(台灣英文新聞 / 台北專訪報導)資安議題備受關注,留學日本長達9年的國立政治大學(National Chengchi University)資訊科學系特聘教授兼資訊安全碩士學位學程主任左瑞麟教授,以獨特的視角探討台灣後量子密碼學的發展,期盼企業能建立量子安全遷移中心,成為學術界互相分享和交流的平台,以因應新數位時代的挑戰。他並期待,企業成立量子安全遷移中心可做為學術界互相交流、分享的平台,迎接新數位時代。
1999年,國立政治大學資訊科學系特聘教授兼資訊安全碩士學位學程主任左瑞麟教授獲得日本台灣交流協會的獎學金,前往日本攻讀碩博士學位,並於畢業後在日本進行為期2年的博士後研究,於2008年回到政治大學任教。談到當年進入密碼學(Cryptography)領域的契機,是碩班修了一門品質管理相關的課程,但這門課的授課老師研究領域是密碼學,這意外的機遇啟發了他對密碼學的興趣。當時的密碼學主流是對稱式(Symmetric Encryption)跟非對稱式(Asymmetric Encryption)加密,他選擇了深入研究非對稱式加密領域,發現密碼技術不只有加密(Encryption)、解密(Decrypt)、數位簽章(Digital Signature),還包括許多技術可用於保護隱私和個人資訊,例如零知識證明(Zero-Knowledge Proof, ZKP)、秘密共享(Secret Sharing)、區塊鏈(Blockchain)、同態加密(Homomorphic Encryption)等多個議題。當時在日本,後量子密碼學(Post Quantum Cryptography)是相對冷門的領域,僅有少數學者從事晶格密碼學(Lattice-based Cryptography)的研究,而台灣的量子技術(Quantum Technology)亦是近十年逐漸崛起並受到關注,現有的密碼系統將隨著量子電腦技術的實現而隨之瓦解。
左瑞麟解釋了量子電腦的特性,即計算速度極快,並善於解決具有週期特性的難問題。數十年前已經有研究學者開始設計演算法,如果量子電腦成功發展,將能夠破解一些重要的數學難題,當今主流的公開金鑰密碼應用正是基於這些數學難題(質因數分解、離散對數問題)所建立, 諸如金融交易、行動網路及物聯網等各項領域所使用的秘密資訊傳輸、安全認證及身分識別皆依賴於公開金鑰密碼來確保安全性。未來量子電腦商用化後,即可破解90%以上公開金鑰的密碼系統。以央行的數位簽章為例,若不使用抗量子電腦攻擊的公開金鑰密碼技術,數位簽章即有可能被偽造,進而導致央行的數位貨幣(Digital Currency)遭到偽造。如果使用傳統的公鑰密碼技術,一旦駭客取得私鑰(Private Key)和密文(ciphertext)等重要資訊,就能瞬間破解所有的加密資訊,這將對安全性造成極大威脅,其影響極其深遠。
學術界和業界在關於資安(Information Security)的看法上存在著不同的取向,業界著眼於即時性,強調應對當前的挑戰,並提供解決方案和工具,無論是應對社交工程(Social Engineering)、勒索軟體(Ransomware)、電腦病毒(Computer Virus)等問題。然而,學術界的觀點較為長遠並具有前瞻性,學者們致力於深入研究,關注未來5至10年內需要應對的議題。左瑞麟指出,若從整個面向觀察,也就是5至10年要處理的議題,第一個是後量子密碼學(Post-quantum cryptography)、第二個隱私保護、第三是數位貨幣的發展。
左瑞麟進一步闡述了第一個議題,即量子安全,並強調了其重要性。他指出,量子電腦的威脅可能隨時來臨,因此在量子電腦問世之前,我們必須積極應對這個問題。在這個過渡期內,我們應該考慮將資料逐步遷移到後量子密碼學的加密系統中。這麼做的目的是確保在未來,當量子電腦可能對傳統的加密系統構成威脅時,我們的資料仍然能夠保持安全。
第二,為了讓人工智慧能夠進行準確的預測,我們需要大量的數據進行分析和訓練。當人工智慧與資訊安全(Information Security)結合時,引起廣泛關注的議題就是隱私保護(Privacy Protection)。隨著AI的應用越來越廣泛,如在醫療、金融、社交媒體等領域,確保個人數據不被濫用或洩露是一個重大挑戰。
第三、如何在數位貨幣的發展上確保隱私,隨著比特幣(Bitcoin)和以太幣(Ether)等數位貨幣的崛起,各國開始重視數位貨幣的發展,並思考如何由央行發行自己的數位貨幣,台灣也在規劃並設計自己的「央行數位貨幣(Central Bank Digital Currency,CBDC)」,在CBDC的發展中,安全性是一個重要關切點,其中包括是否可被追蹤以及如何確保隱私保護。中國在北京東奧時即宣布推行數位貨幣,而韓國、日本、歐盟、美國等國也都在各自發展數位貨幣。對於數位貨幣的安全性議題,各國都在積極規劃和研究。
