COVER STORY
物聯網的缺陷暴露無遺
經典硬體和量子過程(quantum process)。
最近，物聯網的安全錯誤 主要集中在裝置產生其加密密 鑰的方式。大多數的網路安全 (cybersecurity)系統依賴於加密 密鑰的產生和管理，以便為其所需 保護的資料加密和解密。這些密鑰 的品質直接決定了系統的安全強 度。或者，換句話說，加密系統的 強大程度取決於您加密密鑰的「不 可預測性」(unpredictability)。
軟體演算法主要採用不可預 測的資料，並將其擴展為加密密 鑰。因為演算法是確定性的，所以 它們產生的密鑰品質完全取決於 其起始狀態的品質(和隱私)。因 此，它們通常與其他兩種方法之一 配對或僅用於非加密用例。
並非所有量子方法都是平等
對於物聯網裝置，加密密鑰 主要使用裝置中內建的低成本硬 體元件產生。安全研究人員發現， 其所產生的密鑰並不像他們要求 的那樣不可預測。事實上，在許 多情況下，密鑰完全沒有價值， 它只是由一串零組成。這正是所 謂「安全的噩夢，駭客的夢想。」 (A security nightmare, and a hacker’s dream)
相形之下，量子過程依賴於量 子行為來產生強大的加密密鑰。 他們利用「量子力學」(quantum mechanics)的真正不可預測性 來產生幾乎完全不可預測的加密
密鑰產生的量子方法聽起來 很棒，但直到最近卻還沒有被廣 泛地宣傳或利用。這是因為當談 到以前使用量子產生加密密鑰的 商業嘗試時，事實證明不可能將 量子提供的好處與環境中發生的 電雜訊和其他非量子效應有效地 隔離開來。因此，使用這些有缺陷 的方法產生的密鑰仍無法達到預 期的效果。
量子案例
這些方法由於無法排除非量 子效應，容易受到製造缺陷和惡 意或意外損壞的影響。因而也就 無法確定產生的密鑰是否不可預 測。使用者必須盲目地相信這些
在密鑰產生領域，目前使用 三種不同的方法:軟體演算法、
24 www.edntaiwan.com
經典的硬體方法涉及測量在 我們周遭世界的物理現象，以創建 加密密鑰。希望在於找到能夠產生 強大密鑰的不可預測資料——但 這不可能穩定地實現。我們所經 歷的古典世界以複雜但最終可預 測的方式在演變著，因此長久以 來總是依靠無知作為防禦。不僅 如此，我們無法驗證這種方法產 生的密鑰品質，因而也無法檢測系 統何時產生可預測的輸出。
的
密鑰，並加以保護使其免受對手或 駭客的攻擊——即使他們充份瞭 解系統也擁有無限的運算能力。
 量子技術可望產生強大的加密密鑰，破解物聯網的安全挑戰，保護數十億台裝置免於駭客威脅。
而即使是假定的隨機性也可 能不像想像的那樣不可預測，因 為它本質上是確定性的。而這也正 是量子力學得以大顯身手之處。相 較於經典物理學，量子力學本質上 正是非確定性的，這意味著即使擁 有無限的運算能力，也無法預測某 些量子過程的行為方式。這就是為 什麼密碼學必須轉向隨機性的量 子源之故——確保即使運算能力 呈指數成長，密鑰仍然不可預測。
此外，「隨機性」對於保護當 前的安全解決方案以及保護系統 免受未來量子攻擊的威脅至關重 要。這些攻擊可能進一步削弱亂數 產生的確定性方法，以及無法驗證 隨機且來自量子源的方法。