01:10 中國密碼法是什麼?
02:03 什麼是密碼學?
03:45 為什麼中國要立《密碼法》?
05:18 中國密碼法的疑慮
06:25 中國密碼法對台灣人有什麼影響?
07:11 如何提升自己的密碼強度?
09:33 我們的觀點
10:48 提問
11:02 掰比
---【 影片口白逐字稿 】---
hiho~大家好,我是志祺!那今天,就讓圖文不符跟大家一起來聊聊「中國密碼法」吧!
-
大家還記得前陣子的波特王事件嗎?兩週前,撩妹網紅「波特王」因為在影片中稱呼蔡英文「總統」,導致他微博的帳號密碼,都被中國的合作廠商修改、沒收。當時台灣三位總統候選人,非常罕見的全部都立場一致的聲援波特王。
這幾天,又有新聞報導,中國政府新推出的《密碼法》,即將在幾天後的元旦開始實施。很多人認為,這個新聞的意思是「中國將會統一管理所有民眾的密碼」,有人甚至諷刺說「以後中國人不用怕忘記密碼了」。另外也有一些人開始擔心,自己的微信或支付寶帳密,會不會因此都被偷走,甚至是連在台灣的資料都被看光光?
所以今天,就讓我們帶大家一起來看看「中國密碼法」到底是什麼,又會對我們的生活產生什麼影響吧!
-
【中國密碼法是什麼?】
今年10月26日,中國官方通過了《中華人民共和國密碼法》,規定從2020年1月1日起、也就是4天後開始實施。根據第一條的內容,它的目的是為了「規範密碼應用和管理、保障網路與信息安全、促進密碼事業發展、維護國家安全和社會公共利益」。至於這邊說的「密碼」,到底是什麼呢?它的第二條有寫到「本法所稱的密碼,是指採用特定變換的方法,對信息等進行加密保護、安全認證的技術、產品和服務」。精準一點的解釋,這個「特定變換的方法、加密保護的技術」,指的就是所謂的「密碼學」。換句話說,這次《中國密碼法》所要管理的,其實是整個國家的「密碼學」以及相關產業
但,這個聽起來很神秘的「密碼學」,又是什麼東西呢?
【什麼是密碼學?】
大家有看過電影「模仿遊戲」嗎?他講的是二戰時期英國數學家「圖靈」的故事,當時他的任務,就是要破解德軍的密碼機器「Enigma」。而這些密碼機器在做的事情呢,就是要把德軍傳遞的訊息「加密」,因為只有要接收的對象知道如何解密,所以也能大大增加訊息的隱密程度。而這當中所利用的,就是「密碼學」的技術。這個加密的技術,就很像我們保險箱大鎖上面的機關設計一樣,而我們手中的這把鑰匙,就是我們可以拿來「解密」的「密碼」。當然,這個密碼學的概念,並不只是可以用來開一個「具體」的鎖而已。像我們有時候網路留言,講一些神奇的梗呢,某種程度上也是有「通關密碼」的概念。
比如說ㄅㄆㄇㄈ是一套只有台灣人懂的拼音系統,有時候打線上遊戲不小心被偷襲,有些人下意識可能就會說「ㄎㄅ」或「e04」。沒學過ㄅㄆㄇ的人,他大概就不會知道這是什麼意思,因為他可能連念都不會念。當我們把「靠杯」寫成「ㄎㄅ」、或是把「幹」寫成「e04」的時候,這就是一種「加密」;相反的,當左邊鄰居透過百度搜尋而終於理解「ㄎㄅ」和「e04」到底是什麼的時候,他就是在進行「解密」的動作。
這種ㄅㄆㄇ留言,可以說是一種最基礎的密碼學概念。當然,它實在太容易被破解了,所以基本上完全沒什麼安全性可言。真正會被運用在商業或各種網路資訊世界的密碼學系統,都會涉及到超多專業的數學或資訊科學知識。這個部分,我們今天也沒有要深入介紹,而是要繼續來談談大家最感興趣的問題:中國訂立這個《密碼法》,到底想要做什麼呢?
