問:美國國家標準與技術研究所(NIST)宣布,將會選由荷蘭、奧地利、德國團隊所研究的加密技術,成為用於物聯網甚至NFC上AES加密技術的一部分,為何美國政府要開始對物聯網上的加密作出研究,並且徵求相關的加密技術標準?
李建軍:其實物聯網技術不只包含我們日常用的電器,鐵路、橋樑等重要民生基礎設施都會用到物聯網,如果無相關的加密技術配合,大家可以想像到,後果將會不堪設想。例如中國等極權國家,利用物聯網加密的漏洞,成功取得關鍵基礎設施的情報甚至控制權,就可試圖進行破壞或干擾。因此,美國政府在2018年已經向各國團隊徵求物聯網使用的新一代AES加密技術標準。
而現時手機或電腦上的加密技術不大適合用於物聯網,因為其設備的運算能力十分之有限,現時很多物聯網設備的運算能力,可能只及得廿年前,甚至三十多年前的電腦,要求這些設備使用現代AES技術根本不切實際,結果有很多物聯網設備都使用有大量保安漏洞的舊技術,亦太耗電,根本無法回應時代的需要,更成為中國當局入侵各國系統的入口。
問:現時NIST已經宣布新一代標準,但甚麼時候才會正式在物聯網設備上作出支援?
李建軍:有新標準後,都要有相關的晶片、軟件配合,而荷蘭、奧地利和德國團隊組成的公司,亦需要時間就相關專利技術授權問題作出安排,這些都需要一段時日,很可能兩至三年後,才會有支援相關技術標準的物聯網設備面世。換言之,一般用戶在使用物聯網設備時,特別像智能燈膽一類設備,要十分之小心謹慎,如果家中有很多敏感資料,最好避免使用中國出產的物聯網設備。
美國政府公布的新標準,其實有維護美國國家安全,以及各國用家個人安全的考量。當美國標準的設備開始商品化之後,相信美國政府會要求出口到美國的設備要使用新技術,中國當局會否因此作出反制安排,要求出口到中國的產品使用中國產品,或兼容舊有充滿保安漏洞的標準等,這些一點都不出奇,因為中國政府實在需要一些保安後門或漏洞,以便他們的情報人員進行情報搜集的工作。
問:為何美國政府的新一代物聯網標準,並無預計到量子電腦的暴力破解問題?
李建軍:首先,這些物聯網設備的運算能力,只及得上廿年前,甚至三十多年前的電腦,在處理能力這麼低的情況下,使用太複雜的運算法去應付量子電腦問題,明顯是不切實際。另一方面,物聯網設備一般都功率偏低,黑客駁上互聯網作暴力破解的機會比較少,相反有更多是黑客會用自己的手提裝置在附近進行破解,而在可見的將來,量子電腦設備都不會有便攜版本,所以要防止量子電腦暴力破解就顯得過猶不及。
美國政府在訂立新技術標準時,都要考慮到實際情況,以及各設備生產商所面對的技術困難,不能作出太不切實際的要求。現時這個標準,能夠應付未來十年至廿年的需要已經很不錯,日後如果晶片處理能力大幅上升,屆時再訂新標準應付量子電腦暴力破解也未遲,因為現時量子電腦夠實際商業應用,仍然有相當大的技術問題需要克服,至少中國當局不見得在可見將來可繞過美國和歐盟,在量子電腦技術取得決定性突破,並用於軍事以至情報搜集的用途。