RUN!PC｜業界動態｜資訊安全｜BSA報告：數位安全不容小覷加密技術擔要角

其實若不採用加密機制，資料外洩事件的數量將可能遠遠超越你我的想像！今(2016)年5月份中華郵政的購物網站就有1.7萬筆個資外洩，但如果你以為駭客還是只對信用卡資料有興趣，那就大錯特錯了。根據Gemalto的《資料外洩指標分析報告》指出，2015年總計有1,673件資料外洩資安事件，導致超過7億筆資料外洩。其中最大受災戶已從2014年的大型零售業者，轉變成為政府部門與醫療機構，顯示駭客對於竊取個資的興趣已逐漸高於信用卡資料，只要是可以辨識身分的資料，對於駭客而言都有其價值。因此，加密機制於現今數位化的社會中，扮演關鍵性的角色，能防堵資訊外洩，避免造成個人安全或重大財務的損失。

數位資訊大量產出，仰賴加密機制保護
BSA | 台灣軟體聯盟(BSA | The Software Alliance)在一份全球的研究報告《ENCRYPTION: Securing Our Data, Securing Our Lives》中提到，物聯網時代，大量個人化的數據藉由行動和穿戴式裝置產出和傳輸。舉例來說，起床後運動手環就開始計算步數，慢跑時記下心跳、血壓變化；通勤時利用手機登入公司電子信箱帳號處理公事，抑或用個人資料收發email、網路刷卡購物、手機連線Wi-Fi，甚至和朋友在LINE、Facebook上的對話記錄等等，人們的任何行動皆會產生個人化的數據，記錄在穿戴式裝置及手機上。大眾在不知不覺中交出了自己的資訊及數據，而這些數據傳遞的過程其實都依賴加密機制來保護。

過去有許多人沒有意識到加密的重要性，在網路上隨意地公布或傳遞重要的個人資料，造成個資外洩、信用卡盜刷、e-mail帳戶遭駭等損失。但隨著資安意識抬頭，各大廠也紛紛提供更安全的加密服務，如Facebook即將在今年推出點對點的加密訊息服務，以後在傳送重要訊息都可以選擇加密；無獨有偶，LINE也在最近的更新中，將所有一對一的文字與位置訊息都直接在手機上加密，只有對話雙方可以為彼此的訊息加解密，第三方無法攔截或讀取。同時，Google也將為Chrome推出更進階的加密功能，在在都顯示加密功能的重要性。

加密技術強弱有別，配合行為控管強化資料安全
BSA | 台灣軟體聯盟指出加密機制主要用於協助保護資料，不論是電腦或手機的使用、透過網路傳輸，以及儲存在雲端的資料。其運作方式就是將資訊和數據透過演算法或是特殊機制，轉變為一連串的亂碼，只有擁有解鎖的「金鑰」且經過授權的人才能讀取這些資料。加密的強弱取決於金鑰的位元bit長度，越長的金鑰越複雜，所需要解開的時間越長，相對來說也越安全，目前已發展到248位元的金鑰。常見的三大加密方式包括：

一、對稱式加密(Symmetric Encryption)：主要用於保護雲端及裝置中的資料，可快速且大量加密資料檔案，其「對稱式」的金鑰同時用於加密和解密。但加密的檔案只限於和特定網路內的人分享，其他人欲取得金鑰資訊，還需要向原加密者索取。但此種加密方式的最大限制在於網路分享資料不易實現，且多人分享資料衍生的金鑰管理和分配問題；再者，若使用者遺失密碼則加密資料將可能無法再復原。

二、非對稱式加密(Asymmetric Encryption)：針對對稱式加密之盲點修改的非對稱式加密，整個加密過程會有兩副金鑰，一副為公開金鑰用於加密、一副為私人金鑰用於解密。目前其使用範疇包括瀏覽器與伺服器連線、登入軟體更新、加密email等，同時也方便與他人互傳檔案。現行實務上多採用對稱式和非對稱式加密合併使用，例如SSL技術。

三、雜湊(Hash)：加密授權單一人員、裝置、電腦，採用Hash雜湊的方式，將資訊不經金鑰直接轉成亂碼。

以上所有加密技術都是為了保護資料，也許看來不起眼的數據集結起來就是龐大的資料庫，可影響一個產業或是政府部門決策，所以個人更應該對於自己的資料有所意識及保護。有鑑於此，BSA | 台灣軟體聯盟提醒，近來不少國家的政府為了執法考量，提議減少資安科技的限制，如開放後門、讓政府單位可以取得資料，或是額外附帶讓第三方也擁有金鑰，但這些都會讓駭客有機可乘，為了一時的方便後果將得不償失，如何權衡兩邊的利弊還需要更多的討論。

除了現行科技對資料的保護外，行為控管更是必要的舉措。BSA| 台灣軟體聯盟一直致力於推廣企業採行SAM軟體資產管理，就是幫助企業對於內部軟體狀態更加了解，同時也是檢視公司內部網路是否有資安風險的機會，加強內部網路資料傳輸的安全程度，與外部網路進行資料交換時設置加密機制，才能夠真

公司名稱：BSA
網址：http://www.bsa.org

回首頁...

關於RUN!PC｜廣告刊登｜聯絡我們｜讀者服務｜雜誌訂閱｜出刊&補寄時間