-
【為什麼中國要立《密碼法》?】
在回答這個問題之前,我們可以先看看這個世界上,由國家來管理「密碼學」的歷史。那這個部分呢,其實背景就是剛剛講到的「模仿遊戲」的二次世界大戰。戰後,很多政府都以「國安」為由,嚴格管控國家的密碼學技術,防止它被外流。不過,後來電腦跟網路越來越普及,密碼學發展快速,政府要完全管制這些東西就變得越來越困難,所以各國就逐漸放寬相關規定。但就算是今天的美國,他們還是有一些限制,避免關鍵技術輕易就出口到美國以外的國家。此外,國際上也有一個叫做「瓦聖納協定」的條約,用來規範跟「密碼學」技術相關的內容。至於我們台灣呢,目前雖然還沒有管理密碼學的專法,但在《國家情報工作法》的一個子法「政府機關密碼統合辦法」當中,也有完整制定很多跟「密碼學技術」相關的管理規範。至於這些規範的對象,主要也不是一般民眾,而是那些發展密碼系統的相關機構,要求他們的「加密或製鎖」技術,不能外流,而且還必須要達到認證的強度。就像剛剛「ㄅㄆㄇ注音符號」的那個密碼學,顯然就是不夠安全的加密技術,那它就不會通過認證。
好的,話說回來,我們認真看了「中國的密碼法」總共44條的內容之後呢,發現它跟其他國家一樣,選擇管制的主要目的,也是為了要保障國家的安全。除了讓整體的密碼強度可以提升之外,還會對竊取、侵入別人「密碼保障系統」的行為處罰。
-
【中國密碼法的疑慮】
從剛剛的討論看起來,中國的密碼法,好像也沒有大家想像的那麼壞吼?比如說他們透過政府法規,鼓勵各個商用密碼廠商研發更強的加密技術,確實能讓國家與全體民眾都因此受益。但相對來說,國家介入越多,不免俗地還是會有一些疑慮。雖然這個法條並沒有強制所有的商業密碼,都必須主動接受國家審核,但第26條有提到說:只要涉及國家安全、民生、社會公共利益的商用密碼產品,就應該接受檢查和認證,才能銷售出去。但這邊問題就出現了,到底什麼是「國家安全」或「公眾利益」?在這個法條當中,並沒有明確做出定義,所以它就有非常彈性的解釋空間,而且,就像你知道的,中共政府對於「國安」的敏感程度,往往會讓一般民眾自我審查。就像波特王事件,他只不過在台灣說聲總統而已,就讓中國廠商嚇得停止合作。因此有不少人就會認為,如果中共真的想,那他們要掌控全國的密碼學技術、拿到每一個民眾的私人密碼,其實都不是什麼困難的事情。
-
【中國密碼法對台灣人有什麼影響?】
剛剛說到的疑慮,多半是對中國民眾可能帶來的影響,那麼,它對我們台灣人確切的影響,又會是什麼呢?譬如說很多人用的微信、支付寶、淘寶,會不會有什麼改變?這個部分簡單來說呢,如果你有在用這些中國開發的app或平台,那你在他們上面傳送過的任何訊息、瀏覽、交易、金流紀錄,全部都是能被監控的。
但是你會被監控,其實跟密碼法,並沒有任何因果關係!因為早在有密碼法之前,他們就能監控你的隱私。所以呢,如果你是一個非常仰賴這些平台或app的人,還是要注意一下,盡量不要讓自己的重要資訊,透過這些管道流出。畢竟保障個人資安的這件事情呢,真的有可能比你想像中的,還要重要!
-
【如何提升自己的密碼強度?】
上禮拜我們的副頻道「七七日常」發布了一支我跟資訊戰專家「沈伯洋老師」聊天的影片,裡面沈老師提到一個重要的論點是說,面對讓人徬徨無力的資訊戰,我們每一個人能做的最實際的反制,就是好好保護自己的資訊安全,不要讓你的資訊隨便流出,因為一旦對方掌握越多台灣民眾的個資,他們就能更精準地把假資訊送到我們眼前。更詳細的討論,歡迎大家可以去七七日常找來看!那麼回到密碼這個話題,如果說「密碼法」是一個國家為了強化國安所訂定的規範,就一般民眾來說,或許我們沒能力自己開發強力的密碼系統,但我們還是可以提升自己私人密碼的強度,來保護自己的資訊安全。
這邊提供三個最簡單、很基本,卻也不是那麼容易做到的建議。
第一個建議,是不要設定太容易被破解的密碼,例如5566、mypassword這種的,就是很危險的密碼。比較理想的,是字元數多、有數字也有英文、最好還有區分大小寫。
第二個建議,是密碼裡面不要包含到自己的身分個資,比如姓名、住址、生日、電話、車牌、學校、身分證字號、學號等等。
第三個建議,是在不同地方都使用不同的密碼,而不是一組密碼打遍天下。像論壇、社交平台、通訊軟體、網路銀行、線上支付、個人信箱,最好都分別設定不同的密碼。
因為有不少的資安事件,都是來自於有某個地方的伺服器或資料庫先被破解,駭客撈出一堆帳號密碼,然後再拿這些密碼去各大網站登入。這時候如果你的帳密都一樣,就有可能一瀉千里。現在我們的手機或瀏覽器,常常都有提供一些基本的「密碼產生」以及「管理」功能;有些免費或付費的軟體服務,也可以專門用來產生亂數密碼,並幫忙保管這些密碼。
