解決「信任」問題,創造永續經濟效益

解決「信任」問題,創造永續經濟效益

企業及政府部門的繁文縟節 (red tape),多半是為了解決信任 (trust) 及究責 (accountability) 的問題 [1],為了確認身分,使用印章、簽名,意外或違約事件發生時,有對象得以歸屬責任。網路的世界亦是如此,使用帳號、密碼、簡訊通知等,避免身分偽造 (impersonation) 等惡意行為。從另一個面向來看,如果每個人都能被信任,都勇於承擔責任,繁文縟節也許是多餘,這些行政程序的開銷也能省下,投資在其他領域。然而,烏托邦的時代還沒來臨,依舊需要程序及法規來防止惡意行為,且網路世界因可匿名,多數惡意行為難以追蹤 [2],信任問題更加棘手。因此,信任及歸責機制有存在的必要性,問題在於如何做到最大效益,用有限的資源,達成最佳的風險管理。

 

昨日資安無法駕馭明日科技

科技應用求新求變,一有商機便進入市場角逐市占率及知名度。反觀資安,因其無法讓人在短時間看見利益,在市場上總是慢半拍,等到資安漏洞被發現,或是駭客攻擊後,才開始被重視。然而,當科技應用不斷突破時,資安技術也持續發展;資安技術有所創新時,科技應用才得以安全落地,兩者無法脫離。所以明日的科技無法搭配昨日的資安,昨日的科技亦無法創造明日的資安。

 

公鑰密碼學 (Public Key Cryptography) 新應用 – FIDO 無密碼登入 

帳號密碼成為權限管理的信任來源行之有年,但網路世界仍苦於釣魚網站、個資洩漏及身分假冒的問題,加上雲端服務發達,各種會員制的網站如雨後春筍,使用者需要管理的帳號密碼少則數十個,多則上百個。為了解決相關問題,USB型態的認證載具,近年因 FIDO Alliance 的推廣成為當紅炸子雞 [3],導入公鑰密碼學 (Public Key Cryptography) 強化或取代過去的帳號密碼認證方式,降低釣魚網站使用帳號密碼冒充身分的可能性。因信任的來源 (root of trust) 為硬體載具內的私鑰 (private key),絕不會傳輸至外部環境,可抵擋各形式的身分冒充和資料竊取。雖然該技術十幾年前便存在,但因 FIDO Alliance 近年努力推動各平台導入標準,直到現在才漸漸普及。

 

匯智安全 AuthTron™ 讓企業無痛 fido (Latin: trust)

匯智安全科技的 AuthTron™ 為 FIDO U2F (二次驗證)及 CTAP2(FIDO2 無密碼認證)的 USB 認證載具,除了能實現零信任安全策略的身分認證,確認信任 (trust) 來源外,還能搭配使用情境,疊加數位簽章協助企業簡化歸責 (accountability) 流程。尤其軟體協作過程需驗證程式碼來源及確認完整性,匯智安全可將複雜的紙本作業及品管流程數位化,同時實現更高的安全性。

匯智安全科技今年正式加入 FIDO Alliance 並取得 U2F 及 FIDO2 認證,除了 FIDO2 標準,亦協助企業依照應用情境客製化 USB 載具的密碼功能,以滿足資料加密傳輸及儲存、區塊鏈數位簽章應用、程式碼簽署等功能。

 

[1] Bozeman, Barry & Bretschneider, Herbert & Kaufman, Gordon & Kingsley, Steven & Maynard-Moody, Sanjay & Pandey, Hal & Rainey, Patrick & Scott, Dwight. (1993). A Theory Of Government ""Red Tape"". Journal of Public Administration Research and Theory. 30993. 10.1093/oxfordjournals.jpart.a037171.

[2] Ya-Ching, L. (2006). Internet and anonymity. Society, 43(4), 5-7. doi:http://dx.doi.org/10.1007/BF02687528

[3] Lang, J., Czeskis, A., Balfanz, D., Schilder, M., & Srinivas, S. (2016, February). Security keys: Practical cryptographic second factors for the modern web. In International Conference on Financial Cryptography and Data Security (pp. 422-440). Springer, Berlin, Heidelberg.

文: 林岳瑾/行銷總監

詳見資安大會官網 Cyber Insight