準行政團隊Line國事作法急轉彎，準經長受命客製臺版即時通

距離520新舊政府交接剩下不到一個月的時間，準行政團隊為了加速內部溝通速度和品質，準行政院發言人童振源對媒體表示，已經將行政團隊等32人設立一個Line溝通群組。不過，政府高層利用Line做政務溝通引發各界對於資安的質疑，準行政院院長林全最後決定，將改由工研院開發的即時通訊軟體揪科（Juiker），並由曾任工研院副院長的準經濟部長李世光擔任窗口，協調內閣需要客製化即時通訊功能。

Line預設一對一對話功能加密，但群組對話還不行

Line在臺灣有極高的滲透率，也因此，不少準內閣成員常用Line作為彼此溝通工具。但是，政府高層若使用Line來討論國家大事，討論過程是否夠安全，是否沒有機密外洩疑慮，更顯得重要。

由於Line是韓國公司NAVER百分之百的子公司，也就是日皮韓骨的即時通訊工具，目前在日本、臺灣等地都有極高的滲透率。在2013年7月，曾經發生過日本的Line伺服器遭到不明人士非法在伺服器中植入帳密竊取程式，有個資外洩風險，NAVER入口網站各項服務會員個資，總計約169萬筆可能外流，但不含日本國內外Line用戶帳密與個資。當時，經過調查，流出的個資包括帳號ID、電子郵件信箱、Hash加密的密碼與帳號暱稱，日本Line公司也針對有個資外洩風險的客戶，寄發修改密碼的信件，要求儘速修改密碼，以免帳號遭到第三者的濫用。

而在2014年6月，便有日本媒體FACTA online報導指出，韓國政府的國家情報局（前KCIA）會在訊息發送的過程中，攔截相關的訊息，不過，這樣的作法在韓國是合法的，但是日本則覺得不可以坐視這樣的問題繼續發生。根據FACTA online追查，韓國國家情報院（前KCIA）也曾利用此手法再將資料轉送至歐洲進行分析，日本Line帳號資訊也有可能因此洩漏給中國騰訊。

不過，Line社長森川亮則在部落格駁斥這樣的質疑，也透過技術人員在部落格回應，Line相關的通訊傳輸都採用RSA 2048位元的加密方式，且包括在無線網路（Wi-Fi）、3G或LTE等通訊環境中，資料也都加密處理。

而Line之前，也曾經推出包括隱藏交談、限時通訊、密碼鎖和4位數的安全PIN碼等功能，但這些功能必須要另外啟動不同的交談功能介面，因此使用上，也較不普遍。直到2015年10月的Line新版本中，預設開啟在一對一對話時提供進階加密功能，可以加密對話，再把加密金鑰存放在使用者的裝置上。不過，Android手機預設開啟，在iOS手機上，對話雙方則必須自行啟動Letter Sealing功能，才能做到雙方對話內容加密、傳輸加密。

據了解，在2015年底升級的Line版本中，已經預設開啟Letter Sealing功能，所有的一對一對話功能，都已經可以做到自動加密，不過，群組對話時，目前無法做到端對端的加密功能，還處於測試階段，需要一段時間才會推出。

公務部門用Line溝通面臨的五大資安議題

雖然Line的App已有部分安全功能，但是對於公務部門使用而言，第一重要的就是通訊時的安全性，除了早期以加密通訊安全為號召的Telegram，強調連業者都無法攔截已經加密的對話資訊並造成轟動後，後來包括蘋果iMessage、WhatsApp甚至是近期的Viber等，都陸續提供端對端的加密功能。至於Line的端對端加密功能只能做到一對一對話的加密，還無法加密群組對話。

其次，也必須考量即時通訊軟體伺服器的位置。ForceShield技術長林育民表示，因為Line伺服器都在海外，這也意味著臺灣政府沒有能力控管Line的伺服器，如果必須處理使用者帳號被盜用，或者是其他終端設備出現異常狀況時，臺灣政府都沒有能力可以即時反應。

再者，使用者的資料和對話訊息都存放在業者在海外伺服器中，林育民也說，Line無法提供相關的日誌（Log）檔案，一旦發生安全事件或者是資料外洩時，政府的安全部門很難進行後續的調查與追蹤。

第四點，達友科技副總經理林皇興則指出，使用Line這類的通訊軟體還有一個致命隱憂，那就是手機的安全性，像是開放平臺的Android手機或是越獄（Jail Break）後的蘋果手機等，遇到手機簡訊或者是各種即時訊息點擊惡意網址時，更容易被植入惡意程式。資安專家Lightwind Wong也說，手機遺失是最大的資安風險，現階段各家廠商的即時通訊App，都還沒法做到手機一旦遺失，還能夠確保相關對話內容不被外洩。