如果你覺得這些還是太麻煩,那最起碼最起碼,把常用信箱的密碼設複雜一點,而且不要跟其他地方一樣。因為只要駭客能夠進入你的電子信箱,他就能在其他大大小小的網站選擇「忘記密碼、重設密碼」,然後你所有平台上的密碼,就會在不知不覺中被他偷走。這時候,個資外洩還算小事,嚴重的話還有可能會被拿來當作傳送病毒、甚至是詐騙的工具。所以說,保護常用信箱的帳密安全,可說是最基本但也最重要的一件事情。
【我們的觀點】
好的,我們今天從密碼法講到密碼學,又從密碼學講到加強資安的技巧,相信大家可能也有點暈頭了吼~在這個過程中,不知道大家有沒有發現一個盲點?其實不管是波特王事件,還是更早之前發生過的種種案例,中共政府或底下聽命於他們的廠商,都可以不用經過使用者的同意,就禁止大家發言、甚至奪取使用者的個資和帳密。換句話說,如果中共政府想要掌控用戶的各種資料,其實真的不需要透過密碼法就能做到。
不過我們今天想告訴大家的是,或許這個密碼法,現階段並不會進一步衝擊到我們的個資或隱私,但如果我們想要確保自己隱私、或對抗資訊戰,建議還是拒絕使用中國的app或通訊軟體比較好。為了要加強統治的力道,中共政權一直以來都透過各種方式想掌握所有人的資訊,除了個資以外,也包含言論內容、行蹤、金流等等。就連跟密碼學相關的區塊鏈,也是他們努力想控制的目標。
做為一個市井小民,我們雖然能力有限,但至少還是能試著多保護自己的資訊安全,避免成為被人滲透或駭客攻擊的破口。說到這裡,大家不妨也趁這個機會,在新的一年重新檢視、修改一下自己的密碼吧!
-
最後想順便問問大家,你平常都怎麼管理自己的密碼呢?
A:一套密碼走天下,視情況改個大小寫或加上符號就好。
B:交給密碼管理的軟體!
C:我自己有一套記憶的方法!
D:其他
如果你還有什麼其他更厲害的防盜技巧,歡迎留言分享喔!
最後,如果喜歡影片,歡迎分享讓更多人知道「中國密碼法」到底是什麼,以及如何加強自己的密碼安全;
此外,也可以點擊這個地方,看看「七七日常訪談沈伯洋老師」,以及「區塊鏈原理」的影片!
那麼,今天的志祺七七就到這邊告一段落,我們明晚再見囉~掰比!
-
【 本集參考資料 】
→ 中國《密碼法》明年上路 網友:網路密碼忘了就問黨:http://bit.ly/2SqHELt
→ 「你的密碼國家幫你管」 中國元旦起《密碼法》上路:http://bit.ly/2tSeD14
→ 中國《密碼法》2020上路!網路密碼國家統一管理:http://bit.ly/3643cSg
→ 黨要你的資料不需密碼,中國密碼法新規是在管制加密技術:http://bit.ly/2Q0n2s1
→ 中华人民共和国密码法:http://bit.ly/368rWsB
→ 《中华人民共和国密码法》发布 这六个问题你需要知道:http://bit.ly/2EVv4vS
→ 如何看待《中华人民共和国密码法》的颁布,该法的颁布会对当前学术界和工业界产生什么样的影响?:http://bit.ly/2QozqAM
→ Export of cryptography from the United States(wiki):http://bit.ly/378vsmB
→ Wassenaar Arrangement:http://bit.ly/39dMGks
→ 國家情報工作法:http://bit.ly/34VtBQD
→ 政府機關密碼統合辦法:http://bit.ly/2SoGArk
→ 面對資訊戰,我們到底能怎麼做?資訊戰與陰謀論的差別?ft. 沈伯洋【 七七日常 】:http://bit.ly/2ESkUvR
→ 哪些密碼最容易被破解、遭駭竊取?安全機構公布十大「最不安全」密碼最新排名:http://bit.ly/2scf1aj
→ 【密碼管理】還在用這些英文名字當密碼嗎?:http://bit.ly/34T34DH
【 延伸閱讀 】
→ 【朱家安不要偷懶了】決鬥吧!密碼學家!從宮鬥戲到反極權:《碼書》書評:http://bit.ly/3643FUw
→ 密碼學(wiki):http://bit.ly/2ETUyK8
→ 解密恩尼格碼密碼機——《科學月刊》:http://bit.ly/352nKt3
→ 中國密碼法將上路 分析:為控制區塊鏈而部署:http://bit.ly/39dzCeK
→ 「不希望人民使用不能破解的密碼」中國密碼法 2020 上路,要求加密技術給政府審查:http://bit.ly/2QkaryD