数据传输不加密,小心你的手机让你活在楚门的世界中

数据传输不加密,小心你的手机让你活在楚门的世界中

第一银行跨国 ATM 盗领案震惊全国,而向来被视为资安防护最为严密的银行业发生如此重大的危机,带出了企业和大众是如何暴露在资料外洩的高度风险中。虽然此案幸运抓到嫌犯,但实际上因为犯人之间使用「加密」型通讯软体进行联繫,让警方无法顺利追蹤,使得资讯安全的重要性以及「加密机制」放宽与否的讨论再度浮出檯面上 。

其实若不採用加密机制,资料外洩事件的数量将可能远远超越你我的想像!根据 Gemalto 的《资料外洩指标分析报告》指出,2015 年总计有 1,673 件资料外洩资安事件,导致超过 7 亿笔资料外洩。其中最大受灾户已从 2014 年的大型零售业者,转变成为政府部门与医疗机构,显示骇客对于窃取个资的兴趣已逐渐高于信用卡资料, 只要是可以辨识身分的资料,对于骇客而言都有其价值。 因此,加密机制于现今数位化的社会中,扮演关键性的角色,能防堵资讯外洩,避免造成个人安全或重大财务的损失。

我们的生活就是在製造数据跟资讯,然后交给其他人

BSA | 台湾软体联盟 (BSA | The Software Alliance) 在一份全球的研究报告《ENCRYPTION: Securing Our Data, Securing Our Lives》中提到,物联网时代,大量个人化的数据藉由智慧型手机和穿戴式装置产出和传输。举例来说,起床后运动手环就开始计算步数,慢跑时记下心跳、血压变化;通勤时利用手机登入公司电子信箱帐号处理公事,抑或用个人资料收发 email、网路刷卡购物、手机连线 Wi-Fi,甚至和朋友在 LINE、Facebook 上的对话记录等等,人们的任何行动皆会产生个人化的数据,记录在穿戴式装置及手机上。大众在不知不觉中交出了自己的资讯及数据,而这些数据传递的过程其实都依赖加密机制来保护 。

过去有许多人没有意识到加密的重要性,造成个资外洩、信用卡盗刷、e-mail 帐户遭骇等损失。但随着资安意识抬头,各大厂也纷纷提供更安全的加密服务,如 Facebook 即将在今年推出点对点的加密讯息服务,以后在传送重要讯息都可以选择加密;无独有偶,LINE 也在最近的更新中,将所有一对一的文字与位置讯息都直接在手机上加密,只有对话双方可以为彼此的讯息加解密,第三方无法拦截或读取。同时,Google 也将为 Chrome 推出更进阶的加密功能,在在都显示加密功能的重要性。

数据时代,资讯就是财富。懂得加密才能守护自己的资产。

BSA | 台湾软体联盟指出加密机制主要用于协助保护资料,其运作方式就是将资讯和数据透过演算法或是特殊机制,转变为一连串的乱码,只有拥有解锁的「金钥」且经过授权的人才能读取这些资料。

常见的三大加密方式包括:

一、对称式加密 (Symmetric Encryption):主要用于保护云端及装置中的资料,可快速且大量加密资料档案,其「对称式」的金钥同时用于加密和解密。但加密的档案只限于和特定网路内的人分享,其他人欲取得金钥资讯,还需要向原加密者索取。
此种加密方式的最大限制在于网路分享资料不易实现,且多人分享资料衍生的金钥管理和分配问题;再者,若使用者遗失密码则加密资料将可能无法再复原。

二、非对称式加密 (Asymmetric Encryption):针对对称式加密之盲点修改的非对称式加密,整个加密过程会有两副金钥,一副为公开金钥用于加密、一副为私人金钥用于解密。
目前其使用範畴包括浏览器与伺服器连线、登入软体更新、加密 email 等,同时也方便与他人互传档案。现行实务上多採用对称式和非对称式加密合併使用,例如 SSL 技术。

三、杂凑 (Hash):加密授权单一人员、装置、电脑,採用 Hash 杂凑的方式,将资讯不经金钥直接转成乱码。

BSA | 台湾软体联盟提醒,近来不少国家的政府为了执法考量,提议减少资安科技的限制,如开放后门、让政府单位可以取得资料,或是额外附带让第三方也拥有金钥,但这些都会让骇客有机可乘,为了一时的方便后果将得不偿失。

除了现行科技对资料的保护外,行为控管更是必要的举措。BSA | 台湾软体联盟一直致力于推广企业採行 SAM 软体资产管理,就是帮助企业更加了解内部软体状态,并检视公司内部网路是否存在资安风险,加强内部网路资料传输的安全程度,与外部网路交换资料时设置加密机制,才能够真正保护软体及智慧财产。

虽然加密的机制及科技看起来複杂,但其实重点非常简短: 使用强度高的加密机制不仅是保护我们自己,也是企业保护消费者权益、发展出更有力产品,带动经济发展的不二法门 。