中山大學范俊逸建議:台灣規模不大,很難全面性什麼都做,因此須先盤點國內的資源,鎖定我們的優勢,找出有前瞻性、能發展出特色,且不可取代的主題,長期深耕。
量子安全遷移中心與台灣英文新聞合作,日前訪問國立中山大學資訊工程學系特聘教授同時也是資訊安全研究(Information Security Research Center)中心主任范俊逸關於台灣量子安全產學合作的挑戰及建議。
(台灣英文新聞 / 林靜怡 台北專訪報導)長期投入資訊安全領域,國立中山大學資訊工程學系特聘教授同時也是資訊安全研究(Information Security Research Center)中心主任范俊逸認為,台灣高教教師薪資待遇不優渥,降低資安人才走進校園、投入學術研究的意願;為了無縫接軌國際,我國需重新思考,如何從教育扎根理論與基礎,政府、產業和學術界應即早布局、打造後量子密碼生態圈,邁向資安大國。
1991 年,范俊逸攻讀碩班時便一腳踏進資訊安全(Information Security)領域,至今已逾30年。當時以密碼學為主流研究,他本身則是投入研究對稱式加密(Symmetric Encryption),之後才接觸非對稱式加密(Asymmetric Encryption),亦就是從最基礎密碼學(Cryptography)到後量子密碼(Post-Quantum Cryptography,PQC)。
范俊逸指出,這一條路走起來,其實滿孤獨的,一直到最近幾年,資安受到各界重視後,投入密碼研究的人開始變多了,資安的選擇也更多元了,所以有些人往網安、駭客攻防、影像安全等領域發展,最後只剩下少部分的人留在密碼學體系繼續做研究。
范俊逸笑稱,過去,密碼被稱作「藝術(Art)」,當有理論證明後才是「科學(Science)」或者是「工程(Engineering)」。他指出,在學術研究中得不斷透過理論去證明密碼的安全性。2012 年,圖靈獎得主美國電腦科學家 Shafrira Goldwasser (1985年「零知識證明」(Zero Knowledge Proof)的共同發明者)成功把理論證明帶到密碼界裡。由於「密碼的安全」從正規分析、到理論證明需要投入不少時間,而這部分對研究生來說,是不容易的。
被問到如何定義「安全」二字,范俊逸強調,每個人對「安全」的需求不同,所以安全沒有共同的定義,就如同每個人對「健康」的定義一樣,各有不同。
多年來,范俊逸倡議「精準資安(Precision Cybersecurity)」,其要素包括需求、成本考量、效能的要求,還有環境、法規,所採用的技術,所能承受的風險,這些都要納入考量。他提醒,由於資安機制運作是耗能的,會額外產生碳足跡。在和廠商接洽時,他建議應在專業IT輔助之下,盤點內部軟硬體設施,找出自己有那些弱點,就可知道要佈建那些安全機制並對症下藥,不僅可以節省成本還可以結合環境永續,達到「低碳資安(Low Carbon Infosecurity)」。
觀察台灣的教育環境,在技術研究方面,范俊逸的感受是「此時此刻,大學的資安師資不足」。他說,或許有人會挑戰他的說法並認為教育部預計2021年至2024年間聘任80名資安師資,並加碼補助每名教師1年最高 120 萬元彈性薪資,以培育資安專業人才並維持教學品質,為何還存在師資不足的問題。他說明,有員額為第一條件,但並不代表有合格的師資可以聘用,雖然很感謝政府提供員額,但師資人才仍太少。
范俊逸說明這其中有三個原因,第一,國外留學的博士回國人數少,相對的,出國進修的人也少,加上國外就業環境不錯,而我國大學教授的薪資普遍不高,導致博士畢業生大多選擇留在當地就業。第二,產業界也在吸納人才,使得國外的博士有其他的就業機會,所以半導體大廠又或者是目前在大學任教的教授,有機會都會優先選擇到業界工作,歸根究柢,都是我國學術機構的薪資不夠優渥所致。第三,國內培育的博士少,除了少子化問題外,擁有工學碩士的人就可以輕易在職場上覓得好職位,因此沒有誘因繼續攻讀博士班。上述三個原因,連同整個資通訊領域都不容易聘任師資;此外,大學在聘任師資都有其標準,如有好的論文發表、實務經驗等,所以不會因資安多出員額而調整聘用標準。
范俊逸表示,師資不足可能影響人才培育,但台灣已經從機制面設立資安碩博士班與資安學程,也就是從制度上解決,從教育扎根,加上政府重視資安,帶動了產官學界對後量子密碼的關注,但仍欠缺師資、人才和指引。以中山大學為例,目前有學士班資通安全學程、資安碩博班,資安研究中心及圖資處資安組等,讓學生從教學、研究及場域營運,透過三位一體,扎根理論、打好基礎、增加實務經驗。未來,若要深入研究還可攻讀博士班,畢業後就可到政府、法人、產業界就業。
