認識密碼學的第一本書

推薦序    悄悄走入你我日常生活的密碼技術    雷欽隆
推薦序    現代公民必讀的「密碼學故事書」    張仁俊
推薦序    輕鬆認識「密碼」這門學問    廖有祿
作者序    資安的基礎，在於對機密資訊的敏感意識

前 言    學習密碼學之前，請想一想……

第1章 遲來二十年的情書
繩結／羅馬數字系統／古巴比倫數字系統／阿拉伯數字系統   

第2章 獨一無二？孤芳自賞？
質數與合數／質數的個數／梅森質數／費馬質數1231／中國剩餘定理／摩斯密碼

第3章 密碼？亂碼？傻傻分不清楚
快樂數／親和數／哥德巴赫猜想／斯巴達密碼棒／凱薩密碼法／維吉尼爾密碼法／英格瑪密碼機

第4章 不是不可能的鹹魚翻身
對稱式及非對稱式金鑰密碼系統／著名加密標準：DES / 3-DES、AES、RSA

第5章 金鑰也能這樣飛舞
混合公開金鑰密碼系統與對稱式密碼系統／HASH函數／HASH函數檢查訊息「正確性」與「完整性」／數位簽章／數位簽章的特性／雙重簽章／中間人攻擊／憑證／公開金鑰基礎建設

第6章 永恆的唯一
網路相簿私密照曝光／維基解密／憂患意識／自我的唯一

第7章 數位放大鏡
數位證據／數位鑑識的必要程序／數位證據的特性／鑑識陣線聯盟／反鑑識／數位浮水印

附錄一    摩斯密碼表
附錄二    深入了解RSA

推薦序

悄悄走入你我日常生活的密碼技術
 
　　密碼學長久以來都被視為一門艱深難懂的理工課程，對大多數人而言，密碼學是遙不可及，而且毫不相關的。

　　然而，近年來由於網路技術及應用的蓬勃發展，密碼技術已無聲無息地融入每一個人的日常生活當中。例如現在很多人使用的通訊軟體LINE、社群軟體Facebook、即時照片分享軟體Instagram、網路銀行、電子商務、線上遊戲、物聯網等等，都是使用大量的密碼技術，來確保其中的資訊安全與用戶的個人隱私。大多數人不必會設計密碼演算法或密碼協定，也不需要會破解密碼，但是身為數位時代的一分子，我們對認知哪些密碼技術可保護哪些資訊的安全及個人的隱私，是有其必要的。

　　在《認識密碼學的第一本書》中，作者以深入淺出的方式，引導讀者進入密碼的世界，讓讀者了解，密碼技術如何幫人們解決日常生活中所面臨的各種問題。對非相關專業人士而言，本書以故事模式導引讀者，輕鬆有趣、難易適中，讀者可獲取日常生活各種活動中，保護我們資訊與隱私的密碼技術及原理，十分值得推薦！
推薦序

現代公民必讀的「密碼學故事書」

　　這是一本非常適合廣大讀者閱讀的科學普通讀物。我有幸提早閱讀到全書原稿，忍不住興奮之情，想跟未來的讀者分享一點心得。

　　首先，這本書應該是現代公民必讀的。因為我們的生活已經離不開資訊科技與電腦網路了，了解一些資訊安全、電腦犯罪、數位鑑識的基本概念，有助於保障自己的權利。其次，這本書讓我有非常愉快的閱讀體驗。作者充分運用其深厚的專業知識背景，站在更高更寬廣的角度，用平易近人的寫作方式，將資訊安全各種相關知識鑲嵌在有趣的問題與故事當中。

　　作者從古代數字的起源，談到各種數字系統背後有趣的意義，及介紹數字的基本計算。將古代的密碼技術之間加以比較對照，還以「鹹魚翻身」的說法帶領讀者認識現代的數位密碼。提及「公鑰密碼」時，坦白說，這是一般讀者最難理解的部分，作者竟然能想到用「蛋炒飯」等思維來導出公鑰密碼的概念，生動又有趣。網路的歷史故事、現代的網路應用與問題、網路的可信度問題、數位鑑識正面的效用與背後應有的反思，內容發人深省，但都以富想像力的通俗故事精采解說。

　　這樣的寫作方式，讓閱讀本書就像讀故事書一樣輕鬆愉快，卻又能有知識上滿滿的收穫，我極力推薦大家一起來閱讀這本好書。除了愉快的閱讀體驗與知識上的收穫之外，各位讀者可能也會跟我一樣，被作者投入的心血深深感動！
推薦序

