Re: [新聞] 政府把信箱交給Gmail 專家警告:嚴重影響

看板Soft_Job作者 (ggg)時間10年前 (2014/06/17 22:34), 10年前編輯推噓14(14079)
留言93則, 9人參與, 最新討論串2/3 (看更多)
※ 引述《ggg12345 (ggg)》之銘言: : 標題: [新聞] 政府把信箱交給Gmail 專家警告:嚴重影響 .... : 環署率先使用 科技部研擬改用 : 環保署原電子作業系統,由署內的一台伺服器提供服務,另一台設置於中華電信的台 : 中文心機房做備援,但去年十月四日以限制性招標「電子郵件、共用行事曆及網路磁 : 碟整合服務」服務專案工作計畫,預算金額三百四十八萬元,十月十八日開標,由 : Google合作的神通資訊以二百七十八萬元得標,提供一千五百個帳號,每人30GB雲端 : 空間,另有建置費五十三萬元,等於一個帳號一年一千五百元服務費。 這裡已經有一個可供參考的服務價碼出來, 電子郵件、共用行事曆及網路磁碟整合服務, 每一個帳號一年一千五百元服務費. 假如找 10個像環保署一樣規模的政府單位出來, 那就是 15000 個帳號, 相當於 一家私立大學的服務規模, 每年的營業收入就是 2250萬. 這裡的開辦成本是可以向雲端服務公司租用設備, 也可以自備, 最多的就是 disk 以現在備用的 USB 1.5TB 約 3000元來估, 投入 135 萬就能買足整個存量. 假設 E-mail 先租用 Google 的, 拿1200萬當人事總費用, 聘能人來幹應有吸引力. .... : 長榮大學數位創作學程系主任吳作樂更明白表示:「美方不可信!」去年,前美國國 : 安局外聘雇員史諾登曾揭露,美國政府有計畫地透過科技網路公司取得情報,若政府 : 機關透過Gmail進行公務郵件傳遞,國安恐有外洩疑慮。 .... 這個事的技術障礙與關鍵就是防每個帳號內的資訊洩密. 普通來往是沒加密與ID認證的 Gmail. 機關內部來往送出信件是 private key 加密 的. 所有信件與檔案對雲端的儲存也是加密送出的. 收信看來源由認證伺服器取得發文者的 public key 解密. 從雲端取文件當然就是要自動解密. 所有欠缺的, 就是一個 認證與 key server及自動做加解密的使用者界面. 這些都有半現成的軟體可用可參考. 對外發送與儲存均做加密傳送儲存, 資安問題就迎刃而解. 明碼信件來自google 當然就不應該再加密存回google, 此理淺顯. : : 張善政否認推銷Google : 張善政否認因他出身Google、所以推銷Google的傳言,他說,科技部組織改造後,必 : 須與外部科學園區郵件整併以節省經費與人力,預估可省下超過兩成的經費。Gmail是 : 評估選項之一,微軟的Office365也是考量之一。為消弭國安疑慮,會等看到Google對 : 郵件的資安管理與制度提出經國際認證的規範再說。台灣Google在截稿前對此事沒有 : 回應。國發會表示,沒有接到來自科技部的說明或遊說,至於各部會的電子信箱使用 : 誰家服務,由各部會決定。 .... : → robler:不要轉無關的文章來好嗎 06/17 15:59 : → robler:到處轉新聞洗文章數.. 06/17 15:59 : → chikasa:Gmail是不是有企業用戶的規格?? 06/17 21:07 ============ 若只想替人寫code, 上面的敘述仍然是相關重點. 若想年輕創業, 借力使力, 站在巨人肩膀成長, 那這則新聞還是慢慢細嚼. 熱鬧與門道就看怎麼想怎麼望. 這種小招式需要國際認證的規範嗎?
