2008年9月26日 星期五

非對稱密鑰(八)

今天,我沒有安排甚麼工作,可以說是忙裏偷閒罷!現在寫blog已成為我的一個主要娛樂了。在有興趣時,應做便去要做,可能再過幾天,我便沒有興趣再寫了。

但我又發覺,有些朋友是會花很多心力來看我的blog的,就以今天為例,文章貼出不久,便收到了一些批評和回應,在這裏我實在感謝,也是對我最好的支持。

批評是這樣的,在‘非對稱密鑰(六)’一文中,我寫了‘而有些服務專業人士的機構,便會請申請者自己提交一對匙。’有‘高人’指出,‘一對匙’有手文之誤,應為‘公開匙’。

受教了,確實如此,這是我的手文之誤,對不起。

但細想後,我又覺這不是常識,我應在這事上再多說一點。

對一般人來說,認證機構不是就應提供‘一條龍’服務,我證明了身份和付了服務費,她就給我證書,給我‘私人匙’嗎?

但問題便是既然是你的‘私人匙’那麼你信得過‘認證機構’嗎?

西方的政治哲學,正正就是建基於‘不信任’上。我們特別要小心有權力的東西。所以,我們絶不能信任政府,祗要有丁點異樣,也要假設政府在作惡!同樣,我們不應絶對信任‘認證機構’。我經常和客人說,你公司的商業秘密,我不該、不應更不想知道。若你要我知道,我是會額外收費的,因為,當我知道了,我便有正確處理和保密的責任。就算我信得過我自己,也信不過我自己的員工,於是,我便要製定相應的保密機制,這便要花時間和花錢,所以要額外收費!

同理,‘認證機構’亦不想處理你的‘私人匙’,提供最專業服務的,就祗會要求你提供‘公開匙’讓她加上電子簽署。但有讀者可能會不同意,因在他申請證書時,都是由‘認證機構’同時提供‘公開’和‘私人’匙的。那麼,便要看認證機構有多專業和其服務對像了。你叫一個普通市民,如何能知道怎樣生出這對匙呢?

作為一位電腦工作者,我有責任考慮到最微細的系統漏洞,對我來說,半點也不可以講運氣,你可以說我是悲觀的。但系統設計,就是一點也不可以靠運氣,我寧願相信,這個世界比我聰明的人多的是,祗要是我可以想出來的,就有千千萬萬人可以想得出來。在這千千萬萬的聰明人中,祗要有一兩個有興趣作攻擊,丁點的系統漏洞,也足以令系統崩潰!

業界普遍公認,最安全的密碼系統,就是這些甚麼都公開的‘開放系統’。它的安全來自全世界的一起攻擊,能否受得到長時間攻擊而不破的,便是安全性評估的一個重要指標。自以為是‘天下無敵’,自以為‘世上除了我,誰可想出這麼精妙的東西’,但很多時,都是一攻即破,實為非理性的‘自大’而已!

關乎安全性,一不可靠運氣,更不可自以為是,掩耳盜鈴!

沒有留言:

網誌存檔