林岳瑾/行銷總監

企業及政府部門的繁文縟節 (red tape)，多半是為了解決信任 (trust) 及究責 (accountability) 的問題 [1]，為了確認身分，使用印章、簽名，意外或違約事件發生時，有對象得以歸屬責任。網路的世界亦是如此，使用帳號、密碼、簡訊通知等，避免身分偽造 (impersonation) 等惡意行為。從另一個面向來看，如果每個人都能被信任，都勇於承擔責任，繁文縟節也許是多餘，這些行政程序的開銷也能省下，投資在其他領域。然而，烏托邦的時代還沒來臨，依舊需要程序及法規來防止惡意行為，且網路世界因可匿名，多數惡意行為難以追蹤 [2]，信任問題更加棘手。因此，信任及歸責機制有存在的必要性，問題在於如何做到最大效益，用有限的資源，達成最佳的風險管理。

昨日資安無法駕馭明日科技

科技應用求新求變，一有商機便進入市場角逐市占率及知名度。反觀資安，因其無法讓人在短時間看見利益，在市場上總是慢半拍，等到資安漏洞被發現，或是駭客攻擊後，才開始被重視。然而，當科技應用不斷突破時，資安技術也持續發展；資安技術有所創新時，科技應用才得以安全落地，兩者無法脫離。所以明日的科技無法搭配昨日的資安，昨日的科技亦無法創造明日的資安。

公鑰密碼學 (Public Key Cryptography) 新應用 – FIDO 無密碼登入 

帳號密碼成為權限管理的信任來源行之有年，但網路世界仍苦於釣魚網站、個資洩漏及身分假冒的問題，加上雲端服務發達，各種會員制的網站如雨後春筍，使用者需要管理的帳號密碼少則數十個，多則上百個。為了解決相關問題，USB型態的認證載具，近年因 FIDO Alliance 的推廣成為當紅炸子雞 [3]，導入公鑰密碼學 (Public Key Cryptography) 強化或取代過去的帳號密碼認證方式，降低釣魚網站使用帳號密碼冒充身分的可能性。因信任的來源 (root of trust) 為硬體載具內的私鑰 (private key)，絕不會傳輸至外部環境，可抵擋各形式的身分冒充和資料竊取。雖然該技術十幾年前便存在，但因 FIDO Alliance 近年努力推動各平台導入標準，直到現在才漸漸普及。

匯智安全 AuthTronTM 讓企業無痛 fido (Latin: trust)

匯智安全科技的 AuthTronTM 為 FIDO U2F （二次驗證）及 CTAP2（FIDO2 無密碼認證）的 USB 認證載具，除了能實現零信任安全策略的身分認證，確認信任 (trust) 來源外，還能搭配使用情境，疊加數位簽章協助企業簡化歸責 (accountability) 流程。尤其軟體協作過程需驗證程式碼來源及確認完整性，匯智安全可將複雜的紙本作業及品管流程數位化，同時實現更高的安全性。

匯智安全科技今年正式加入 FIDO Alliance 並取得 U2F 及 FIDO2 認證，除了FIDO2標準，亦協助企業依照應用情境客製化 USB 載具的密碼功能，以滿足資料加密傳輸及儲存、區塊鏈數位簽章應用、程式碼簽署等功能。

[1] Bozeman, Barry & Bretschneider, Herbert & Kaufman, Gordon & Kingsley, Steven & Maynard-Moody, Sanjay & Pandey, Hal & Rainey, Patrick & Scott, Dwight. (1993). A Theory Of Government ""Red Tape"". Journal of Public Administration Research and Theory. 30993. 10.1093/oxfordjournals.jpart.a037171.

[2] Ya-Ching, L. (2006). Internet and anonymity. Society, 43(4), 5-7. doi:http://dx.doi.org/10.1007/BF02687528

[3] Lang, J., Czeskis, A., Balfanz, D., Schilder, M., & Srinivas, S. (2016, February). Security keys: Practical cryptographic second factors for the modern web. In International Conference on Financial Cryptography and Data Security (pp. 422-440). Springer, Berlin, Heidelberg.