輕鬆認識「密碼」這門學問

　　本書首先介紹一些基礎觀念，包括數字的起源、質數的奧祕、數學的規律。接著密碼登場，從過去密碼學、對稱╱非對稱加解密、公開╱祕密金鑰、數位簽章到憑證中心；透過各種網路應用的介紹（如WWW、Email、Blog、Facebook、網路購物、無線網路、智慧型手機等），談到其中的各種犯罪和陷阱（如網路色情、電腦病毒、侵害著作、網路釣魚、妨害名譽、身分竊盜等）。最後探討數位證據與電腦鑑識。

　　全書文句簡明通暢、深入淺出，可以看出作者的用心，是要「將困難的定理，用簡單的話語表達」，這其實並不容易，作者確實煞費心力。更難得的是，這本想要寫給一般讀者的科普讀物，穿插許多小故事，如：「韓信點兵」「羅密歐與茱麗葉」「福爾摩斯」，更借用《斷背山》《全民公敵》《網路上身2》《獵殺U-571》等經典電影情節，使讀者在輕鬆閱讀之餘，獲取大量寶貴知識。

　　若有讀者能因此受到激勵，而投入此一學問的探索，或能透過本書深植科技使用的概觀與認知，則本書功勞大矣。

作者序

資安的基礎，在於對機密資訊的敏感意識

　　從事學術工作多年，陸續完成了資訊安全與密碼、影像隱藏與應用、數位鑑識等領域的相關著書，這些書在內容上的設計與目的，主要是課堂上課教材及學生學習依據。但如果想讓這些知識更普及，讓不分年齡、領域的一般人都能輕鬆接觸、深入生活，對於科技上的深植與應用有所認識，就需要科普書而不是教科書了。我試著透過故事，鼓勵讀者一起來認識「密碼學」的起源及發展，當然，也希望大家在了解之後，有機會愛上密碼，而樂於尋求更多資訊充實自己，妥善運用這項科技資源。

　　「密碼學」在現今數位時代的運用看似新穎，卻其實是一門歷久彌新的有趣學問。早在中國周朝的兵書《六韜．龍韜》中，便已運用密碼作為軍事通訊的方法與策略，例如陰符與陰書。古羅馬時期，凱薩也將密碼運用於軍事通訊中。第二次世界大戰期間，密碼也沒有缺席，英格瑪密碼機的破解，成為最後聯軍勝利的關鍵。我們可以說：密碼演變的過程，見證了人類文明與科技的進步。而在生活中，所謂「商場如戰場」，能多掌握一些情資，也就多一分人際相處及致勝的籌碼，社會生存法則即是「變」與「通」，密碼的概念無所不在。

　　拜科技進步之賜，我們隨時可以不受時間、空間限制遨遊網路世界：網購、收發e-mail、用Line聊天、使用Facebook、Instagram⋯⋯但在使用網路的同時，我們是否有所警覺：網路真的這麼安全嗎？沒有人會希望自己的隱私遭人窺探，這正是政府制定「個人資料保護法」的目的。網路是一個公開且開放的空間，資料的傳遞過程，其實有相當的風險，這也是資訊安全如此受到企業及政府部門重視的原因，資安認證標準「ISO 27001」更是這幾年來的當紅炸子雞，而資訊安全的基礎，正是「密碼學」。

　　現今智慧型手機日漸普遍，不論達官貴人或市井小民皆能「人手一機」，人人都能輕易運用到的螢幕鎖定圖形鎖及喚醒密碼，就是密碼學的延伸利用。表面上，密碼只是一門加、解密的技術而已，但其真正的精神，是對於機密資訊的敏感意識，也就是我們常說的「資安意識」。

　　也許有人會問：「我們需要了解『密碼』嗎？為什麼要學呢？對生活有什麼幫助嗎？」正如「道高一尺，魔高一丈」，科技進步，犯罪手法也在進步。舉例來說，LINE及Facebook 確實豐富了我們的生活。數十年未連絡的同學、故舊，失散已久的親朋好友，都能重新取得聯繫，Facebook甚至利用其特有的演算法，不斷以「你可能認識的朋友」主動為使用者提供擴張人際網絡的名單。某程度而言，Facebook所形成的社群網路關係，驗證了「六度分隔理論」的真實性（即平均只需要五個中間人，就能與世上任何一人認識）。而LINE更可說是中老年人接觸智慧型手機的第一個APP（應用程式），LINE可愛的貼圖、免費的語音通話及訊息同步功能，不知讓多少婆婆媽媽、少男少女為之瘋狂著迷。在MSN、Yahoo Messenger流行的年代，曾有句話是「No MSN, No Friends」，而在 MSN 中止服務、Yahoo Messenger式微的今天，LINE 行動通訊軟體霸主的地位可說是難以撼動。

