安全感,這是人類最依賴的維生動力。在現實世界如此,在即將成為主流的虛擬時代也一樣。
不過,以現代人一日千里的研發技術,早就建立一套保護安全的機制,其中最先進也最完整的自然還是非美國莫屬。 像目前台灣金融業所使用的 SSL 加密技術,早在國外行之有年。
所謂 SSL ( Secuer Socket Layer ), 是利用公開金鑰的加密技術( RSA 來做為用戶端與主機端在傳送機密資料時的加密通訊協定。因此,使用者可以利用這個功能,將部分具有機密性質的網頁設定在加密的傳輸模式,如此即可避免像是信用卡卡號或個人等資料在網路上傳送時被其他人竊聽。 SSL 在數年前由Netscape 首先發表, 現已被大部分的網頁伺服器( Web Server )及瀏覽器(Browser )廣泛使用。
SSL 有三等級 台灣用的是「基本型」
既然 SSL 被廣為運用,顯然是其加密技術受到肯定, 而台灣金融業與網路業者用的也是 SSL,應該也很安全。 但問題是,受美國管制的 SSL 加密技術可是有四○位元( bit )、一二八位元,以及一○二四位元的等級之分。 位元愈長示加密功能愈強。由於美國對加密軟體的出口立法管制,所以能賣給台灣業者的,即使是 SSL 第三版(亦即 SSL3 ),仍只限於最低一級的四○ bit (你所往來的網站用哪一等級的加密技術軟體,確認方式見附圖)。
一九九七年, 柏克萊加大的研究生 Goldberg,利用學校的二百五十部電腦工作台,以不到四小時的時間,就破解 SSL 的密碼。 台灣有逾四百家的購物網站,以及競相投入網路下單的券商,如果只能用一套美國研究生都能破解的加密技術,台灣民眾、業者乃至政府的資料安全性就很令人擔憂。所以,取得更先進的加密技術實為當務之急。
可是,美國對於先進的加密技術軟體有出口管制,台灣是被列為管制的國家之一,基本上台灣是拿不到一二八位元以上的加密技術軟體。但台灣還是有業者「辦法」取得一二八位元的軟體,而且成本在一百萬元以內。目前已知的有資迅人、怡富證券。不過對於取得這套加密技術軟體的方法,兩家公司剛好表現出極度保密和極度開放的態度。
在問及所使用的 SSL 加密技術軟體時,資迅人上下三緘其口, 咸表示出「公司機密,無可奉告」的「加密」態度。公司總部設於美國,也在美國加州登記「有案」的資迅人,是「一體兩用」(一套軟體兩地使用)或透過其他方法取得就不得而知。
如何取得 有人保密 有人大方說
而才剛取得 SSL 一二八位元軟體使用許可的怡富證券, 卻能一派大方地將這段取之不易的過程公開,一方面在提醒國內業者和使用者能更關注網路交易安全,當然,怡富欲藉此加密技術讓投資人更信賴的用心也是顯而易見。
參與此次取得 SSL 軟體許可的怡富證券電子交易部經理李選進表示, 雖然美國政府對 SSL 一二八位元的加密技術軟體有出口管制, 但美國本身有許多跨國際的大型企業,為了保護資料與交易安全,當然不會願意國內用一套、國外用一套,在大企業強力反映後,美國政府只好對銀行、保險公司、健康與醫療組織、金融業務相關機構、線上商家及海外子公司做部分的開放。
於是怡富證券就開始透過海外的管道、國內加密技術軟體的代理商協助申請,但都無功而返。之後才聯絡到製造商網景( Netsacpe ),結果網景說:「請向美國政府申請!」
不死心的怡富千託萬託,網景總算願意代為試試看。經過一、兩個月的溝通調,終於申請到這套一二八位元加密技術軟體。「可是,取得軟體後才發現,還有一個難關!」李選進說。 原來,包含 SSL 在內的加密技術軟體,多以公開金鑰( Public-Key )為基礎,所以在安裝軟體前,怡富還要先經過專業認證中心( CA,Certification Authority )發出的使用憑證。 在獲得自己的憑證後,未來怡富與其客戶在進行電子交易時,可用以表明自己身分並確認對方的身分,以防止交易雙方事後否認交易的事情發生。
於是怡富找到專業認證界的龍頭── VeriSign, 可是比美國司法商務部更嚴格的 VeriSign, 不但對怡富展開一連串的「身家調查」、文件審查,還到網上旁敲側擊。 而最有趣的是,VeriSign 為了查證怡富在台灣確實存在而且有營運所以想出一個辦法, 就是向台灣的別家公司或機構要怡富的電話。結果Verisign 先打電話到政府某部門詢問, 沒想到和總機因「語言不通」不得其門而入;第二次打給中華電信,不料居然查不到怡富電話。
VeriSign 被台灣公司的總機打敗
最後 VeriSign 只好放棄查電話,改以要求怡富填一份須附公證單位鋼印的文件,為求慎重,還是怡富投信董事長許立慶親自跑一趟美國在台協會,怡富才得以過關,也終於成為台灣第一家公開使用這一套先進軟體的公司。
其實,國內元智大學已經研發出一二八位元的加密技術軟體,而資策會等單位提供認證磁片,讓使用者多一層保護,但由於沒有受到公證單位的檢覈,以致無法廣為接受。 因此現階段,握在美國政府手中的 SSL 一二八位元,應還是國內業者最急需要援用的加密技術軟體。
儘管網路上運用的加密技術一日千里,而站在推廣立場的各國政府、追求獲利的業者也再三保證網上交易與資料傳輸的安全性,但往往保證才一提出,就被層出不窮的網路犯罪案澆上冷水。
而 OECD (經濟合作暨發展組織)旗下的「國際行銷監督網路」,也才在剛完成的全球網路評估報告中指出,有七五%的網站沒有隱私權政策。更何況以信用卡盜刷比率高居全亞洲第一名的台灣,高達九成三的民眾相當重視網路購物的安全,因此希望台灣的政府和業者在快速發展電子商務的同時,也能先建立一個更為安全的機制。