最後，在資安領域耕耘超過20年的資安專家GasGas表示，缺乏資安意識和對於使用何種3C工具缺乏完善的評估流程，其實才是這次外界對於準行政團隊，使用Line作為溝通工具的最大批評。他指出，沒有一個軟體產品是百分之百安全的，但是，使用者是否具有這樣的意識，是否有一套完整的評估流程，作為選定各種使用工具的參考依據，而不是只是憑習慣或想當然爾做選擇，才是一個行政團隊該具有資安意識的評估流程。

林育民認為，如果臺灣政府要使用這類的即時通訊軟體，除了要確認有提供端對端加密功能外，業者也必須要能提供日誌留存的機制，增加臺灣政府使用這類即時通訊軟體的安全性。

新團隊改弦易轍，決定改用臺灣研發的揪科

在準行政團隊對外宣布採用Line作為溝通工具之際，各界對於資安的疑慮也傳到該團隊的耳中，像是準科技政委吳政忠便率先開砲，傳達外界對於行政團隊採用Line的憂心，而準經濟部長李世光則建議，可以採用由工研院研發的揪科（Juiker）通訊軟體作為Line的替代方案。

工研院研發揪科的團隊，先前也已經透過技轉方式，成為獨立公司源思科技，該公司總經理黃肇嘉表示，準行政團隊已經要求該公司進行相關的報告，但目前的確還不清楚，行政團隊對於即時通訊使用是否有特殊需求，必須等到見面報告後才知道。

黃肇嘉表示，從2012年中旬就開始討論是否要自己研發這類即時通訊軟體，面對國外WhatsApp或是Viber等即時通訊軟體的威脅，也觀察到這種App軟體將深刻影響到臺灣的軟體產業。當時決定開始研發這類的即時通訊軟體時，他說：「為了要和其他競爭對手不一樣，決定整合電信業者，衍生出語音OTT（Over The Top）的服務。」

而揪科切入的角度也與一般強調使用者使用經驗的B2C有落差，他表示，目前B2B企業即時通訊的作法個有不同，像是，思科是從網路的角度來看，微軟從系統的角度出發，Line從手機、Skype從電腦的角度出發，而揪科則從資訊流的角度出發，並研發出聯邦雲的作法，讓電腦訊號傳輸無國界，不過資料卻與訊號分離，可以落地、保留在各國。

工研院從2013年1月著手研發，同年11月就完成開發，為了安全，黃肇嘉表示，揪科採用HTTPS/TLS1.0~1.2的加密演算法，而工研院本身也是揪科第一波的測試者。工研院有八千名員工就有八千臺分機，相關的異動頻繁，紙本列印往往緩不濟急，因此，揪科便開發出企業通訊錄的功能，所有的通訊方式都建置在雲端平臺上，有異動直接在雲端平臺做修正即可，也有利於使用者查詢相關的聯絡人資訊，也可以直接傳訊或打電話。

再者，黃肇嘉也指出，有了雲端的企業通訊錄後，為了確保隱私，在終端顯示時，會隱藏手機號碼的部分數字，使用者可以直接撥打，卻無法看到完整的使用者資訊，不僅確定授權者是有權可以撥打的對象，也保護相關資訊的安全，減少外洩的機會。

第三點，黃肇嘉認為，揪科最大特色就是企業級的聊天室權限控管機制，不僅可以確定誰有權限可以進入到某個聊天室，還可以知道哪些人已經讀取哪些資訊，但哪些人還沒讀取，甚至於，也提供檔案的交換時，是否已經讀取列印等相關記錄。

他指出，因為一般的聊天室是對外公開的形式，但是企業的聊天，也會涉及許多機敏資料的交換和討論，所以，不僅嚴格控管每個人的權限，記錄所有的聊天記錄，甚至於，當員工已經離職後，可以直接從雲端平臺移除該名同仁的權限，系統也會主動把該名同仁從相關的聊天室移除，進一步確保聊天平臺的安全性。

第四點，為了降低Line常見的手機上不明惡意網址訊息帶來的風險，黃肇嘉表示，揪科和趨勢科技合作，只要聊天室中出現各種網址連結，就可以先透過雲端防毒平臺進行網址的掃描，進一步確保使用者的安全。

最後，他指出，揪科也會提供許多API讓企業介接內部系統，也會提供一個雲端的控制平臺，可與企業內部AD或者LDAP整合。