06/17 23:39, , 1F
照第一段邏輯全台灣大學都整合起來叫台大就好了 不懂裝懂
06/17 23:39, 1F
06/17 23:57, , 2F
private key加密?那每個人都可以解啦XD 別亂蓋呀 老兄
06/17 23:57, 2F
06/18 00:00, , 3F
啊?private key加密有問題?
06/18 00:00, 3F
06/18 00:06, , 4F
有問題
06/18 00:06, 4F
06/18 00:09, , 5F
PGP 就好了.....
06/18 00:09, 5F
06/18 00:10, , 6F
將 gmail 做 public network , 所有 text 用 PGP 這樣的
06/18 00:10, 6F
06/18 00:10, , 7F
技術加密, 即使可以看到信箱內容, 但是還是要再花一段時
06/18 00:10, 7F
06/18 00:10, , 8F
破解
06/18 00:10, 8F
06/18 00:11, , 9F
不過說不定老美有 RSA/AES 的後門, 那就有加密跟沒加密是
06/18 00:11, 9F
06/18 00:11, , 10F
一樣的, 不過如果都這樣了, 放那邊有差嗎 :-/
06/18 00:11, 10F
06/18 00:26, , 11F
public用來加密 private是用來解密的啦
06/18 00:26, 11F
指定特定對象, 就用他的 public key 加密送給他, 上面說法完全正確. 機關行號很多信件是限內部公告信, 原始作者用 "官式"private key 簽署加密送出, 內部人員從特定認證server取得 發信者"當時的官式" public key 解出, 這也能符 合政府合法監聽的要求. 但這只是簡單隔離外部通信通道(Gmail)的簡單想法. 從各位的回應, 也可證台灣資安能力確實不差. 想開創新事業的, 那能等"國際規範"出來? 飯早就被搶跑啦!
06/18 01:44, , 12F
老師的文感覺完全不知道電子公文在作什麼...
06/18 01:44, 12F
總不會政府電子公文全要委託給 Google 吧? 每個單位公文內規可會整死人. E-Mail 只是常被拿來代替一些瑣碎的文件傳送, 送考題, 審查計劃文件, 不要被截 走公布在網上就好. 真正國防部要用的才不會用Gmail, 公司或機關內部想用便宜午 餐, 就掌握 認證key server就好. 關鍵點應該在 mail agent 稍改進就成. ※ 編輯: ggg12345 (114.37.79.153), 06/18/2014 02:40:55
06/18 07:20, , 13F
@rodion:http://tinyurl.com/kq2368h 下載下來自已看.
06/18 07:20, 13F
06/18 07:20, , 14F
page 10,若以其中一把金鑰加密,就只能使用另一把解密。
06/18 07:20, 14F
06/18 08:48, , 15F
樓上要不要先把自己貼的講義看懂?
06/18 08:48, 15F
06/18 08:50, , 16F
老師的話,先不要講你知不知道政府內部電子作業的流程
06/18 08:50, 16F
06/18 08:50, , 17F
光談郵件加密,前面人講的PGP好像就已經出現超過20年
06/18 08:50, 17F
06/18 09:21, , 18F
原po是老師!? 那我先說抱歉,我一開是以酸民看戲心態推文。
06/18 09:21, 18F
06/18 09:29, , 19F
現在認真討論,私錀我學到的是用來簽章(sign),
06/18 09:29, 19F
06/18 09:31, , 20F
不論中文或英文,應該也沒把私錀簽章解釋=加密吧?
06/18 09:31, 20F
06/18 09:32, , 21F
再者,用這方法簡單隔離外部通信通道,那安全性是建立在外部
06/18 09:32, 21F
06/18 09:33, , 22F
無法從KDC server取得公鑰的基礎下。 這是實務上的用法?
