LINEXIntertrust资安高峰会:你听过白箱加密、F


LINEXIntertrust资安高峰会:你听过白箱加密、F
图灵奖得主 Robert E. Tarjan

LINE 和 Intertrust Technologies 5/17 在东京举办了资安大会「LINE and Intertrust Security Summit」,想让更多人知道并了解最新的资讯安全技术趋势,以及 LINE 现在及未来为此所做的努力。

高峰会 讲者名单 相当豪华,除了 LINE 的资安长中山刚志,还有曾获「电脑界诺贝尔」图灵奖的 Intertrust 首席科学家 Robert E. Tarjan。

LINEXIntertrust资安高峰会:你听过白箱加密、F

LINE 的 CISO中山刚志表示,LINE 共同举办这次大会,除了希望可以达到教育使用者的目的,更重要的是想进一步让更多人了解他们手边正在做的事。

资安工程师不怕失业
LINEXIntertrust资安高峰会:你听过白箱加密、F

中山刚志表示资安工程人才需求一直都在,LINE 产品开发每个阶段都需要资安工程师的参与,并且持续延揽资安人才,还扩大推行「资 安 漏洞回报奖金计划」,依据类别,奖励从 500 美元到 10000 美元不等。

对于广告及滥发讯息帐号,LINE 预计会导入人工智慧来判别垃圾讯息,另外 LINE 2016 年整体营收为 1407 亿日圆,除了现有的商务平台及游戏、新闻、礼品、支付、影音等服务,随着将来涉足 AI、物联网,还要推出语音助理 Clova,服务的範围愈来愈大,使用者也愈来愈多,安全性也就更加不可忽视。个人隐私方面,除了预设开启讯息点对点加密,LINE 近期也开始公布 透明度报告 ,主动揭露曾受执法单位要求调阅纪录的次数,让使用者更安心。

LINEXIntertrust资安高峰会:你听过白箱加密、F
Intertrust CEO Talal G. Shamoon

Intertrust 的 CEO Talal G. Shamoon 也认为,网路出现后各种新攻击层出不穷,而且不只传输讯息的当下,而是只要资讯存在的地方都需要安全防护,资安人员不怕失业。另外,Shamoon 还点出了安全和便利之间的拉扯,在商业逻辑上,就算安全性强,但要是步骤太繁複使用者就不会再使用了,这在技术突破之前有些两难,需要设计、工程、法务等人才一起努力,才能诞生更好的解决方案。

白箱加密:无招胜有招
LINEXIntertrust资安高峰会:你听过白箱加密、F
图灵奖得主 Robert E. Tarjan

作为图灵奖得主、Intertrust 首席科学家,同时任教普林斯顿大学的 Robert E. Tarjan 则从密码学基础开始讲解跃上潮流的「白箱加密」。现在常见的一般非对称加密,是利用一把公开金钥加密、另一把只有当事人才有的私人金钥则用来解密。

那到底是怎幺加密的?这里需要解释一下,其实每家公司的加密机制都不尽相同,过去主流是採「黑箱加密」,外界一概不知加密的机制,加解密等不为外人所知的资讯透过黑箱进行。在网际网路还不普及的时代,所谓的「坏人」大多停留在外部,因此黑箱加密有其效果。然而,现在骇客透过网路,相较过去更容易侵入到系统内部,而一旦进入黑箱内部就能轻易取得资讯。

因此资安界开始倾向「白箱加密」,也就是透过複杂的数学演算,让侵入者就算拿到了密钥或加密资料,还是无法解读。比较简化的比喻就是像一般人只拿到一张乱数表却没拿到解读方法的指示一样。这样一来,加密机制也不必关在黑箱帷幕中,资安界更鼓励软体开发团队开放加密机制,集众人之力一起检验其安全性。

Shamoon 也提到,在商业考量上总是将易用性优先于安全性,忽视了资安的重要性。对此技术上的进步目标自然是用可证实的方法,但用上大量资源加密,而考量现实,则是尽力把破解代价提高,同时兼顾资源与速度。实际的方法则是把原本的程式,加工成很难逆向工程破解或分析的版本。

另外对于量子电脑拥有超强运算能力,因此能轻易破解所有加密方法的说法,Shamoon 则是认为太过天真。 量子电脑 可以做大量运算,不代表没有弱点。

比如同样利用物理特性让破解方无法尝试读取的 量子加密 ,就是一例。

不用密码就能认证,FIDO 联盟的协定
LINEXIntertrust资安高峰会:你听过白箱加密、F
NTT DOCOMO 产品创意资深总监 Koichi Moriyama

LINE 在资安大会上还宣布正式加入 FIDO 联盟,并成为董事会成员。FIDO 目前成员超过 250 家企业,董事会成员还包括 Google、Intel、NTT DOCOMO、微软等。日本最大电信商 NTT DOCOMO 产品创新资深总监 Koichi Moriyama 解释,FIDO 联盟主要的目标是让各种网路服务不用输入密码,就能用更快更安全的方式认证。目前 FIDO 推出了两种技术规格,分别是 UAF 及 U2F。

其中通用认证框架 UAF用在不用输入密码的通讯协定,早期有实体 USB 当作钥匙的认证,现在则致力于指纹、虹膜、脸部等生物特徵辨识认证。

通用第二因素框架 U2F,用于登入软体常见的两阶段认证,比如登入 LINE 时就需要具备 email、Facebook 帐号、电话号码,输入任意两项才能登入。多一道门槛把关,能提升网路应用服务安全性的措施,降低网路钓鱼、帐号盗用、未授权使用、盗取密码等隐私问题发生。

Koichi Moriyama 举例,比如 NTT DOCOMO 推出 d ACCOUNT 服务,就是让使用者只要注册一个帐号,就能利用装置上的指纹、虹膜等生物特徵认证登入多种服务,以其广大的涵盖率,提供使用者方便的通用登入帐号。

中山刚志提到,LINE 也计画可能在通讯软体及旗下 app 及未来物联网等服务,应用 FIDO 生物辨识认证技术,并看好 FIDO 为兼顾便利性与安全性的下一代认证选项之一。

上一篇:
下一篇: