※ 本文轉寄自 ptt.cc 更新時間: 2016-04-29 21:53:07
看板 Gossiping
作者 標題 [新聞] 準行政團隊Line國事作法急轉彎,準經長受
時間 Fri Apr 29 18:59:56 2016
準行政團隊Line國事作法急轉彎,準經長受命客製臺版即時通
Line到底安不安全?!其實,Line主要的對象是一般使用者,之前已經有推出一對一的加
密功能,但是,還沒有辦法提供Line群組加密功能。而Juiker揪科是以企業級通訊軟體角
度出發,整合AD提供聊天室權限控管
密功能,但是,還沒有辦法提供Line群組加密功能。而Juiker揪科是以企業級通訊軟體角
度出發,整合AD提供聊天室權限控管
iThome 文/黃彥棻 | 2016-04-29發表
距離520新舊政府交接剩下不到一個月的時間,準行政團隊為了加速內部溝通速度和品質
,準行政院發言人童振源對媒體表示,已經將行政團隊等32人設立一個Line溝通群組。不
過,政府高層利用Line做政務溝通引發各界對於資安的質疑,準行政院院長林全最後決定
,將改由工研院開發的即時通訊軟體揪科(Juiker),並由曾任工研院副院長的準經濟部
長李世光擔任窗口,協調內閣需要客製化即時通訊功能。
,準行政院發言人童振源對媒體表示,已經將行政團隊等32人設立一個Line溝通群組。不
過,政府高層利用Line做政務溝通引發各界對於資安的質疑,準行政院院長林全最後決定
,將改由工研院開發的即時通訊軟體揪科(Juiker),並由曾任工研院副院長的準經濟部
長李世光擔任窗口,協調內閣需要客製化即時通訊功能。
Line預設一對一對話功能加密,但群組對話還不行
Line在臺灣有極高的滲透率,也因此,不少準內閣成員常用Line作為彼此溝通工具。但是
,政府高層若使用Line來討論國家大事,討論過程是否夠安全,是否沒有機密外洩疑慮,
更顯得重要。
,政府高層若使用Line來討論國家大事,討論過程是否夠安全,是否沒有機密外洩疑慮,
更顯得重要。
由於Line是韓國公司NAVER百分之百的子公司,也就是日皮韓骨的即時通訊工具,目前在
日本、臺灣等地都有極高的滲透率。在2013年7月,曾經發生過日本的Line伺服器遭到不
明人士非法在伺服器中植入帳密竊取程式,有個資外洩風險,NAVER入口網站各項服務會
員個資,總計約169萬筆可能外流,但不含日本國內外Line用戶帳密與個資。當時,經過
調查,流出的個資包括帳號ID、電子郵件信箱、Hash加密的密碼與帳號暱稱,日本Line公
司也針對有個資外洩風險的客戶,寄發修改密碼的信件,要求儘速修改密碼,以免帳號遭
到第三者的濫用。
日本、臺灣等地都有極高的滲透率。在2013年7月,曾經發生過日本的Line伺服器遭到不
明人士非法在伺服器中植入帳密竊取程式,有個資外洩風險,NAVER入口網站各項服務會
員個資,總計約169萬筆可能外流,但不含日本國內外Line用戶帳密與個資。當時,經過
調查,流出的個資包括帳號ID、電子郵件信箱、Hash加密的密碼與帳號暱稱,日本Line公
司也針對有個資外洩風險的客戶,寄發修改密碼的信件,要求儘速修改密碼,以免帳號遭
到第三者的濫用。
而在2014年6月,便有日本媒體FACTA online報導指出,韓國政府的國家情報局(前KCIA
)會在訊息發送的過程中,攔截相關的訊息,不過,這樣的作法在韓國是合法的,但是日
本則覺得不可以坐視這樣的問題繼續發生。根據FACTA online追查,韓國國家情報院(前
KCIA)也曾利用此手法再將資料轉送至歐洲進行分析,日本Line帳號資訊也有可能因此洩
漏給中國騰訊。
)會在訊息發送的過程中,攔截相關的訊息,不過,這樣的作法在韓國是合法的,但是日
本則覺得不可以坐視這樣的問題繼續發生。根據FACTA online追查,韓國國家情報院(前
KCIA)也曾利用此手法再將資料轉送至歐洲進行分析,日本Line帳號資訊也有可能因此洩
漏給中國騰訊。
不過,Line社長森川亮則在部落格駁斥這樣的質疑,也透過技術人員在部落格回應,Line
相關的通訊傳輸都採用RSA 2048位元的加密方式,且包括在無線網路(Wi-Fi)、3G或LTE
等通訊環境中,資料也都加密處理。
相關的通訊傳輸都採用RSA 2048位元的加密方式,且包括在無線網路(Wi-Fi)、3G或LTE
等通訊環境中,資料也都加密處理。
而Line之前,也曾經推出包括隱藏交談、限時通訊、密碼鎖和4位數的安全PIN碼等功能,
但這些功能必須要另外啟動不同的交談功能介面,因此使用上,也較不普遍。直到2015年
10月的Line新版本中,預設開啟在一對一對話時提供進階加密功能,可以加密對話,再把
加密金鑰存放在使用者的裝置上。不過,Android手機預設開啟,在iOS手機上,對話雙方
則必須自行啟動Letter Sealing功能,才能做到雙方對話內容加密、傳輸加密。
但這些功能必須要另外啟動不同的交談功能介面,因此使用上,也較不普遍。直到2015年
10月的Line新版本中,預設開啟在一對一對話時提供進階加密功能,可以加密對話,再把
加密金鑰存放在使用者的裝置上。不過,Android手機預設開啟,在iOS手機上,對話雙方
則必須自行啟動Letter Sealing功能,才能做到雙方對話內容加密、傳輸加密。
據了解,在2015年底升級的Line版本中,已經預設開啟Letter Sealing功能,所有的一對
一對話功能,都已經可以做到自動加密,不過,群組對話時,目前無法做到端對端的加密
功能,還處於測試階段,需要一段時間才會推出。
一對話功能,都已經可以做到自動加密,不過,群組對話時,目前無法做到端對端的加密
功能,還處於測試階段,需要一段時間才會推出。
公務部門用Line溝通面臨的五大資安議題
雖然Line的App已有部分安全功能,但是對於公務部門使用而言,第一重要的就是通訊時
的安全性,除了早期以加密通訊安全為號召的Telegram,強調連業者都無法攔截已經加密
的對話資訊並造成轟動後,後來包括蘋果iMessage、WhatsApp甚至是近期的Viber等,都
陸續提供端對端的加密功能。至於Line的端對端加密功能只能做到一對一對話的加密,還
無法加密群組對話。
的安全性,除了早期以加密通訊安全為號召的Telegram,強調連業者都無法攔截已經加密
的對話資訊並造成轟動後,後來包括蘋果iMessage、WhatsApp甚至是近期的Viber等,都
陸續提供端對端的加密功能。至於Line的端對端加密功能只能做到一對一對話的加密,還
無法加密群組對話。
其次,也必須考量即時通訊軟體伺服器的位置。ForceShield技術長林育民表示,因為
Line伺服器都在海外,這也意味著臺灣政府沒有能力控管Line的伺服器,如果必須處理使
用者帳號被盜用,或者是其他終端設備出現異常狀況時,臺灣政府都沒有能力可以即時反
應。
用者帳號被盜用,或者是其他終端設備出現異常狀況時,臺灣政府都沒有能力可以即時反
應。
再者,使用者的資料和對話訊息都存放在業者在海外伺服器中,林育民也說,Line無法提
供相關的日誌(Log)檔案,一旦發生安全事件或者是資料外洩時,政府的安全部門很難
進行後續的調查與追蹤。
供相關的日誌(Log)檔案,一旦發生安全事件或者是資料外洩時,政府的安全部門很難
進行後續的調查與追蹤。
第四點,達友科技副總經理林皇興則指出,使用Line這類的通訊軟體還有一個致命隱憂,
那就是手機的安全性,像是開放平臺的Android手機或是越獄(Jail Break)後的蘋果手
機等,遇到手機簡訊或者是各種即時訊息點擊惡意網址時,更容易被植入惡意程式。資安
專家Lightwind Wong也說,手機遺失是最大的資安風險,現階段各家廠商的即時通訊App
,都還沒法做到手機一旦遺失,還能夠確保相關對話內容不被外洩。
那就是手機的安全性,像是開放平臺的Android手機或是越獄(Jail Break)後的蘋果手
機等,遇到手機簡訊或者是各種即時訊息點擊惡意網址時,更容易被植入惡意程式。資安
專家Lightwind Wong也說,手機遺失是最大的資安風險,現階段各家廠商的即時通訊App
,都還沒法做到手機一旦遺失,還能夠確保相關對話內容不被外洩。
最後,在資安領域耕耘超過20年的資安專家GasGas表示,缺乏資安意識和對於使用何種3C
工具缺乏完善的評估流程,其實才是這次外界對於準行政團隊,使用Line作為溝通工具的
最大批評。他指出,沒有一個軟體產品是百分之百安全的,但是,使用者是否具有這樣的
意識,是否有一套完整的評估流程,作為選定各種使用工具的參考依據,而不是只是憑習
慣或想當然爾做選擇,才是一個行政團隊該具有資安意識的評估流程。
工具缺乏完善的評估流程,其實才是這次外界對於準行政團隊,使用Line作為溝通工具的
最大批評。他指出,沒有一個軟體產品是百分之百安全的,但是,使用者是否具有這樣的
意識,是否有一套完整的評估流程,作為選定各種使用工具的參考依據,而不是只是憑習
慣或想當然爾做選擇,才是一個行政團隊該具有資安意識的評估流程。
林育民認為,如果臺灣政府要使用這類的即時通訊軟體,除了要確認有提供端對端加密功
能外,業者也必須要能提供日誌留存的機制,增加臺灣政府使用這類即時通訊軟體的安全
性。
能外,業者也必須要能提供日誌留存的機制,增加臺灣政府使用這類即時通訊軟體的安全
性。
新團隊改弦易轍,決定改用臺灣研發的揪科
在準行政團隊對外宣布採用Line作為溝通工具之際,各界對於資安的疑慮也傳到該團隊的
耳中,像是準科技政委吳政忠便率先開砲,傳達外界對於行政團隊採用Line的憂心,而準
經濟部長李世光則建議,可以採用由工研院研發的揪科(Juiker)通訊軟體作為Line的替
代方案。
耳中,像是準科技政委吳政忠便率先開砲,傳達外界對於行政團隊採用Line的憂心,而準
經濟部長李世光則建議,可以採用由工研院研發的揪科(Juiker)通訊軟體作為Line的替
代方案。
工研院研發揪科的團隊,先前也已經透過技轉方式,成為獨立公司源思科技,該公司總經
理黃肇嘉表示,準行政團隊已經要求該公司進行相關的報告,但目前的確還不清楚,行政
團隊對於即時通訊使用是否有特殊需求,必須等到見面報告後才知道。
理黃肇嘉表示,準行政團隊已經要求該公司進行相關的報告,但目前的確還不清楚,行政
團隊對於即時通訊使用是否有特殊需求,必須等到見面報告後才知道。
黃肇嘉表示,從2012年中旬就開始討論是否要自己研發這類即時通訊軟體,面對國外
WhatsApp或是Viber等即時通訊軟體的威脅,也觀察到這種App軟體將深刻影響到臺灣的軟
體產業。當時決定開始研發這類的即時通訊軟體時,他說:「為了要和其他競爭對手不一
樣,決定整合電信業者,衍生出語音OTT(Over The Top)的服務。」
體產業。當時決定開始研發這類的即時通訊軟體時,他說:「為了要和其他競爭對手不一
樣,決定整合電信業者,衍生出語音OTT(Over The Top)的服務。」
而揪科切入的角度也與一般強調使用者使用經驗的B2C有落差,他表示,目前B2B企業即時
通訊的作法個有不同,像是,思科是從網路的角度來看,微軟從系統的角度出發,Line從
手機、Skype從電腦的角度出發,而揪科則從資訊流的角度出發,並研發出聯邦雲的作法
,讓電腦訊號傳輸無國界,不過資料卻與訊號分離,可以落地、保留在各國。
通訊的作法個有不同,像是,思科是從網路的角度來看,微軟從系統的角度出發,Line從
手機、Skype從電腦的角度出發,而揪科則從資訊流的角度出發,並研發出聯邦雲的作法
,讓電腦訊號傳輸無國界,不過資料卻與訊號分離,可以落地、保留在各國。
工研院從2013年1月著手研發,同年11月就完成開發,為了安全,黃肇嘉表示,揪科採用
HTTPS/TLS1.0~1.2的加密演算法,而工研院本身也是揪科第一波的測試者。工研院有八千
名員工就有八千臺分機,相關的異動頻繁,紙本列印往往緩不濟急,因此,揪科便開發出
企業通訊錄的功能,所有的通訊方式都建置在雲端平臺上,有異動直接在雲端平臺做修正
即可,也有利於使用者查詢相關的聯絡人資訊,也可以直接傳訊或打電話。
HTTPS/TLS1.0~1.2的加密演算法,而工研院本身也是揪科第一波的測試者。工研院有八千
名員工就有八千臺分機,相關的異動頻繁,紙本列印往往緩不濟急,因此,揪科便開發出
企業通訊錄的功能,所有的通訊方式都建置在雲端平臺上,有異動直接在雲端平臺做修正
即可,也有利於使用者查詢相關的聯絡人資訊,也可以直接傳訊或打電話。
再者,黃肇嘉也指出,有了雲端的企業通訊錄後,為了確保隱私,在終端顯示時,會隱藏
手機號碼的部分數字,使用者可以直接撥打,卻無法看到完整的使用者資訊,不僅確定授
權者是有權可以撥打的對象,也保護相關資訊的安全,減少外洩的機會。
手機號碼的部分數字,使用者可以直接撥打,卻無法看到完整的使用者資訊,不僅確定授
權者是有權可以撥打的對象,也保護相關資訊的安全,減少外洩的機會。
第三點,黃肇嘉認為,揪科最大特色就是企業級的聊天室權限控管機制,不僅可以確定誰