06/18 09:33, 22F
06/18 09:46, , 23F
上面我打錯不是KDC server,是您說的"特定認證server"
06/18 09:46, 23F
私鑰加密完就再用指定接收對象的公鑰加密再送出,收送雙方就被特別指定了. 只是這時雙方要依賴共同信任的KDC server. PGP是找任一個可信任的前輩第三方作保. ※ 編輯: ggg12345 (114.37.79.153), 06/18/2014 10:55:17
06/18 11:25, , 24F
..審查文件,考題那種才不會用mail傳送好嗎
06/18 11:25, 24F
06/18 11:26, , 25F
電子簽核和公文都是會有獨立的系統
06/18 11:26, 25F
06/18 11:29, , 26F
要外帶的檔案嚴謹是public加密 外帶後要private解密
06/18 11:29, 26F
06/18 12:07, , 27F
請先分清楚 asymmetric data encryption 和 digital signat
06/18 12:07, 27F
06/18 12:07, , 28F
ure 的差異吧
06/18 12:07, 28F
06/18 13:26, , 29F
私鑰簽章+對方的公鑰加密是正確的做法,您原文只寫私鑰加密.
06/18 13:26, 29F
06/18 13:54, , 30F
@luciferii,被打回來囉,等你實作了一個SSH的後再來吐吧.
06/18 13:54, 30F
06/18 20:30, , 31F
你說被什麼東西打回來 ?
06/18 20:30, 31F
06/18 23:55, , 32F
哦,看不懂哦. 要我先看懂哪篇講義哦. 然後講一串有講跟
06/18 23:55, 32F
06/18 23:56, , 33F
沒講一樣的,什麼PGP出現超過20年的.
06/18 23:56, 33F
06/18 23:59, , 34F
所以:若以其中一把金鑰加密,就只能使用另一把解密。
06/18 23:59, 34F
06/19 00:00, , 35F
不知錯在錯在何呢? luciferii先生?
06/19 00:00, 35F
06/19 01:38, , 36F
以思科的系統為例,server給client資料會經過兩個程序1.clie
06/19 01:38, 36F
06/19 01:38, , 37F
nt公鑰加密2.server私鑰簽章. 私鑰是沒辦法用來"加密"的.
06/19 01:38, 37F
06/19 06:59, , 38F
06/19 06:59, 38F
06/19 08:37, , 40F
Lordaeron大,您貼的第一個連結問的人跟你一樣,問私鑰加密
06/19 08:37, 40F
06/19 08:38, , 41F
we say sign with the private key and verify with ......
06/19 08:38, 41F
06/19 08:39, , 42F
最佳解也回答了,用私鑰對明文進行的動作叫"簽章",
06/19 08:39, 42F
06/19 08:40, , 43F
私鑰"加密",那有什麼安全性可言?
06/19 08:40, 43F
06/19 10:33, , 44F
自己拼命貼連結然後都不想辦法先去看懂,這是怎麼回事XD
06/19 10:33, 44F
06/19 11:07, , 45F
@karose,"私鑰加密完就再用指定接收對象的公鑰加密"
06/19 11:07, 45F
06/19 11:07, , 46F
這樣有沒有安全性可言?
06/19 11:07, 46F
06/19 11:09, , 47F
@luciferii,還在轉呢,私鑰加密,公鑰可以解, 錯在哪?
06/19 11:09, 47F
06/19 11:11, , 48F
@karose,你要叫哪叫簽章,我也沒意見,但就行為來說,
06/19 11:11, 48F
06/19 11:11, , 49F
你就是用私鑰在加密.
06/19 11:11, 49F
06/19 12:15, , 50F
你要怎麼亂搞自己一套加密機制你的喜好,別交給客戶就好
06/19 12:15, 50F
06/19 12:18, , 51F
另外簽章不一定要用到加密,拜託讀一下自己貼的東西
06/19 12:18, 51F
06/19 12:19, , 52F
裏面英文生字不多,真的,查字典讀完很快的
06/19 12:19, 52F
06/19 13:18, , 53F
@luciferii,私鑰加密,公鑰可以解, 錯在哪? 先回吧.
