再嚴密的技術審查也難以保證資訊安全,那該如何信任你的手機?

作者 | 發布日期 2019 年 01 月 30 日 9:15 | 分類 手機 , 科技政策 , 網路 follow us in feedly


基於資安理由,政府單位也陸續執行禁止採用中國品牌通訊產品,特別是手機與網路產品類別,此一相關議題也引發各種不同看法。手機或擴大至所有資通訊產品的發展不過是近百年的事,隨著資通訊半導體日新月異的發展,優異性能雖然造就對人類不可或缺的便利性,但強大與危險是一體兩面,水可載舟亦可覆舟,資通訊的力量如果遭有心個人、企業甚至政權濫用,注定是人類歷史浩劫。

通訊產品涉及隱私與國安

由於手機或相關資通訊產品已深入你我的日常生活,不只隱私對話、影像甚至生物醫學特徵如心跳(最新 Apple Watch 4 已有心電圖功能),都可記錄在設備裡,如何管理做到資訊安全,已成為關於國家或公共安全的重要議題。

當一個議題涉及嚴重公共安全,造成公共危險時,無須先有損害發生才能禁止,例如我國刑法明定 173 條放火燒毀現供人使用之住宅或現有人所在之建築物、礦坑、火車、電車或其他供水、陸、空公眾運輸之舟、車、航空機者,處無期徒刑或 7 年以上有期徒刑。無須等到火被證明造成對人或物的損害,放火就已足以禁止行為,國家主管機關當然有義務本著維護國家或公共安全,禁止有任何公共危險的設備裝置進入國內

那資訊安全的管理權則應是哪個單位呢?坊間流傳國家通訊傳播委員會(NCC)可管理手機硬體資訊安全設備,其實這是對硬體與電波完全陌生的誤解。NCC 職責主要負責管理電波頻譜使用,畢竟國家頻譜是公共財,每個人任意使用頻段發射電波只會互相干擾。簡單來講,NCC 的工作只是紅綠燈或指揮交通的警察,並無能力確保任何一台資通訊設備是否有資訊安全,就跟紅綠燈沒法保證車子一定不會闖紅燈撞死人,也無法保證駕駛有沒有在車裡殺人,連保證有沒有超速都做不到,真正有能力控制車子的只有駕駛本身。

既然 NCC 無法保證資訊安全,有哪個機關可保證資通訊設備資訊絕對安全?答案是:一個都沒有。不只台灣,全世界沒有任何一個機構能保證某產品絕對資訊安全,就跟不會有機構發證書說某人絕對不會闖紅燈、絕對不會殺人。資通訊設備常需要軟體(不管是作業系統或 App)更新,今天沒有問題不保證明天更新後也沒有問題。

技術審查無法百分百確定安全

為什麼從技術審查資通訊產品資訊安全不可能?主要原因有二。

第一,資通訊產品越做越複雜,早年英特爾推出第一個微處理器 4004 只有 2,300 顆電晶體,目前很多碩士生做數位設計的專題都遠超過這個數目,但目前商業上 iPhone XS Max 使用的 A12 晶片高達 69 億顆電晶體,要審查 69 億顆電晶體及相關數以億計的程式碼作業系統、通訊協定程式碼,前提還得廠商願意交出原始碼才行。即便如此,審查目前以數十億為單元的程式碼無異大海撈針。

第二,科技日新月異,許多駭客攻擊手法每年甚至每月翻新。以近年國際很夯的 DRAM Row Hammer 駭客攻擊事件,就是非常典型的新形態硬體攻擊資訊案例。 此例特別的地方在於駭客利用半導體微縮之後的物理特性來資訊攻擊,十年前 DRAM 還沒有進入 4x 奈米時並沒有這攻擊存在,但製程微縮後,由於 Row 跟 Row 之間的距離變近,某條 Row 頻繁存取就會導致周邊鄰居 Row 資料遺失,新型駭客就是利用此方法擾亂作業系統的記憶體管理,進而取得作業系統的最高權限。

既然從技術觀點,無論理論或實務審查設備資訊安全根本不可行,但 5G、AI 等新型應用越來越多,資通訊產品介入人類生活也從早期只有電腦擴散到手機、智慧手錶、眼鏡及所有相關電子產品,是否人類對資訊安全防範已無能為力?筆者建議,不妨回到人類發展憲政的歷史來檢視這件事。

立憲原則或可成借鏡

西方立憲的發展皆來自不相信有聖君存在,只有權力分立與制衡才能確保大眾安全,越強大的政府越需要制衡與權力分立,同樣也可應用在審查資訊設備裝置。政府不妨從幾點觀察外國資通訊產品是否具有下列特性,綜合審查來決定是否有危害公共安全的風險。

第一,外國資通品牌廠商本國與我國是否秉持對等善意交流?是否承認我國護照?是否公平對待我國人民與廠商在該國貿易?該品牌廠商是否有竊取商業祕密的前科?

第二,外國品牌本國權力分立如何?如蘋果曾以保護用戶隱私安全拒絕 FBI 解鎖槍擊嫌犯 iPhone 的要求,其他外國廠牌面對該國政府要求提供使用者資料時,是否有權利說不?

第三,如媒體在立憲發展扮演的第四權角色,外國資通品牌所在國媒體監督政府的能力如何?如上述案件,蘋果是否該犧牲用戶資料來配合政府,在美國媒體引起廣泛討論,公開透明的媒體才能保證所有人言論自由不受干涉,例如我國 2018 年新聞自由排名亞洲第一,即便文組出身的管理學者或土木博士,都能自由發表對計算機架構軟硬體分工的看法。只有透明公開的不斷分立與監督,才能確保強大的資通訊能力真正造福公共利益,而不是淪為少數掌權者統治的工具。

因此從這些判斷原則來看,就很容易理解與判斷到底到底該信任什麼樣的品牌,特別這還是牽涉到個人隱私與國家機密資料的手機通訊與網路架構產品。

(首圖來源:Unsplash