　　但光鮮亮麗的背後，隨處可見各類負面新聞：「LINE 詐騙猖獗，今年詐欺案暴增五成」（http://goo.gl/bASnCZ）、「別點！『騙』臉書帳號遭檢舉，盜取個人資料」（http://goo.gl/lMQojY），在在證明了現今使用者資安意識的不足，財物及名譽上受損害的案件層出不窮。享受便利之餘，反而嚴重犧牲基本的個人隱私及財產安全，卻很少人理解到，只需要對「密碼」這道安全防線有所意識，其實就能更理性運用網路、科技的帶來的好處。

　　密碼學，了解密碼的學問。說穿了，也就是隱藏祕密、處理祕密、鑑定祕密的學問。每個人都會有深藏在心底、不願為人所知的祕密，各種隱藏祕密的方式，其實也正是密碼中的各個加解密技術。希望在閱讀本書的過程中，也讓讀者有機會重新思考何謂隱私，及隱私所代表的意義。

　　最後，本書得以出版，要感謝許多人、許多事：我的工作單位中央警察大學；我的編輯團隊—資訊暨密碼建構實驗室ICCL夥伴：陳育廷、范亞亭、柯博淞、張雅婷、陳彥霖、郭彤安及方素貞等；圓神出版事業機構究竟出版社的編輯群，在第一次閒敘時對這本書的肯定，與為稿件費心修潤等編輯作業，讓這本書得以順利付梓。藉此機會表達我所有心底的感動與喜悅的祕密，向所有人員的努力致上最深摯的感謝。

王旭正，二○一五年一月

 
〈前言〉
學習密碼學之前，請想一想……

我們用我們個人的隱私作為貨幣，來換取網路的「免費服務」。
我們需要真正意識到目前正發生在我們身上的隱私問題，了解免費的代價，認識網路定義隱私、個人空間及「人」的方式。

你相信網路嗎？

電腦的出現，讓密碼研究與應用成為一門重要學科，密碼不再止於推理與狹隘的數字遊戲，而是與現代的科技生活息息相關。
《西遊記》中齊天大聖孫悟空憑藉著金箍棒與筋斗雲兩樣利器，斬妖除魔完成了艱鉅的取經任務。我們現今同樣面臨嚴峻多變的考驗，資訊與挑戰複雜且多元，面對各項任務，網路就好比筋斗雲，一翻十萬八千里，讓我們不出門也能得知天下事，即時即地掌握訊息。電腦則如同金箍棒，協助你我完成各種工作。正因為知識的傳遞更便利，現代人生活、工作中的一切幾乎全面仰賴電腦及網路，不容易察覺其中的危機，使得密碼成為傳遞所有訊息時關鍵的第一道防線。
一般人所不熟知的是，網路最初始的發明與運用，其實與祕密的隱藏與傳遞有關。
一九六○年代，美國國防部各單位的電腦及通訊設備因規格不盡相同，造成彼此間交換資訊的困難，妨礙了軍事機密訊息的傳遞。除了需要解決這個問題外，美國國防部也針對國家軍事防衛系統的連線提出「確保永不斷線」的要求，讓系統連線不會因為某部電腦故障而無法進行，而這種技術的研發，就是網際網路的起源。
想想看，生活中沒有了電腦與網路，造成的影響會有多大！透過智慧型手機和行動通訊設備，工作不再限制於辦公室內；GPS系統使我們能在陌生的環境依然悠閒自得；只要連上網路，在家就能購物，不必在大賣場人擠人，還能多方比價，甚至買遍全世界！「滑世代」可說是以指尖在過生活，用來打發剩餘時光的數位娛樂更是五光十色，應有盡有。
網路的發展為食、衣、住、行、育、樂添入了不同的元素，使生活多采多姿，我們得以突破時間與空間的限制，運用龐大資源解決生活問題。不過，網路卻如雙面刃，正確與錯誤的訊息同樣因網路而流通迅速，不想傳遞、不該傳遞的資料也可能遭有心人蓄意廣傳。太過於依賴，反而容易遭到網路的制約，造成遺憾。
網路確實能為我們帶來更好的生活品質及更多的可能性。但在使用的拿捏上，我們必須拉出一條界線。