06/19 13:18, 53F
06/19 13:18, , 54F
講到英文,裏面還沒生字呢.不知你有沒看懂呢.
06/19 13:18, 54F
06/19 13:19, , 55F
簽章不用"加密",還想請教要怎麼做呢.
06/19 13:19, 55F
06/19 13:20, , 56F
致於哪些老說私鑰是沒辦法用來"加密"的? 哪請問你的簽章
06/19 13:20, 56F
06/19 13:20, , 57F
是做哪些動作?
06/19 13:20, 57F
06/19 16:13, , 58F
老師明明在談郵件防洩,私鑰就是拿來解密用的,簽章時
06/19 16:13, 58F
06/19 16:14, , 59F
為什麼要把加密和簽章當成兩件事,就是私鑰在這裏並沒
06/19 16:14, 59F
06/19 16:15, , 60F
有保密的用途,而實作時常常只簽digest不會簽全文
06/19 16:15, 60F
06/19 16:16, , 61F
g老師原文說信件送出用私鑰加密再由收件者用公鑰解密
06/19 16:16, 61F
06/19 16:17, , 62F
就是大外行被釘到滿頭包了,你還要硬凹貼連結同流合污
06/19 16:17, 62F
06/19 16:20, , 63F
而且20年前私人機構就普遍有在用的PGP甚至根本就不是用
06/19 16:20, 63F
06/19 16:21, , 64F
公鑰私鑰本身在加解密信件,政府一些單位也用好久PGP了
06/19 16:21, 64F
06/19 16:22, , 65F
衝動推文推錯就摸摸鼻子安靜就好,一直要人打臉很不好看
06/19 16:22, 65F
06/19 16:37, , 66F
真的很不好看,什麼是簽章? 懂嗎? 一直要人打臉很不好看.
06/19 16:37, 66F
06/19 16:38, , 67F
記得你還未回:私鑰加密,公鑰可以解, 錯在哪?
06/19 16:38, 67F
06/19 16:39, , 68F
別再轉了哦,我問了三次了, 快回吧.打臉呢.
06/19 16:39, 68F
06/19 16:39, , 69F
英文呢.
06/19 16:39, 69F
06/19 16:57, , 70F
PGP,1991年出品,1993年還被美國盯上了軍備出口,沒想到
06/19 16:57, 70F
06/19 16:58, , 71F
1994年就很多企業在用了.還頂神的.
06/19 16:58, 71F
06/19 17:45, , 72F
一般有資安概念討論應該是1.公鑰加密,私鑰解密 2.私鑰
06/19 17:45, 72F
06/19 17:45, , 73F
簽章,公鑰驗證
06/19 17:45, 73F
06/19 17:47, , 74F
怎麼會有私鑰加密 公鑰解密的說法出現?
06/19 17:47, 74F
luciferii, Lordaeron 兩位大大認真討論實在是好事.兩位都有對的地方. 把很長信件用hash MD5 做出短摘要(不足要補字), 再用私鑰加密就得出簽章, 把原信連同簽章一併用接收者的公鑰加密送給收方, 收方可用自己的私鑰解出 合併的信, 再用送方公鑰解出簽章的摘要, 對解出的原信做 hash MD5 摘要比 對就能確認是否發信者親自發出(只有他知自己的私鑰)的信. 這是PGP, 但PGP 對使用者的公鑰認證是透過從源頭發起人相互認識開始的互信傳遞下來的個別 信任. CA認證就是最老式的戶政機關印鑑證明(簽章). 那是個權威式的老大, 不信也 得信, 有法律跟軍警保障, 但網路CA是否有立法? 那是涉及人二情資. 原始的 PGP是不用CA這套身份認證的. 如果把原信全都用送信方私鑰加密, 再用收信者公鑰加密送出, 那就是加密兩 次, 收方把送方私鑰加密文跟用送方公鑰解開的明文收集一再比對, 有了明密 對照表與公鑰就可"快速"解出送方的私鑰, 這就是私鑰是很寶貝的不要輕易使 用的傳統"密鑰"習慣. PGP用摘要可免兩次加密. 非對稱金鑰一造就是成對, 有長有短那個當公鑰? 因為公鑰給大家看大家用, 當然是公開爛的留下寶貝, 寶貝當然是很長, 用窮舉法不讓破解的很快矇到. 所以兩者是被差別對待的. 國安部門能對通信不做"合法監聽"嗎? 至少, 中華民國在台灣從來就"沒有不做". 現在的 E-mail 是不細察發送方的, "大部指示"是最喜歡發通告的. 要發送方 出示身份可從 local key server(local CA)查出公鑰解密是有防亂發廣告之用. 到處防, 處處漏, 甚麼也造不出來, 背書上網抄, 知易行難, 那來資訊大國?!
