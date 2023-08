(台灣英文新聞 / 林靜怡 台北專訪報導)長期投入資訊安全領域,國立中山大學資訊工程學系特聘教授同時也是資訊安全研究(Information Security Research Center) 中心 主任范俊逸認為,台灣高教教師薪資待遇不優渥 , 降低資安人才走進校園、投入學術研究的意願;為了無縫接軌國際,我國需重新思考,如何從教育扎根理論與基礎,政府、產業和學術界應即早布局、打造後量子密碼生態圈,邁向資安大國。

1991年,范俊逸攻讀碩班時便一腳踏進資訊安全(Information Security)領域,至今已逾30年。當時以密碼學為主流研究,他本身則是投入研究對稱式加密(Symmetric Encryption),之後才接觸非對稱式加密(Asymmetric Encryption),亦就是從最基礎密碼學(Cryptography)到後量子密碼(Post- Q uantum C ryptography,PQC)。

范俊逸指出,這一條路走起來,其實滿孤獨的,一直到最近幾年,資安受到各界重視後,投入密碼研究的人開始變多了,資安的選擇也更多元了,所以有些人往網安、駭客攻防、影像安全等領域發展,最後只剩下少部分的人留在密碼學體系繼續做研究。

范俊逸笑稱,過去,密碼被稱作「藝術(Art)」,當有理論證明後才是「科學(Science)」或者是「工程(Engineering)」。他指出,在學術研究中得不斷透過理論去證明密碼的安全性。2012年,圖靈獎得主美國電腦科學家 Shafrira Goldwasser (1985年「零知識證明」(Zero Knowledge Proof)的共同發明者)成功把理論證明帶到密碼界裡。由於「密碼的安全」從正規分析、到理論證明需要投入不少時間,而這部分對研究生來說,是不容易的。

被問到如何定義「安全」二字,范俊逸強調,每個人對「安全」的 需求 不同,所以安全沒有共同的定義,就如同每個人對「健康」的定義一樣, 各有不同 。

多年來,范俊逸倡議「精準資安(Precision Cybersecurity)」,其要素包括需求、成本考量、效能的要求,還有環境、法規,所採用的技術,所 能 承受的風險,這些都要納入考量。他提醒,由於資安 機制運作 是耗能的,會額外產生碳足跡 。 在和廠商接洽時,他建議應在專業IT輔助之下,盤點內部軟硬體設施,找出自己有那些弱點,就可知道要 佈建 那些安全機制並對症下藥,不僅可以節省成本還可以結合環境永續,達到「低碳資安(Low Carbon Infosecurity )」。

觀察台灣的教育環境,在技術研究方面,范俊逸的感受是「此時此刻,大學的資安師資不足」。他說,或許有人會挑戰他的說法並認為教育部預計2021年至2024年間聘任80名資安師資,並加碼補助每名教師1年最高120萬元彈性薪資,以培育資安專業人才並維持教學品質,為何還存在師資不足的問題。他說明,有員額為第一條件,但並不代表有合格的師資可以聘用,雖然很感謝政府提供員額,但師資人才仍太少。

范俊逸說明這其中有三個原因,第一,國外留學的博士回國人數少,相對的,出國進修的人也少,加上國外就業環境不錯,而我國大學教授的薪資普遍不高,導致博士 畢業 生大多選擇留在當地就業。第二,產業界也在吸納人才,使得國外的博士有其他的就業機會,所以半導體大廠又或者是目前在大學任教的教授,有機會都會優先選擇到業界工作,歸根究柢,都是我國學術機構的薪資不夠優渥所致。第三,國內培育的博士少,除了少子化問題外,擁有工學碩士的人就可以輕易在職場上覓得好職位,因此沒有誘因繼續攻讀博士班。上述三個原因,連同整個資通訊 領域 都不容易 聘任 師資;此外,大學在聘任師資都有其標準,如有好的 論文 發表、實務經驗等,所以不會因資安多出員額而調整聘用標準。

范俊逸表示,師資不足可能影響人才培育,但台灣已經從機制面設立資安碩博士班與資安學程,也就是從制度上解決,從教育扎根,加上政府重視資安,帶動了產官學界對後量子密碼的關注,但仍欠缺師資、人才和指引。以中山大學為例,目前有 學士班 資通安全學程、資安碩博班,資安 研究 中心及 圖資處資安組 等,讓學生從教學、 研究及場域營運 ,透過三位一體,扎根理論、打好基礎、增加實務經驗。未來,若要深入研究還可攻讀博士班,畢業後就可到政府、法人、產業 界 就業。