在國際學術影響力的部分,范俊逸發現,近年來,台灣的資安發展都重在中下游的部分,忽視了學術研究(上游)的理論扎根,使得台灣和國際一些重要組織與學術單位逐漸拉開距離。他分享,當年求學時,他曾參加亞洲國際密碼學會議(Asiacrypt)發表論文,此為當時台灣密碼學領域的博士生很想參加的頂級會議,之後,受到環境的影響,大家開始忽視了這一塊。所幸,國家科學及技術委員會(National Science and Technology Council)規劃成立「臺灣資安科技研究中心(Taiwan Academic Cybersecurity Center, TACC)」將這部分引導回來,並以投稿/發表優質論文於頂級會議與頂級期刊為重要訴求,接軌最前端的學術研究,這樣才能發展出自己的主軸,屬於台灣的特色。
在產學合作的部分,范俊逸認為,不夠深化。主要是大部分的業者或廠商不太願意敞開胸懷與學界共同探討、深入更前端的議題,這是比較可惜的,只因產業覺得學界直接技轉給他們使用是最快的作法,但這樣的觀念需改變。主要是,學術界做出來的東西屬於 PoC(Proof of Concept)「概念驗證」,當然有老師願意走到 POV (Proof of Value, 價值證明機制),但這佔據了不少研究時間,這是不恰當的,應該將研究與商品化切開。
范俊逸建議,產業和學界應該共同探討一些前端的議題,就算會失敗也是一種經驗的累積,換句話說,就是學界要帶給產業一個遠見及概念,讓他能即早佈局,如前幾年有建議一些廠商要關注後量子密碼的事,但有些人覺得還太早,或不知道它的重要性。
台灣有諸多優勢吸引國外廠商的目光,范俊逸認為,我國身為半導體大國,可多加利用硬體優勢,結合資安的密碼機制,建立一個良性的循環、一個生態系統(Ecosystem),也就是以硬體帶頭帶動資安產業的成長,推動「Infosecurity Native(資安原生)」,包括安全晶片、後量子密碼的硬體化,或是 AI 的安全等,透過強強聯手就有機會把台灣推向資安大國,目前只有美國和以色列可以說「他們是資安大國」。
范俊逸指出,台灣還有一個優勢,就是高價值數據,目前尚欠缺人才投入研究。而這些數據可分二部分,第一是駭客網攻樣本資料龐大,第二是健保資料庫的醫療數據。范俊逸提到,台灣是受到駭客攻擊密度最高的國家,在全世界排名第三。Check Point 於今(2023)年 1 月發表的報告指出,去(2022)年,台灣每週各組織平均遭受網路攻擊次數高達 3118 次,比 2021 年增加 10 %,這些數據是具有研究價值。這些高價值數據,在運用之前,除了須合乎法規外,需注重保護隱私及不影響精準數據,畢竟大眾關注的還是它的安全性,就算數據是在密文(Ciphertext)的狀態下分享到公有雲(Public Cloud),但整個過程還是需設想周全。
對於台灣在後量子安全領域的建議有那些,范俊逸提醒,資安的基礎很重要,駭客最難突破的還是破密。所以我們應該拿他最難突破的這一塊,當作一個重要的題材,好好的深入研究,如加密技術的研發、加密各方面的應用及加密工具的多元設計,都是可提供大眾依其需求使用。另外則是參考歐美國家、日本、韓國、新加坡等國家在資安方面的指引,整合成一份合乎我國各產官學界的指引。
他表示,傳統密碼學裡面,在基礎密碼的技術之上,有很多加值的密碼技術有待後量子化,像屬性加密(Attribute-Based Encryption, ABE),基於身份之加密(Identity-Based Encryption, IBE),可搜尋式加密(Searchable Encryption, SE)。在傳統密碼技術中有很多新的加值型加密法,帶來很多元的應用,這一塊的後量子化還不成熟,期待大家一起來耕耘。
范俊逸認為,目前台灣在後量子密碼是分進合擊,大家各做各的,政府對資安的重視,應思考並整合各項工作,從基礎、加值、應用與落地都需要投入人才,因為一個新的機制要鋪設到系統裡,要處理的事情很多,上中下游都需要人。加上,台灣在這段「遷移」過程中,可能還需5 到 10 年的,不論是否晚其他國家幾年,仍應儘快跟上國際腳步。當然,若能組後量子國家隊,確實有機會統合所有的資源,完成這項偉大的事情。
最後,范俊逸建議,台灣規模不大,很難什麼都做,因此須先盤點國內的資源,鎖定我們的優勢,找出有前瞻性、能發展出的特色,且不可取代的主題,一、二個也沒關係但要長期深耕,加上理論與基礎的扎根,只要能在國際上發光發熱,就可以獨領風騷多年,例如硬體結合後量子密碼,並把創新的元素放進去,這個主軸一定要存在,因為我們是半導體大國,晶片是我們的優勢。
Comments