06/19 18:02, , 75F
簽章是作什麼? 驗證是在作什麼? 不就是encrypt和decrypt
06/19 18:02, 75F
06/19 18:03, , 76F
腦子不好的人,會扯說,簽章會簽HASH 值,不是本文.
06/19 18:03, 76F
06/19 18:03, , 77F
會這樣想的,是連我給的link都沒看.
06/19 18:03, 77F
06/19 18:19, , 78F
Lordaeron大,我了解你的意思,但你不了解我的意思~
06/19 18:19, 78F
06/19 18:20, , 79F
以底層實作來說,都脫離不了encrypt和decrypt沒錯~
06/19 18:20, 79F
06/19 18:21, , 80F
一定要嘴砲堅持混用概念就是了,這麼愛大聲嚷嚷自己是外
06/19 18:21, 80F
06/19 18:21, , 81F
但在跟別人討論時,用私鑰加密公鑰解密及私鑰簽章公鑰驗
06/19 18:21, 81F
06/19 18:21, , 82F
行人也是個人自由,你開心就好
06/19 18:21, 82F
06/19 18:22, , 83F
證,可以讓討論的人清楚明白了解你在說什麼~
06/19 18:22, 83F
06/19 18:23, , 84F
g老師你知道PGP不只是一套機制,還有個同名軟體嗎?
06/19 18:23, 84F
06/19 18:23, , 85F
真的想瞭解請裝一套起來自己測一下。
06/19 18:23, 85F
06/19 18:25, , 86F
要驗證發送方,Server開SMTP_AUTH或信件簽章也都是老技
06/19 18:25, 86F
06/19 18:26, , 87F
術,你這整串講的東西都很少,不要再感歎是什麼沒人作的
06/19 18:26, 87F
06/19 18:26, , 88F
商機了。
06/19 18:26, 88F
06/19 18:26, , 89F
都很老
06/19 18:26, 89F
張善政扛國家的錢來送, 又有現成的Gmail來拖, 只有這些嚷嚷國安又不知國安要甚麼? 讓想看該看的的有得看, 不該看的不給看, 國安問題不就要合法監聽又不現形以免被說 看了洩密? 對需求認知不足何能見商機?! ※ 編輯: ggg12345 (114.43.224.111), 06/19/2014 19:02:15
06/19 18:57, , 90F
@luciferii,你裝內行也沒用,20年就爆了. 再來哪就是加
06/19 18:57, 90F
06/19 18:58, , 91F
密的動作, LINK 已經給出了, 加密完的東西叫簽章.
06/19 18:58, 91F
06/19 18:58, , 92F
還鬼扯英文呢.
06/19 18:58, 92F
06/19 19:07, , 93F
張善政的問題你要自己問他,這跟技術和商機無關
06/19 19:07, 93F
更多 ggg12345 的文章
文章代碼(AID): #1Je58IGI (Soft_Job)
更多 ggg12345 的文章
文章代碼(AID): #1Je58IGI (Soft_Job)