隨著數位資訊大量使用於日常生活中,常見的數位資料如Office文件檔案、Email、數位相片、影片檔案以及各種數位形式儲存的資料等等,檔案內容可能包含公司行號相關商業機密文件、個人相關隱私等不應公開給其他非相關人士之資料。而網際網路便利了資訊環境中的相互交流,使用者透過網際網路的連接,即可將資訊交換、檔案傳輸。
資料交換的傳輸過程中,除了某些使用安全通道的方式外,幾乎都是以明文的方式直接傳送,也就是說若有人執行網路傳輸封包的攔截,即可取得相關的資料內容。另外,由於近年來大量出現的木馬程式,會在使用者下載資料與程式的過程潛入使用者的電腦系統,這類程式多半進行竊取使用者用於登入其他系統的帳號密碼以及木馬本身設定要找尋的檔案,進而將相關的資料傳送給木馬程式散佈者。
單純傳輸通道加密僅能保護資料在傳輸過程中不被竊取,並無法保證能夠取得資料的接收方是否為傳送者設定的對象。因此,對於資料本身的加密,可以協定以密碼機制、PKI機制或其他適合的資訊加密機制,進行傳送與接收者之間的確認。資料檔案若以加密形式儲存於磁碟上,不僅可以防止非擁有者或是非授權者直接開啟,萬一使用者不小心遭木馬植入,木馬傳回的資料也較不容易直接取得內容。
回顧2007年重大資安事件,與民眾切身相關案例中最顯著的,就屬英國政府於年底公開承認,稅務海關總署的職員沒有按照正規流程以掛號將資料寄給稽核單位,兩張儲存2,500萬人資料的光碟在快遞寄送過程中遺失。光碟內容為請領兒童福利補助民眾的資料,包含個人基本資料、國家保險號碼、銀行帳號、貸款相關資料等等,保護措施僅僅是簡單的密碼。如此重要的資料遺失,後果難以估計,倘若在寄送前便以安全的加解密機制保護,就算如此重大疏漏,亦可以讓傷害降低許多。
萬無一失的資安金鑰
資通電腦針對檔案的資料安全設計了『ARES uPKI KEY 檔案加解密軟體』,讓使用者可以將檔案以加密的形式放置於儲存媒體上,並在需要開啟檔案前再進行解密。以確保非檔案的加密者或者非授權者取得檔案時,無法直接開啟。
ARES uPKI KEY 檔案保全軟體共分為「體驗版」、「專業版」、「企業版」三個版本,各版本係主要以支援的金鑰類別為區別。
- 體驗版:支援RSA PKCS#5密碼加密模式。
- 專業版:除體驗版功能,亦支援RSA X.509憑證加密、RSA PKCS#11規格智慧卡(Smart Card)加解密、PFX(RSA PKCS#12)檔案加解密、支援操作Microsoft CAPI Store加解密模式。
- 企業版:除專業版功能,亦支援Microsoft AD取得授權使用金鑰模式。
ARES uPKI KEY使用RSA PKCS#7 Enveloped-Data標準加密檔案格式,配合ASN.1方式編碼。密碼加解密模式搭配Triple DES CBC加解密演算機制,智慧卡與PFX檔案加解密模式搭配AES 128 bits CBC加解密演算機制,其他亦支援各種加解密演算法於進階模式設定,提供不同需求之用途。
The pursuit of "perfect security" is a waste of time and resources. We need to protect the king instead of the castle. Information is king and it likes to move around.
因此,對於資料本身的保護是優於對於系統的保護,但是在資料安全與使用者便利之間仍是無法避免的取捨。
