在不同的產業、使用場景、威脅態勢當中,我們對於資安的認知,可能都有很大的差異。以近期爆發的Zoom爭議事件來看,有人認為學校教學不牽涉到機密,不需要如此大驚小怪;有人則認為視訊會議被旁人亂入,是因為系統為了方便大家使用而沒有強制設置密碼,所以,開設會議的人應該要負責,而不是系統的錯;也有人提到這樣的資安問題,已非技術問題,而是政治問題。

關於第一、二種說法,涉及每個人對於隱私的定義,不過,既然我們討論的是學校的場景,大眾能否接受這樣的暴露,答案已經很清楚。視訊型態的教學雖然是虛擬的場域,但也跟實體校園一樣,不能容忍非法的窺伺與干擾。學校的教學當然需要公開、透明,但這是否意味著他人可以任意進出校園,導致學習過程可能受到影響?更遑論人身與心理安全層面的顧慮,如果校方不積極管制出入的人員,而用「平生所為,未嘗有不可對人言」自以為是的態度,來看待環境安全,家長恐怕也不願意讓自己的孩子冒著這樣沒有隱私的風險,到學校上課吧!

再來是簡化系統操作卻有不設防的危機,到底是使用者還是產品的責任。這讓我想到過去我們報導歐盟GDPR與即時通訊廠商Line的資安作法時,所提到的一些概念,像是Security by Design、Privacy By Design。

「人非聖賢,孰人無過」,身為產品研發端,我們很難開發出毫無任何安全瑕疵的產品;而身為使用者,我們會疏忽、偷懶。因此,用戶除了持續要求廠商要提高產品整體與每個環節、元件的安全性品質,對於業者而言,在解決方案開發的過程當中,若能考量到使用者不會主動採取確保安全與身分合法性的動作,而將相關的設定步驟、流程整合進來,後續資安問題也會減少很多。

最後,Zoom的爭議是資安、技術或政治問題?我們認為,可能也同時涉及「誠信」的問題。

Zoom最難以辯駁的部分,是他們聲稱採用全程加密(end-to-end encryption),但新聞媒體The Intercept在3月31日,揭露Zoom跟大家所認知的作法有出入,隔天Zoom也在部落格發布文章,表明他們的作法的確與現行採納的定義不一致,到了4月3日,加拿大多倫多大學市民實驗室發表一篇研究報告,探討Zoom視訊會議的機密性保護,裡面提到Zoom系統採用AES演算法、128位元長度的金鑰來加密,然而執行模式竟是最不理想的ECB。

對此,去年曾來臺參加臺灣資安大會的密碼學大師Bruce Schneier,在其部落格專文的評論,相當發人省思。他認為AES-128沒問題,但用了ECB模式,代表這家公司根本不懂加密。而Zoom應該也接收到這樣的批評,在4月8日的部落格文章提到,正將加密方式從AES-256 ECB升級到AES-256 GCM,預計在45天內聚焦於此項工作。

事實上,Zoom在他們的官方文宣上,就有說法不一致的狀況。他們聲稱採用全程加密,但如果仔細檢視他們的資安白皮書,我們會發現,前半段強調用戶「可以採用256位元AES加密」來保護共享內容與網路連線,但在Zoom Phone的身分認證與多媒體加密,是128位元AES加密。

Zoom後來才表明他們的作法與大家的認知不同,雖然可取,可惜為時已晚,他們的確是揭露部分事實,但並不夠直接,用戶若沒有仔細審視這些規格,基於業界共識來認定,很可能就會因此誤判情勢。不論這家廠商是否真的有意這麼做,但此刻事態一一被揭發,終究讓人難以接受,而產生被欺騙的感覺,認為廠商不老實。因此Zoom若要挽回用戶信任,勢必要花更大的成本和時間,來證明自己重視資安與誠信,還要主動揭露更多技術細節,因為用戶絕對不想再被誤導。

 相關報導  為何Zoom資安受到各界質疑?

作者簡介


Advertisement

更多 iThome相關內容