左瑞麟提出了一個觀點,即「業界出題、學界解題」,金融知識(Financial Knowledge)是一種領域知識(Domain knowledge),擁有資訊背景的人不一定了解金融領域的細節和需求。因此,金融議題的相關研究需要和業界密切結合。以政大資安中心為例,中心可充分借助政大商學院和金融科技中心的專業知識和資源開發金融資安系統或解決金融科技中相關的資安議題。
講到CBDC,綜觀我國數位貨幣的發展,在技術上已具備實現數位貨幣的能力,但在法規面仍有要解決的問題,目前只需要思考,是否要引入自己的央行數位貨幣。 左瑞麟強調,雖然各國的數位貨幣可能會使用不同的構建方法,但數位貨幣的安全性特性基本是相同的。這些共通的安全特性包括不可偽造、不可重複使用、不可被追蹤及在斷電或離線的狀況下仍可使用等。政大承接國科會的「新世代央行數位貨幣之關鍵技術研發與支付系統設計」計畫時,已經從架構設計、安全性建設跟分析等多方面進行相關規劃,並將數位貨幣的發展作為主要目標。
疫情改變了人們的消費模式,越來越多人習慣透過手機購買日常用品並支付相關費用,在這過程中,個人資訊和金融資料通常儲存在手機中。他指出,手機內的資料只有在更換手機時,才能透過雲端(Cloud)轉移到新手機上,因為安全元件通常不允許直接讀取相關資訊。
左瑞麟強調了一個極為重要的觀點,即資安的最大問題在於人,個人的資安素養和教育訓練對於資安的保護至關重要,即使一家公司擁有強大的資安設備和保護措施,如果公司的員工缺乏資安意識,容易被欺騙,這些防護措施也無法發揮作用,這就像擁有保險箱或金庫,但忘記上鎖一樣,或者在家裡防盜設施很好,但出門後忘了鎖門,或者對陌生人開門而不詢問身份,這些都可能導致資安漏洞。所以當我們在講金融資安時,關於私密金鑰,該如何保存呢?一個建議是將私鑰存在安全元件(secure element)裡,讓它只能在安全元件中運算。
早期業界對密碼學並不特別重視,隨著區塊鏈(Blockchain)興起,當初較冷門技術與密碼技術才逐漸受到重視,人才需求也隨之增加,如今學界首要任務就是培養資安與密碼學人才。此外,一些資安公司可自主研發相關設備,學界所擁有的技術可以實際應用於這些設備中,例如硬體安全模組(Hardware Security Module, HSM)或稱硬體加密器。這種技術轉移和合作有助於提高資安設備的性能和安全性,同時也促進了學界和業界之間的知識共享和技術創新。對學術界來講,真正的成就是技術可以落地,假如學術界能夠參與未來央行數位貨幣的研發和設計,那麼參與者將會感到比發表多篇論文更有成就感。
左瑞麟還說,另一個國科會計劃是將區塊鏈和金融科技相結合以延伸出的新的資安議題,目前金融科技相關技術大多屬於非後量子的密碼技術,是可以被量子電腦攻擊的,包含門羅幣(Monero)的環簽章(Ring Signature),隱身地址(Stealth Address),還有承諾方案(Commitment Scheme)等,如何將這些技術升級成後量子的版本,都是值得探討的研究議題。
在後量子密碼的研究領域,台灣有幾個團隊在不同方向取得了卓越的成就。其中包括中研院的楊柏因教授,他的團隊致力於後量子數位簽章和加解密標準的研究;中山大學的范俊逸教授團隊專注於屬性加密相關的研究;政治大學在區塊鏈的隱私保護技術方面有卓越的工作,同時也有自己的後量子金融資安研究團隊。左瑞麟強調,學界應該加強合作,不應該獨自作戰。每個團隊都有自己的專業領域,通過合作和知識交流,可以更好地應對複雜的資安挑戰,推動後量子密碼和資安技術的發展。這種跨領域的合作有助於促進創新,提高台灣在資安領域的國際競爭力。
政大資安科技研究中心(NCCU Information Security Center)的計畫才剛通過,根據國科會的要求,必須在一年內成立並提出發展方向,包括未來3、5年內的規劃,這包括研究、產學合作、經費來源等方面的計劃。政大資安科技研究中心的計畫是少數不是國科會資通安全研究與教學中心(Taiwan Information Security Center, TWISC)成員的學校,中心重視後量子、AI結合資安、零信任架構(Zero Trust Architecture)三大面向,並符合政大的特色,即前文提到的資安結合金融科技的議題。
對於未來人才培育計畫,左瑞麟指出,政治大學目前已有幾位教授投入相關研究,包括後量子密碼等議題。其中包括他自己、資訊學系的曾一凡助理教授及新進教師孫士勝助理教授。因此,學生可以進入這些教授的實驗室參與相關研究工作。政大自2022年8月成立了「資訊安全碩士學位學程」和「資安碩士研究所」,將資安教育紮根於學校的教育體系中,以培養未來的資安專業人才。
最後,左瑞麟表示,Chelpis創辦人有很多前瞻和遠大的想法。事實上,每所學校都有其專長,透過量子安全遷移中心(Quantum Safe Migration Center, QSMC)所提供的平台,大家可以合作、交流、分享學術研究成果。未來,非常期待政大與量子安全遷移中心的合作,雙方能建立長期深入的合作關係,共同為臺灣在後量子密碼領域的發展做出貢獻。