想和他父親一樣成為法官,「但我被法律的雄辯、寫作、邏輯、論證所啟發。」
他坦言,年輕時候,他熱愛數學更勝與人交流。從數學出發,數學會再延伸到密碼學,密碼學原理的一環,其實就是將訊息原本的樣子,經過加密運算之後,轉為讓人無法直接辨認出來的訊息,也就是密文,「理解密碼學就真的是理解數學。」
「本來,沒人把這些密碼學的知識這樣整理起來,可能就是在一些國防單位、國安單位,大家關起門來研究。」精通密碼學的台大數學系兼任助理教授陳君明說。但施奈爾卻想把他理解的密碼邏輯普及化,30歲的那年,他出版《應用密碼學》,在這之前,業界沒有一本完整、易懂的密碼學教科書。
「我因為這本書而認識了密碼學,」陳君明說。
只是,施奈爾又是如何從密碼學,變成資訊安全大師?
陳君明解釋密碼與資訊安全的關係。他舉例,在我們生活之中,連到Google首頁時,網址是https,而不是http,字尾的「s」,就是加密,進入網頁之後,所有的通信都會有密碼系統保障安全,將資料變成密文傳送,但,如果你的電腦沒有密碼系統保護,在Google查詢或傳送的資料可能會被其他人看到!
施奈爾說,「我的職涯可以說是一系列將事物『普遍化』的過程,從密碼學的數字安全開始,我的第一本書是《應用密碼學》,關於密碼學。然後我著手寫電腦安全,再來是一般的安全科技、安全經濟學、安全心理學、安全社會學、安全公共政策。」
他不斷探索,對安全有異於常人的執著。
裝防盜系統比較安全? 可能只是心理上覺得較安全
他用經濟學角度談安全。「當我們在裝設防盜系統,我們付出的是時間、金錢、方便性抑或是自由的代價。我們要想的,不是它能不能讓我們安全,而是值不值得。」
施奈爾還用心理學看安全。「安全分為2種,實際上的安全跟心理上的安全。」施奈爾提出「安全劇院」(Security Theater)的概念,因為很多讓人們感到安全的措施,並非是真的安全。
比如,你到機場安檢,先看你有無攜帶炸藥、槍枝之類的物品,他認為,其實一般人的時間都被浪費在沒收如剪刀、打火機之類的物品,但沒有人能證明,這樣是真的安全,只是「感受」起來比較安全,這讓安全劇院的實踐成本通常遠大於實際利益。
他又說,安全感是有錯覺的,我們時常放大不常見的危險,但卻忽略常見的危機。例如,大家常常擔心被陌生人綁架,但數據顯示,熟人綁架的可能性更高。我們也對於地球暖化或是個資被掌握的危機,常常輕忽。
當數字組成密碼,密碼形成安全,他發揮父親教給他的態度:追根究柢,反覆辯證。
陳君明回憶,他曾到美國參加知名的Defcon駭客大會,當時觀眾對施奈爾的一個提問是:「標準對稱式的加解密,安不安全?」提問者隨後補上一句:「美國政府講的我不信,但你講的我信!」
為了安全犧牲隱私? 錯!「隱私是安全一部分」
在施奈爾的部落格上,他有一篇文章是這樣寫的:未來,大型科技公司就像是地主一樣,亞馬遜想要讓Alexa智慧音箱成為智慧家居的中心,蘋果及Google要它們的手機成為唯一能控制你所有物聯網裝置的設備。這些大型科技公司保護我們免於外在攻擊,但是卻掌握著我們能看見的、或者能做的事。
他警告,若給予科技怪獸太多權力,後者也會給予我們更多限制,「(今日)HP印表機不再讓你使用非官方墨水匣,明天,他們可能要你用官方的紙張。」
在他眼裡,沒有為了安全就該犧牲隱私,使數據都被大廠掌握的道理,「我們需要隱私,隱私就是安全的一部分。」他說,他保證蔡英文總統用的絕對是iPhone,她的隱私,也就等同於台灣國家安全的一部分,沒有孰重孰輕;核電廠營運商也一樣,這些人的隱私都是國家安全的一部分。
這一生,他一路從數學延伸,談安全,現在還延伸到人與人彼此的信任機制。他解釋,安全的存在是為了促進信任,信任是目標,在現今社會,我們信任各式的人、機構和系統待我們是誠實的,「(信任)是讓一個社會生存的必需,沒有信任,社會會崩解。」至今,他一連寫了10幾本書。
這種超乎一般數學家埋頭苦算的態度,讓施奈爾不只是一個安全技術家,更是一個安全哲學家。他的一生不是忙著編密碼,而是忙著解密,找到「安全,如何與人類互利」的使命感,這或許,正是他被信任的原因。
Comments
Post a Comment