隨著Google透過Willow晶片展現出超越傳統超級電腦的量子運算能力，以及IBM與Microsoft在量子位元錯誤率控制上的持續突破，過去賴以維繫網路信任的加密技術正逐步逼近被輕易破解的風險。後量子密碼學(PQC)不再只是實驗室中的前瞻研究議題，而是企業資訊基礎架構勢必面對的轉換工程，對IT管理者而言，遷移至PQC已成為無法迴避的長期課題。 SEALSQ...

AI的價值無庸置疑，但這項技術在開發跟應用的過程中，必須小心謹慎，否則可能會為我們帶來各種風險與危害。本文將聚焦幾項當前與AI技術相關的幾項重要風險，並介紹其因應對策。 AI正以前所未有的速度演進 –...

時脈是關鍵基礎設施運作的核心，而時鐘的精準對齊在資料中心、電力設施、無線與有線通訊網路以及金融機構中日益重要。為了讓這些營運單位能部署具備高可靠性與高韌性的時間架構，其所使用的時鐘與時間參考訊號，必須經過對齊並驗證，確保與協調世界時(UTC)一致。Microchip...

隨著量子運算技術逐步成熟、邁向實用化，全球資安環境正面臨結構性轉折。傳統RSA與ECC加密機制在量子電腦的高速運算下將迅速失效，後量子密碼學(Post-Quantum Cryptography, PQC)不再只是資安圈的熱門話題，而是各產業必須面對的現實挑戰與「生存門檻」。 根據NIST(美國國家標準技術研究院)預估，量子電腦可能在未來5到10年內顛覆現有密碼學基礎。因此目前加密的資料，即使短期內安全，未來也可能被「先竊取，後解密」的攻擊模式所威脅，對金融、醫療、政府及高科技等產業長期保存的機敏資料及資料而言，將造成不可逆的風險。 Thales在《2025資料威脅報告》中指出，雖然不少企業已展開PQC演算法的評估，但整體部署仍面臨時間壓力。高科技製造與金融業被視為最先感受到量子威脅的產業。從程式碼簽章、IoT裝置安全、自動化控制、憑證與交易驗證到雲端備份加密，相關需求正快速浮現。 國際相關規範也陸續啟動。如美國CNSA...

隨著全球製造業邁向自動化與數位化轉型，OT設備與網路串聯程度逐步上升，企業亟需升級資安策略，從傳統被動防禦思維轉向主動整合的防護架構。洛克威爾自動化發表NIST架構資安策略白皮書，針對美國國家標準與技術研究所(NIST)發表的網路安全框架(CSF)提出應用建議，呼籲產業採取主動且全方位的資安策略，以應對多變的網路攻擊。 據NIST架構資安策略白皮書中引用的IDC製造業洞察報告，多數企業的OT資安仍採取被動策略，僅在遭遇重大危機後才投入預算。洛克威爾自動化解決方案暨工程服務事業部總監王展帆表示：「數位轉型趨勢下，IT與OT的結合雖然加速生產效率，卻讓資產曝險程度也比過往有所提升，因此洛克威爾自動化積極提供解決方案及顧問協助，縮短在地企業IT/OT間的技術與認知差異並建構穩固的資安基礎，提升整體防禦體系的韌性。」 呼應NIST...

保護物聯網的安全具有挑戰性但也是關鍵任務。隨著越來越多的設備連接起來，物聯網安全威脅的可能性也在增加，這導致政府和監管機構採取行動保護消費者，也激勵製造商優先考慮網路安全。近期美國白宮正式啟動了美國網路安全物聯網標籤計畫—美國網路信任標誌(U.S....

瞄準市場對資訊安全愈來愈殷切的需求，信驊科技(ASPEED)於台北國際電腦展Computex2023，首次展出針對伺服器資安防護所推出的PFR(Platform Firmware Resilience)安全性晶片AST1060，並展出伺服器客戶採用AST1060之相關產品。 信驊科技於Computex2023展出首款針對伺服器資安防護所開發的安全晶片AST1060 信驊科技行銷業務處協理關超成指出，近年來資訊安全議題備受關注，為協助客戶有效防範惡意攻擊，提供安全防護的晶片也成為重點。信驊科技長年與伺服器平台韌體(BIOS/BMC)夥伴合作及透過開源運算計畫(OCP)參與，體認到伺服器平台韌體安全痛點，因此特地研發與BMC晶片搭配的PFR安全性系統單晶片AST1060。 AST1060採用硬體信任根(Root...

意法半導體(ST)近日宣布，其STM32微控制器(MCU)產品家族再擴陣容，推出新款STM32U5晶片，降低功耗的同時提升性能，並延長了續航時間。STM32U5產品已獲得NIST嵌入式亂數熵源認證，是業界首款獲此認證的通用型MCU。 這款STM32U5...

英飛凌科技日前宣佈，美國國家標準暨技術研究院(NIST)已選定將由Christoph Dobraunig、Maria Eichlseder、Florian Mendel和Martin Schlaeffer開發的Ascon演算法確立為羽量級加密(LWC)國際標準。NIST遴選加密方案的過程歷時數年，經過多輪淘汰，在英飛凌密碼學家Mendel和Schlaeffer等人的持續助力之下最終選中了這款演算法。 第一版Ascon由奧地利格拉茨理工大學(TU)於2014年初開發完成。此後，來自TU...