有權限可以進入到某個聊天室,還可以知道哪些人已經讀取哪些資訊,但哪些人還沒讀取
,甚至於,也提供檔案的交換時,是否已經讀取列印等相關記錄。
有權限可以進入到某個聊天室,還可以知道哪些人已經讀取哪些資訊,但哪些人還沒讀取
,甚至於,也提供檔案的交換時,是否已經讀取列印等相關記錄。
他指出,因為一般的聊天室是對外公開的形式,但是企業的聊天,也會涉及許多機敏資料
的交換和討論,所以,不僅嚴格控管每個人的權限,記錄所有的聊天記錄,甚至於,當員
工已經離職後,可以直接從雲端平臺移除該名同仁的權限,系統也會主動把該名同仁從相
關的聊天室移除,進一步確保聊天平臺的安全性。
的交換和討論,所以,不僅嚴格控管每個人的權限,記錄所有的聊天記錄,甚至於,當員
工已經離職後,可以直接從雲端平臺移除該名同仁的權限,系統也會主動把該名同仁從相
關的聊天室移除,進一步確保聊天平臺的安全性。
第四點,為了降低Line常見的手機上不明惡意網址訊息帶來的風險,黃肇嘉表示,揪科和
趨勢科技合作,只要聊天室中出現各種網址連結,就可以先透過雲端防毒平臺進行網址的
掃描,進一步確保使用者的安全。
趨勢科技合作,只要聊天室中出現各種網址連結,就可以先透過雲端防毒平臺進行網址的
掃描,進一步確保使用者的安全。
最後,他指出,揪科也會提供許多API讓企業介接內部系統,也會提供一個雲端的控制平
臺,可與企業內部AD或者LDAP整合。
http://www.ithome.com.tw/news/105663
準行政團隊Line國事作法急轉彎,準經長受命客製臺版即時通 | iThome
Line到底安不安全?!其實,Line主要的對象是一般使用者,之前已經有推出一對一的加密功能,但是,還沒有辦法提供Line群組加密功能。而Juiker揪科是以企業級通訊軟體角度出發,整合AD提供聊天室權限控管 ...
Line到底安不安全?!其實,Line主要的對象是一般使用者,之前已經有推出一對一的加密功能,但是,還沒有辦法提供Line群組加密功能。而Juiker揪科是以企業級通訊軟體角度出發,整合AD提供聊天室權限控管 ...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.168.107.84
※ 文章代碼(AID): #1N8pwmu8 (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1461927600.A.E08.html
推 : 我記得國外不是有通訊軟體是主打加密的嗎?1F 04/29 19:02
推 : 國家行政團隊用line真的會笑死人。2F 04/29 19:02
→ : 這種東西一般人的確比較少用。基本上不是單純聊天的工具3F 04/29 19:02
→ : 除了企業以外,也不會有人把自己家的交換機拿去接這個。
→ : 除了企業以外,也不會有人把自己家的交換機拿去接這個。
噓 : Line 就是給韓國監控啊 台灣科技部可悲5F 04/29 19:03
推 : joke?6F 04/29 19:03
→ : 揪科不能用國外手機認證 給箭頭7F 04/29 19:03
推 : Line備份那些也很難用8F 04/29 19:04
推 : 設計就強調加密的: Telegram Messenger9F 04/29 19:05
推 : 阿,是telegram拉,還蠻有名的10F 04/29 19:05
推 : Whatsapp 就很好用啦。joke有中資背景嗎?11F 04/29 19:11
推 : 希拉蕊用私人郵件收信就被罵到臭頭還去國會聽證…12F 04/29 19:12
推 : 歐巴馬用藍莓手機 沒加密也去國會 後來為他打造加密款13F 04/29 19:15
推 : 真的機密還用Line傳 根本就是自己智障14F 04/29 19:20
推 : 用slack啦15F 04/29 19:29
推 : Line備份很爛16F 04/29 19:56
推 : 中國早就有了 叫做騰訊通 老闆就是騰訊的老闆17F 04/29 20:43
→ : 然後騰訊的背後是共產黨 哈
→ : 然後騰訊的背後是共產黨 哈
--
※ 看板: K_hot 文章推薦值: 0 目前人氣: 0 累積人氣: 44
回列表(←)
分享