2019 年台灣資安大會於 3 月 21 日圓滿落幕,為期三天的大會在台北國際會議廳中心與台北世貿中心舉行,集結 180 家以上的國際級台灣在地知名資安夥伴,展示最新與最適切的資安產品與服務,提供將近 250 場的資安專題演講,並有超過 8,000 位與會者進行交流,台灣資安大會至今舉辦第五年,已是台灣年度最大的資訊安全盛會,蔡英文總統也親自前來致詞及參觀。

蔡英文總統在致詞中指出,解決資安難題最簡單的藥方,是將「資安拉高到國安層級」,在「資安就是國安」的前提下,落實國家資通安全發展。蔡總統也認為數位化已經是不可逆的趨勢,行動支付較信用卡更為方便,為消費者帶來便利性,但網路詐騙、駭客入侵及散佈假消息等問題仍有待解決,須靠各界共同努力。

250 場的資安專題演講當中,主要探討資安防禦、駭客威脅、物聯網安全、金融安全、工業安全、醫療安全、AI 安全、硬體安全、軟體開發安全、GDPR 個資保護、5G 安全、假新聞等眾多息息相關的議題,另外區塊鏈也被納入此次專題演講當中。

如同實體世界中用來保管財物的保險箱或金庫,在數位世界中,資訊安全保護必須使用到密碼學,而這正是區塊鏈的運作基礎,加密幣的運行本質上是一套密碼協定。因此國內有幾家廠商將區塊鏈技術運用在資訊安全上。

在台灣資安大會中,我們看到這三家資安企業,正致力開發區塊鏈底層的安全與應用產品,分別是提供硬體加密方案的 WiSECURE、區塊鏈合約存證系統區塊科技,以及企業級安全性的加密錢包供應商 CYBAVO

WiSECURE 與 CYBAVO 以區塊鏈底層的資訊安全為出發點,目的在於保障使用者私鑰(Private Key)安全,避免被駭客攻擊竊取,其中 WiSECURE 專注於硬體加密層面,讓使用者可以將私鑰安全無虞地掌握在自己手中;CYBAVO 從軟體著手,提供加密貨幣交易所高度安全性的加密錢包管理系統。

區塊科技則專注在應用層的開發,以區塊鏈網路為基礎,透過分散式資料庫的架構提供線上合約的保存與正確性,將原本繁複的紙本合約電子化,並使用生物認證與數位簽章進行合約有效性驗證,也可以避免文件被單方面竄改,未來合約有任何爭議,只需要調閱資料庫就能證明其有效性。此外,由於節點分布在各企業,單一家公司要竄改合約資料幾乎是不可能的事情。

接下來我們將更進一步討論這些產品的潛在應用,都是未來可能普及到我們生活中的解決方案。

軍規等級的硬體加密解決方案:匯智安全科技(WiSECURE Technologies)

WiSECURE 號稱為企業安全應用的軍師,目前擁有兩款硬體加密產品,分別是針對行動裝置推出的加密 Micro SD 卡與伺服器用的 PCIe 硬體加密卡,兩者皆能高速加密與解密高機密檔案,並且提供高效率的密碼服務。

Micro SD 卡由三個要件組成:控制器、快取記憶體以及加密引擎。這一款產品具有 6 MB/S 的讀取速度,約等於一般 SD 卡 Class 6 的等級,從理論數值來看,即使檔案經過加密,在使用上絲毫不會有卡頓的感覺。除了提供資料加密儲存功能外,WiSECURE 表示 SD 卡也提供高速密碼服務。內建 Common Criteria EAL5+ 安全晶片,使其安全性高於市面大部分加密貨幣硬體錢包。一般使用者可以將 Micro SD 卡插入智慧型手機,只要搭配相容的錢包 App,就能安全的使用存放於 SD 卡之私鑰,交易過程中私鑰均不外露於 SD 卡之外。如此一來,即使是一般手機也能擁有與硬體錢包同等的安全性。

WiSECURE 同時推出一款伺服器專用的 PCIe 硬體加密卡,能提供更安全、效能更佳的加密功能。採用 FPGA 實作高速加密演算法的架構,可支援企業等級多樣安全性防護需求。舉例來說,交易所的私鑰加密存進硬體加密卡後,特殊設計之實體安全機制可保障私鑰安全,更可搭配 BIP32 提供高速 ECDSA 簽章服務。

另外硬體加密卡採用 PCIe Gen 2.0 x 4 的通道介面,讀取頻寬達 16 Gbps,現場實測的速度約為 1600 MB/S,能夠應付企業等級的頻繁讀取需求,即使是交易所也能負荷大量的交易簽章需求,並且同時確保企業錢包的私鑰安全。2019 年 Q2 將推出新版硬體加密卡,將支援 PCIe Gen 2 x 8,可提供更高速之密碼服務,其中 ECDSA 簽章每秒可達 1 萬次。

WiSECURE 表示產品仍在測試階段,也正在致力讓產品的成本下降,要從企業端打入,再逐漸拓展到消費者等級的應用,替未來的區塊鏈普及應用打造好基礎建設。

區塊鏈合約存證系統:區塊科技(Block Chain Security Corp.)