美國兩大重量級電信產業組織ATIS與NIST已於2023年初相繼宣布參加O-RAN聯盟。此舉不僅意味著美國政府將發揮力量，擴大參與ORAN標準化的過程，同時也頗有牽制中國業者乃至中國政府的意味。 牽制中國意圖明顯 美國政府現正不遺餘力地透過各種政策推動手段，強化在Open...

美國兩大重量級電信產業組織ATIS與NIST已於2023年初相繼宣布參加O-RAN聯盟。此舉不僅意味著美國政府將發揮力量，擴大參與ORAN標準化的過程，同時也頗有牽制中國業者乃至中國政府的意味。 美國電信產業解決方案聯盟(Alliance...

物聯網(IoT)為企業、政府和消費者帶來諸多好處，但這些功能不應犧牲用戶的安全或隱私為代價。當消防員到達燃燒的建築物時，在壓力當下必須保持冷靜以控制火勢及營救居民。隨著越來越多的物聯網設備在城市中部署，消防員可以使用即時資料來獲取更多與環境相關的資訊以協助受影響的民眾，進而挽救更多生命並減少財產損失。 在緊急情況下如有可用的在地物聯網設備，應變人員可以利用收集的資料採取更有效且通常更成功的措施。應變人員可以透過感測器瞭解建築物的使用情況，利用公用設施和傳輸號誌感測器瞭解周圍的基礎設施，並透過行動穿戴裝置瞭解受害者的健康狀況。這些以前無法獲得的即時洞察力可以幫助應變人員更能夠因應狀況，挽救更多生命。特別是在大規模部署的情況下，此類救生應用程式可以改變災難處理方式，但保護公共安全不應以損害企業、政府機構和公民的安全和隱私為代價。 物聯網設備的部署速度呈指數級增加，預計到2025年將達到270億個IoT連網產品。然而，物聯網安全並沒有跟上迅速的創新步伐。由於具有緩解生命危險和拯救生命的潛在優勢，物聯網設備的使用量越來越多，但激烈的網路安全攻擊規模也持續成長。為了防止安全性漏洞，生產這些設備的公司有責任快速解決產品中的漏洞。廣泛採用物聯網的風險不應超過社會效益。 容易遭駭客入侵 當在城市和家庭中安裝新的智慧裝置時，人們通常認為這些裝置至少有一個基本的網路安全水準。雖然產業聯盟和政府機構已經發布了各種指導方針和網路安全標準，以建立最低級別的安全性，但許多物聯網設備製造商和供應商尚未採用或執行其中任何一項措施。 許多以前無法聯網的設備—如冰箱、瓦斯表、汽車和醫療設備—現在已經連接起來，但通常沒有充分考慮安全框架。以前這些設備從未打算與未經授權的遠端用戶互動，存取控制和適合的憑證管理可能很弱甚至不存在，因此駭客可以毫不費力地利用這些簡單的安全性漏洞。由於系統過於容易存取，因此妨害了私人使用者資料的機密性和完整性，而影響設備的可用性。 例如，消防員可以使用物聯網設備和感測器獲取有關建築物狀態和居民的資料，但如果設備遭到駭客攻擊，收集的或有潛在的誤導性。消防員可能會花費寶貴的時間和精力來定位一個資料可能不精準，而錯誤的資料會導向錯誤的區域。設計這些有用的裝置可能會成為另一種危害，阻礙消防隊員營救建物內居民所作的努力。 網路安全人人有責 對物聯網設備安全的攻擊可能發生在生產過程的所有階段—從規範和設計階段；包括製造、封裝和測試、銷售和最終使用者產品的整合。晶片製造商、設備製造商和消費者都在物聯網設備安全方面發揮著重要作用。 設備存在許多安全缺陷來自於有關由誰負責安全決策的不明確指導方針。在物聯網設備開發期間，一家公司可以負責設計設備，但會由另一家公司提供軟體，執行支援設備的網路以及設備的部署。 這種混亂導致各方毫無作為，特別是因為沒有足夠的誘因來充分保護產品。更重要的是，產業領導廠商應採用物聯網安全協定標準，共同努力解決須改進的關鍵領域。 多年來，物聯網產業並未積極自我監管，因此，目前正在導入美國聯邦和州政府的政策來指導產業的安全監管，內容包括如下： ˙物聯網設備只能運行經驗證的程式碼。 ˙除錯和通訊僅能使用安全介面。 ˙必須具備安全的遠端軟體更新功能。 ˙所有設備必須具備唯一的驗證碼。 ˙須納入漏洞洩露防範計畫和產品事故因應措施。 以上這些條件僅涵蓋基本需求，還須要求設備製造商和應用程式開發人員徹底提高產品開發的安全級別。消費者同時須維護他們的設備，使設備在使用時能夠更新，也應警戒網路釣魚和駭客在社交平台上的傷害力。 解決物聯網安全問題的新政策 為了解決美國物聯網安全問題，新政策將要求在國內銷售的設備中設置網路安全保護基本要件。2021年5月，拜登總統發布了「改善國家網路安全的行政命令」，呼籲各機構加強整個軟體和硬體供應鏈的網路安全準則。 在立法規定所有要求之前，製造商可以開始實施安全標準，並與其他廠商合作建立一個通用的產業標準。NIST正與物聯網產業合作，進行設計、標準化、測試並鼓勵採用通用方法來保護物聯網設備免受網路安全性漏洞的影響。 國土安全部(The...