資訊科技與社會 (通識) 小考 D (2015/06/18)

(結尾有充足的提示。 必須將正確答案完整抄寫, 該題才有滿分。 答案請另外寫在答案紙上, 或在題目卷一片空白處按照 A,B,C,... 的順序作答; 寫在題目旁邊的答案不計分姓名學號跟答案寫在同一面, 且放在該面右下角的同學, 可以多得 3 分

各國政府有很多理由讓民眾支持他們封鎖資訊。 但不論意欲封鎖的資訊是色情、 國家機密、 智慧財產內容、 ... 到最後會面臨一個兩難: 只要人跟人之間的私密通訊管道還存在, 資訊就不可能完全封鎖。 這也是為什麼不只中國政府, 連英美政府也走向監聽公民。 Censorship 一定會走向 Surveillance。

在網路上, 最粗淺的資訊封鎖技術是: 依據不同的 (A) 來決定是否封鎖某些封包。 例如禁止 pps 或禁止 p2p 或甚至只放行 http 跟 https。 這就像是看信封的顏色決定信件是否合法一樣, 不科學啊! 決心突破封鎖的人總可以採用 (B) 類型的技術 -- 彷彿是在「非法信封」外面另包一層「合法顏色的信封」。 ssh 跟 vpn 是最常被拿來做 (B) 的工具。 當然, 政府的反制方式就是把每一封信 (比喻) 都拆開來看, 也就是對網路上的封包進行 (C)。

在民眾這一端, 保護私密通訊權的終極工具就是加密。 而加密的基礎則是 「連數學家都無法快速解決」 的數學問題 -- 因數分解。 (D) 是舊式的加密方式 -- 寄件人和收件人共同分享一把機密的金鑰 (key)。 現代的加密演算法多半屬於 (E) 類型: 寄件人拿 (F) 對文件加密, 收件人拿 (G) 對文件解密, 所以即使兩人遠在天涯海角、 從來沒有機會悄悄分享金鑰, 也可以寄送私密郵件。

採用 (E) 方式加解密, 寄件人直接看見 (F), 就不必害怕 (H), 因為從寄件方到收件方整條路上就算佈滿壞人, 他們也只能望著一堆亂碼嘆氣。 很詭異的是: 蘋果電腦號稱不怕政府監聽的 iMessage, 雖然採用安全的 (E) 技術, 卻沒有讓寄件人與收件人看到彼此的公鑰, 而是要經過一個複雜的多金鑰系統, 反而讓竊聽者有了很好的機會可以進行 (H)。

江宜樺任行政院長時代, 發文公教人員。 「行動裝置資通安全注意事項」 這份公文宣稱: 採用 (I) 技術有利於保護資通安全, 但其實 (I) 技術可以說是政府資訊單位安裝在公務員手機裡面的 (J) -- 因為它讓網管人員取得公務員手機的最高權限。 而這個 (I) 技術正好也幫政府網管人員開了一個輕巧方便、 最容易對 iMessage 進行 (H) 的後門。

至於美國政府單位 (K) 要求微軟藏在 Windows 裡的後門 (L), 則是採用了一個完全令人跌破眼鏡的超強演算法: 把一小部分的私鑰資訊藏在公鑰裡面, 於是 (K) (也只有 (K) ) 看到你用 Windows 所產生的公鑰, 就可以在有限的時間裡面破解出你的私鑰。 全球資安產品龍頭 RSA 也遭藏相同後門, 讓大眾對它信心崩盤。

揭發這個黑幕的, 是 (M)。 他曾是 (K) 的外包商工程師。 因為看到美國政府對全球民眾進行大規模非法監聽, 於是在 2013 年 6 月透過英國衛報、 德國明鏡週刊、 美國華盛頓郵報揭發了 Prism Project, 成為一系列爆料的序幕。 (M)、 揭發美軍阿帕契直升機濫殺平民事件 ("Collateral Murder") 的 (N)、 創立 wikileaks (維基解密) 揭發各國政府及大企業傷害公民權益的 (O) 三人都是 (P) -- 他們犧牲自己的安全, 把 「攸關公眾利益卻被政客財團封鎖住」 的資訊攤在陽光下。 臺灣衛福部為了對付食安危機, 也訂出鼓勵 (P) 的條款來鼓勵食品業內部知情的良心人士說出實情。

邪惡的政府不稀奇; 比較令人訝異的是收錢卻出賣消費者的 3C 廠商。 手機廠商呼籲消費者要從官方市集下載 apps、 不要對 android 手機 (Q) 或對 iphone (R) (可以比喻成: 走出被限制的小房間、 造訪你所買的房子的其他神秘區域) 更不要對手機 (S) (可以比喻成: 把房子內部的裝潢隔間全部打掉重練), 因為廠商出廠預設的系統比較安全。 真相是: 2011 年在美國上市的許多手機 (包含蘋果、 三星、 HTC、 Nokia 等等) 都被偷裝了側錄軟體 (T), 把鍵盤側錄等等資訊傳回美國電信業者。 至於德國/英國 Gamma International 公司所出品的 app (U) 專門用來幫政府監聽側錄甚至遠端遙控民眾的手機。 它竟然獲得了蘋果、 Nokia、 RIM (出黑莓機的公司) 的數位簽章認證。 這款惡意 app 當然沒有在正常的市集上販售。 所以是認證給誰看的? 意謂著什麼? 付錢的你請想清楚。

真正能夠保護資訊隱私的技術, 不是指紋、 虹膜、 聲紋等等 (V), 而是加密。 然而 (K)/(L)/RSA 密碼後門事件又告訴我們: 在你的電腦手機上執行的程式, 如果看不見原始碼, 怎能信任它會保護你的隱私安全? 西藏人最終選擇相信開放原始碼的市集 (W), 並不是因為喇嘛們都很會讀程式碼, 而是因為他們用性命跟牢獄之災學到教訓: 陽光是最好的消毒劑。 這也是廿世紀初美國大法官 (X) 對於如何令政治清明所做的建議。

資訊安全專家 Bruce Schneier 說: 「Security is a process, not a product.」 採用開放原始碼的軟體只是保護隱私與資安的必要條件, 並不是充分條件。 例如很多潰客 (cracker) 可能會利用人性的優點與缺點 (善良、 信任、 貪婪、 大意、 ...) 騙取密碼, 從而省略困難的技術入侵破解, 不費吹灰之力就可以取得你的隱私, 這種方式稱為 (Y)。

提示: asymmetric encryption 非對稱式加密, biometric 生物特徵, Carrier IQ, Central Intelligence Agency, Chelsea Manning, communication protocol 通訊協定, deep packet inspection 深度封包檢測, Department of Homeland Security, Dual EC DRBG, Edward Snowden, f-droid, Federal Bureau of Investigation, finfisher, Great Cannon of China, Julian Assange, Lawrence Lessig, Linus Torvalds, Louis Brandeis, man in the middle attack (MitM 中間人攻擊), mobile device management 行動裝置管理, National Security Agency, Richard Stallman, root, rootkit, social engineering 社交工程, symmetric encryption 對稱式加密, targeted advertising, tunneling, walled garden, whistleblower 吹哨者, 刷機, 寄件人的公鑰, 寄件人的私鑰, 收件人的公鑰, 收件人的私鑰, 越獄,