區塊科技則專注在區塊鏈的應用面開發,由於團隊成員本身是數位鑑識背景,對於傳統的數位資料的採證有非常豐富的經驗,他們發現數據證據,像是合約文件、照片或是簽名以現有的保存方式,造假的機率太大,會降低訴訟時法官採信的機率,導致提出證據的一方需要付出大量的成本找第三方公證,因此目前大多的文件都還是以紙本形式留存,不僅管理與保存困難,建立的過程也需要花費多餘的人力與書信往來時間。

因此團隊針對傳統企業紙本合約的繁複過程提出數位化的解決方案,推出了 DG-Secure 合約存證系統,能將企業彼此往來的合約數位化,儲存在區塊鏈的分散式資料庫中,不但透過區塊鏈將 Hash 值與時間戳(Time Stamp)確保個別文件的不可竄改性與可追溯性,使用者只需要透過瀏覽器就能檢閱該份合約的建立過程,包含合約建立時間、每一位簽署者以及變動的過程,都會紀錄在鏈上。

另一方面,合約的保存上並不只是截圖或是不安全的加密簽章, DG-Secure 還額外加入了生物辨識,像是指紋認證與臉部辨識,來確保文件的可信度。

架構上 DG-Secure 採用合作夥伴 Chromaway 的底層架構,運行上以私鏈的形式進行,能提供高達 1,000 TPS 的處理性能,目前 DG-Secure 仍託管在 AWS 上運行,未來將與更多合作夥伴洽談,將節點托管至各方單位,盡可能降低竄改的可能性與提高可信度。

礙於區塊鏈的效率,合約的 Hash 值與文件內容是分開存放,前者留存在分散式資料中,後者則利用中心化的伺服器存放,並串接應用層的資料,未來只要出現爭議或是相關數位證據需求,使用者只需要透過瀏覽器就能檢閱資料庫中的文件內容,方便追溯與管理企業的合約文件內容。

企業級安全性的加密錢包供應商:博歐科技CYBAVO)

CYBAVO 將其品牌定位為銀行級的加密貨幣管理完整解決方案提供者,目前共推出三款產品,分別是人性化的密鑰管理系統 CYBAVO Vault、混合式安全錢包 CYBAVO Wallet SDK 以及節點服務 CYBAVO Ledger Service。

CYBAVO Vault 為專為企業設計的加密幣錢包系統,兼具安全性及便利性,在私鑰的保存管理上,CYBAVO 利用 SSS (Shamir’s Secret Sharing) 密碼學將私鑰分割成數份,再配合多層加密技術加密及儲存,因此當系統遭受惡意攻擊也不會影響到私鑰安全。使用者只需使用 CYBAVO Vault 的帳號密碼,就可以使用如同銀行帳戶般的便利操作介面,而進行交易時審核者只需要透過手機 App 就可以執行審核,方便公司高階主管在任何地方及時間都能快速的進行。

在帳號管理上也可以依公司職權給予各使用者不同的權限設定,依照交易金額大小決定分層審核流程,此外當系統出現異常的權限設定時,變更流程會暫停並由 CYBAVO 發送通知給所有使用者確認權限變更,在安全控管上的多方設想,可見 CYBAVO 對於資訊安全保護的用心,CYBAVO 自豪的說此產品是用軟體的解決方案進行如硬體錢包的安全交易。

CYBAVO Wallet SDK 使企業客戶可以客製化的打造專屬加密錢包系統,其一站式安全解決方案,如區塊鏈帳本維護、私鑰加密管理及安全認證機制都完整包含。為了解決用戶對於硬體錢包使用的學習障礙,CYBAVO 將其流程及介面優化,當用戶在使用其錢包時,不需要特別管理其私鑰,或是抄寫註記詞並收藏在安全的地方,當私鑰遺失時,只需回答預設問題或憑藉錢包憑證即可以驗證還原私鑰,免除因其個人用戶遺失私鑰,而找上企業客戶求助時無法幫助用戶復原私鑰時遇到的窘境。

CYBAVO Ledger Service 則是提供主流公鏈節點服務給企業客戶,讓企業客戶不需花費太多資源跟工程師人力去接入公鏈,以將更多資源投入在核心的產品開發,目前支援的公鏈有 BTC、ETH、LTC、XRP、EOS、TRX 等。

區塊鏈生態中的核心概念是「去中心化」,意思是私鑰交回使用者本身掌控,而不是由第三方代管,例如加密貨幣交易所或是雲端伺服器廠商 ── 使用者應該有權完全掌握自己的資料與隱私。未來隨著法規越趨嚴謹,例如歐洲率先公布的 GDPR 法案,都將進一步把數據控制權交還給使用者。


不想錯過區塊客即時新聞與精彩活動,請加 Line:

區塊客致力於發掘和整理各種與區塊鏈技術有關的內容,只要與區塊鏈或區塊客網站有關的合作和/或建議,我們都非常歡迎。請您發電郵至 [email protected] 與我們聯繫。

Avatar

保羅 Paul