在國際學術影響力的部分,范俊逸發現,近年來,台灣的資安發展都重在中下游的部分,忽視了學術研究(上游)的理論扎根,使得台灣和國際一些重要組織與學術單位逐漸拉開距離。他分享,當年求學時,他曾參加亞洲國際密碼學會議(Asiacrypt) 發表論文 , 此為當時台灣密碼學領域的 博士生 很 想參加的頂級會議,之後,受到環境的影響,大家開始忽視了這一塊。所幸,國家科學及技術委員會(National Science and Technology Council)規劃成立「 臺 灣資安科技研究中心(Taiwan Academic Cybersecurity Center, TACC)」將這部分引導回來,並以 投稿/發表優質論文於 頂級會議與 頂級 期刊為重要訴求,接軌最前端的學術研究,這樣才能發展出自己的主軸,屬於台灣的特色。

在產學合作的部分,范俊逸認為,不夠深化。主要是 大部分的業者或廠商 不太願意敞開胸懷 與學界 共同探討、深入更前端的議題,這是比較可惜的,只因產業覺得學界直接技轉給他們使用是最快的作法,但這樣的觀念需改變。主要是,學術界做出來的東西屬於PoC(Proof of Concept)「概念驗證」,當然有老師願意走到POV (Proof of Value, 價值證明機制),但這佔據了不少研究時間,這是不 恰當 的,應該將研究與商品化切開。

范俊逸建議,產業和學界應該共同探討一些前端的議題,就算會失敗也是一種經驗的累積,換句話說,就是學界要帶給產業一個遠見及概念,讓他能即早佈局,如前幾年有建議一些廠商要關注後量子密碼的事,但有些人覺得還太早,或不知道它的重要性。

台灣有諸多優勢吸引國外廠商的目光,范俊逸認為,我國身為半導體大國,可多加利用硬體優勢,結合資安的密碼機制,建立一個良性的循環、一個生態系統(Ecosystem),也就是以硬體帶頭帶動資安產業的成長,推動「 Infosecurity Native(資安原生)」,包括安全晶片、後量子密碼的硬體化,或是AI的安全等,透過強強聯手就有機會把台灣推向資安大國,目前只有美國和以色列可以說「他們是資安大國」。

范俊逸指出,台灣還有一個優勢,就是高價值數據,目前尚欠缺人才投入研究。而這些數據可分二部分,第一是駭客網攻 樣本資料 龐大,第二是健保資料庫的醫療數據。范俊逸提到,台灣是受到駭客攻擊密度最高的國家,在全世界排名第三。Check Point於今(2023)年1月發表的報告指出,去(2022)年,台灣每週各組織平均遭受網路攻擊次數高達3118次,比2021年增加10%,這些數據是具有研究價值。這些高價值數據,在運用之前,除了須合乎法規外,需注重保護隱私及不影響精準數據,畢竟大眾關注的還是它的安全性,就算數據是在密文(Ciphertext)的狀態下分享到公有雲(Public Cloud),但整個過程還是需設想周全。

對於台灣在 後 量子安全領域的建議有那些,范俊逸提醒,資安的基礎很重要,駭客最 難突破 的還是破密。所以我們應該拿他最 難突破 的這一塊,當作一個重要的題材,好好的深入研究,如加密技術的研發、加密各方面的應用及加密工具的多元設計,都是可提供大眾依其需求使用。另外則是參考歐美國家、日本、韓國、新加坡等國家在資安方面的指引,整合成一份合乎我國各產官學界的指引。

他表示,傳統密碼 學 裡面,在基礎密碼的技術之上,有很多加值的密碼技術有待後量子化,像屬性加密(Attribute- B ased E ncryption, ABE), 基於身份之加密 (Identity - Based Encryption, IBE),可搜尋式加密(Searchable E ncryption, SE) 。 在傳統密碼 技術中 有很多新的加值 型 加密法,帶來很多元的應用,這一塊 的後量子化 還不成熟,期待大家一起來耕耘。

范俊逸認為,目前台灣在後量子密碼是分進合擊,大家各做各的,政府對資安的重視,應思考並整合各項工作,從基礎、加值、應用與落地都需要投入人才,因為一個新的機制要鋪設到系統裡,要處理的事情很多,上中下游都需要人。加上,台灣在這段「遷移」過程中,可能還需5到10年的,不論是否晚其他國家幾年,仍應儘快跟上國際腳步。當然,若能組後量子國家隊,確實有機會統合所有的資源,完成這項偉大的事情。

最後,范俊逸建議,台灣規模不大,很難什麼都做,因此須先盤點國內的資源,鎖定我們的優勢,找出有前瞻性、能發展出的特色,且不可取代的主題,一、二個也沒關係但要長期深耕,加上理論與基礎的扎根,只要能在國際上發光發熱,就可以獨領風騷多年,例如硬體結合後量子密碼,並把創新的元素放進去,這個主軸一定要存在,因為我們是半導體大國,晶片是我們的優勢。