傳奇密碼學大師施奈爾專訪:別輕信物聯網

作者 | 發布日期 2019 年 04 月 15 日 8:15 | 分類 物聯網 , 網路 , 資訊安全 follow us in feedly


訪問被 CNN 譽為「全球最頂尖密碼學家」布魯斯‧施奈爾(Bruce Schneier)之前,我們很容易聯想到各種神祕形象。畢竟,密碼這個關鍵字,總出現在情報、特務與駭客電影,連《不可能的任務:鬼影行動》扯到核彈交易案時,也有密碼學家的戲分。

施奈爾的一生很有趣,他最暢銷的《應用密碼學》(Applied Cryptography)一書,《連線》雜誌(Wired)評為:美國國家安全局最不希望出版的書。

《達文西密碼》小說提到,如何以電腦加密保護資料時,必提的密碼學家也是他。

萬物連網是好或壞?
「危機比好處大更多!」

當初揭露美國國安局祕密文件的愛德華‧史諾登(Edward Snowden),被美國通緝後,極少數願意露面的場合之一,就是與施奈爾在哈佛大學的講堂視訊對談,討論主題還是:政府監控與隱私。

結果,當《商周》記者與這位傳奇人物對談時,他一點都不神祕,而且有夠明快,立場分明。

比如,談最熱門的物聯網議題,他擺明:「危機比好處大更多!」他認為,從冰箱到烤箱,當所有東西都電腦連線,將會異常脆弱,容易被駭入,不夠安全。

比如,他看大家認為最安全的區塊鏈,他說:「沒有任何好理由要信任(區塊鏈)。」

比如,記者問,他如何保護自己的隱私時,他直說,不能答,「因為我的隱私一部分就是,不回答我如何保護我個人隱私的這些問題。」

這樣直來直往的人,為什麼會被資安業界推崇?連《經濟學人》都說,他是「安全大師」。

他是如何養成的?

施奈爾出生在紐約,他的父親在布魯克林區擔任法官,父親形容,「他總是著迷於數字」,小時候,他會一直嘗試數數的極限,把數字寫在紙上,試著能不能數到 100 萬。

施奈爾曾說,他和父親在隱私、公民權利領域有共同信仰。他不想和父親一樣成為法官,「但我被法律的雄辯、寫作、邏輯、論證啟發」。

他坦言年輕時,熱愛數學更勝與人交流。從數學出發,數學會再延伸到密碼學,密碼學原理的一環,其實就是將訊息原本的樣子,經過加密運算後,轉為讓人無法直接辨認的訊息,也就是密文,「理解密碼學就真的是理解數學」。

「本來,沒人把這些密碼學的知識這樣整理起來,可能就是在一些國防單位、國安單位,大家關起門來研究。」精通密碼學的台大數學系兼任助理教授陳君明說。但施奈爾卻想把他理解的密碼邏輯普及化,30 歲那年,他出版《應用密碼學》,在這之前,業界沒有一本完整、易懂的密碼學教科書。

「我因為這本書認識了密碼學,」陳君明說。

只是,施奈爾又是如何從密碼學,變成資訊安全大師?

陳君明解釋密碼與資訊安全的關係。他舉例,在我們生活中,連到 Google 首頁時,網址是 https,而不是 http,字尾的「s」就是加密,進入網頁後,所有通信都有密碼系統保障安全,將資料變成密文傳送,但如果你的電腦沒有密碼系統保護,在 Google 查詢或傳送的資料可能會被其他人看到!

施奈爾說,「我的職涯可說是一系列將事物『普遍化』的過程,從密碼學的數字安全開始,我的第一本書是《應用密碼學》,關於密碼學。然後我著手寫電腦安全,再來是一般的安全科技、安全經濟學、安全心理學、安全社會學、安全公共政策。」

他不斷探索,對安全有異於常人的執著。

裝防盜系統比較安全?
可能只是心理覺得較安全

他用經濟學角度談安全。「當我們裝設防盜系統,付出的是時間、金錢、方便性抑或是自由為代價。我們要想的,不是它能不能讓我們安全,而是值不值得。」

施奈爾還用心理學看安全。「安全分為 2 種,實際上的安全跟心理上的安全」,施奈爾提出「安全劇院」(Security Theater)的概念,因為很多讓人們感到安全的措施,並非真的安全。

比如,你到機場安檢,先看你有無攜帶炸藥、槍枝之類的物品,他認為,其實一般人的時間都被浪費在沒收如剪刀、打火機之類的物品,但沒有人能證明,這樣是真的安全,只是「感受」起來比較安全,這讓安全劇院的實踐成本通常遠大於實際利益。

他又說,安全感是有錯覺的,我們時常放大不常見的危險,但卻忽略常見的危機。例如,大家常擔心被陌生人綁架,但數據顯示,熟人綁架的可能性更高。我們也對地球暖化或個資被掌握的危機,常常輕忽。

當數字組成密碼,密碼形成安全,他發揮父親教給他的態度:追根究柢,反覆辯證。

陳君明回憶,他曾在美國參加知名的 Defcon 駭客大會,當時觀眾對施奈爾的提問是:「標準對稱式的加解密,安不安全?」提問者隨後補上一句:「美國政府講的我不信,但你講的我信!」

為了安全犧牲隱私?
錯!「隱私是安全一部分」

施奈爾的部落格,有一篇文章是這樣寫的:未來,大型科技公司就像地主,亞馬遜想讓 Alexa 智慧音箱成為智慧家居的中心,蘋果及 Google 要自家手機成為唯一能控制你所有物聯網裝置的設備。這些大型科技公司保護我們免於外在攻擊,但卻掌握我們能看見、或能做的事。

他警告,若給予科技怪獸太多權力,後者也會給予我們更多限制,「(今日)HP 印表機不再讓你使用非官方墨水匣,明天,他們可能要你用官方紙張」。

在他眼裡,沒有為了安全就該犧牲隱私,使數據都被大廠掌握的道理,「我們需要隱私,隱私就是安全的一部分」。他說,他保證蔡英文總統用的絕對是 iPhone,她的隱私,也就等同台灣國家安全的一部分,沒有孰重孰輕;核電廠營運商也一樣,這些人的隱私都是國家安全的一部分。

這一生,他一路從數學延伸,談安全,現在還延伸到人與人彼此的信任機制。他解釋,安全的存在是為了促進信任,信任是目標,在現今社會,我們信任各式的人、機構和系統待我們是誠實的,「(信任)是讓一個社會生存的必需,沒有信任,社會會崩解。」至今,他一連寫了十幾本書。

這種超乎一般數學家埋頭苦算的態度,讓施奈爾不只是安全技術家,更是安全哲學家。他的一生不是忙著編密碼,而是忙著解密,找到「安全,如何與人類互利」的使命感,這或許,正是他被信任的原因。

(作者:李玟儀;本文由《商業周刊》授權轉載)