數位認証技術對電子通訊有極高的承諾,但是此種承諾被建立信任感的複雜度所牽絆。其挑戰不是來自於認証中的資料或是公共金鑰加密方法的計算成本。其挑戰來自於和認証有關的政策和使軟體執行的任何必需的政策作為。
數位認証應用程式這種進行使用認証的作法導致使用者環境具有多重的身份,和數位認証所承諾改善的多重上線環境極為類似。很明顯地,利用先進的PKCS-12技術(www.Arsa.com/rsalabs/pubs/html/pkcs-12.html)多重認証可以因而實現,而不只是個期望。雖然我同意一個”個人”很少只擁有一個認証,但此技術至少朝著認証增生極小化的方向努力。這項技術需要了解認証的目的和相關使用的責任。X.509提供數種方法可以完成此作業,但它存在許多問題和處理方式需要藉著共同努力才能得以實現。
PKI(公共金鑰基本建設)已經引起討論至少12年了,但直到最近才有應用程式產品供應商和消費者開始正式地生產和使用它。對我的不安的直覺而言,認証的建構不只對末端消費者是一個未知數,同時對創造認証產品的應用程式開發者也是一樣。過去的一年中,我參加一系列的會議與PKI的用戶面對面溝通,在會議中我們發現不斷地重覆討論如何建立認証通路的問題。在最近,一位安全應用程式的產品經理堅決地表示因為沒有RFC來訂定通路的設立方法,他無在它的產品中提供這些功能。
很明顯地,因為它的重要性,這個觀念增加了某些助益。認証通路的建立是從你的認証至通訊連結另一端的個人(或系統)建立一連串信任的過程。沒有了通路的建立,我們不可能見到我們的認証環境從難以維護的網路瀏覽器的Trusted List進步至功能化的PKI。當某些數位認証的原始開發者被要求建立文件說明時,他們的反應不是”這是個簡單的圖形化理論─為什麼需要文件說明呢?” 就是”我們的工具程式可以解決這個問題”。簡單的圖形化理論?我上次什麼時候做過這些事?並且我所知道文件建立是幾十個工具程式中的兩個才可能讓廠商完成它,它並不會為任何人釐清程序。
為了協助顧客建立資訊安全計畫,您必須讓顧了解其風險等級。換句話說,你必須讓他們了解所必須保護的資產,同時使其了解一次成功地駭客攻擊所必須付出的代價,包含硬體和軟體成本在內。對於顧客資訊網路上的每項資產,亦必須有其各自不同的風險等級。這些風險等級可訂為低、中、高三級,且這些等級是依據資產可能被攻擊的程度而決定。因為這些資產位於網路上,所產生的價值會因其存取程度被放大。所以一般來說:
風險=資產價值*威脅*弱點
l 資產價值─資訊、應用程式與系統的重要程度
資策會數位內容作品 (2) 資策會電子商務作品 (1) 正平整合行銷譯稿作品 (1) 資誠會計師事務所譯稿作品 (5) 遠擎管理顧問公司作品 (5)