不設防的便利之下，潛藏的危機

雖然隨時都能自由徜徉於浩瀚的資訊之洋，但你可曾理性權衡過，便利的代價是什麼？
「電子郵件」讓我們可以在彈指之間完成訊息的交換，但也協助了病毒的傳播。「網路購物」的方便成為非法人士覬覦的目標，產生了「網路釣魚」的詐騙手法。開設「部落格」可在世界的一角為自己發聲，卻也可能難以掌控公開發言引起的爭端，甚至因情緒性的發言而觸法。「社交網路」服務網站促進與朋友間的互動，竟成為歹徒蒐集個人資料的天堂。「全球資訊網」的技術讓知識的傳播更容易，卻助長了網路色情的發展。網際網路的技術，可以是知識傳播的媒介，也可能應用在各式非法網站的建置。
隨著網路發展所興起的科技犯罪，便是我們所需面對的課題，藉由網路而生的許多方便，誘發犯罪叢生。例如成長快速的電子商務，網路購物、網路銀行、網路拍賣等虛擬交易中，消費者只要輸入帳號、密碼、信用卡卡號等資訊，便可進行金融交易，無需親自到實體店面。龐大的消費者，成為非法人士覬覦的目標。
國際間層出不窮的網路詐騙中，透過詐騙網站與誘騙郵件的「網路釣魚」，是非法人士最常使用的一種手法。歹徒製作與知名網站相仿、幾可亂真的假網站，發送偽造的電子郵件，偽裝成某銀行或重要入口網站，如假借土地銀行「landbank」之名行騙改造成「1andbank」（前者為「L的小寫l」，後者為「阿拉伯數字1」）。詐騙信件則以使用者帳號有問題、提醒更換密碼、帳號驗證、系統更新、贈送禮物等，防不勝防的各式恐嚇與利誘，誘騙使用者登入假網站以獲取其資訊。由於製作釣魚網站與發送釣魚垃圾郵件都相當容易，而且使用者不易察覺，因此成為網路犯罪的大宗，造成大量金融損失。
還有另一種經常發生在個人身上的金融犯罪手法。例如銀行帳戶出現一筆不明消費，而買受人的身分竟是本人，很可能是身分被盜竊了。想像一下，若是出現與你擁有一模一樣身分的人，姓名、身分證字號、出生年月日、電話、信用卡號碼、印章、簽名、指紋等，這些代表自己的資訊，卻有另一個人正使用著，會是怎樣的情景？
在數位生活下，身分是虛擬的，我們靠著帳號、密碼或者一串數碼，用以證明身分，所以當身分遭他人竊用，甚至有詐騙取財、申請或盜刷信用卡、貸款、毀謗他人等犯罪行為時，根本無法判斷「虛擬身分」所代表的人是真是假。由於網路的匿名性，加上許多人缺乏個人資料保護的概念，尤其是在社交網路服務網站，容易成為犯罪者蒐集個人資料的平臺。
另一方面，近期成為網友制裁利器的「人肉搜索」，藉由為數眾多的網友，對新聞事件主角或特定對象、事件進行資訊蒐集比對，試圖找出真相或個人資料。群眾在網路時代有了具體的力量，但這樣的力量究竟伸張了正義還是侵害隱私，頗有爭議，有時更淪為有心人士炒作知名度的手段。

網路真的是免費的嗎？

網路真的免費嗎？在回答這個問題前，我們先討論另一個問題：「一個陌生人付多少錢，你會給他看你的日記？」需要付多少的代價，以了解你的宗教、政治甚至性傾向，或是你的身體狀況、交往情形？這些資訊是用金錢買得到的嗎？實際上，這些看似「無價」的私密資訊，卻是我們每天大方、大規模提供的訊息。 
網路可說是有史以來與人類關係最為密切的技術，不斷推陳出新，功能強大且方便，但在使用的同時，我們也透露出大量個人訊息給第三方。我們對於自己所釋放的訊息幾乎毫無意識，我們只專注於更新的功能、更方便的使用方式，而嚴重忽略我們個人資料的外洩。而在過去，這些資料是企業必須花上百倍甚至上千倍的力量才能取得的。 
今天，絕大多數網際網路的功能都是免費的。我們免費用網路與家人連絡、視訊，看新聞、看影片、收發電子郵件、使用搜尋引擎。但實際上，只有少數人知道我們真正的付費方式。 
每一天，Google藉由億萬個關鍵字來微調搜尋引擎，使他們能更針對性的提供廣告；藉由小型文字檔案「cookie」，企業能清楚了解我們的需求，並從中提供更符合我們需求的產品。過去，企業需要藉由無數次的電話訪問、問卷調查，才能勉強得到些不一定正確的資料，但現在，所有網路的使用者卻選擇將自己的個人資料完全雙手奉上而無自覺。 
韓國電視劇《幽靈》中有一段引人深思的情節：知名女星從大樓墜下死亡，搜查隊藉由死者的搜尋關鍵字，推測出女星可能懷孕，並從中找出調查的方向。看似平常的搜尋關鍵字，卻可能藏有我們心中的祕密。每個人都有不願與人分享的祕密，但在使用搜尋引擎時，卻可能完全沒有戒心。電影《失控的陪審團》中，軍火商的辯護人因掌握陪審團的隱私，進而影響判決結果。假設你不幸染上愛滋病，你是否敢讓其他人知情？你是否願意告訴你的伴侶、朋友或是父母？不論願不願意，一旦使用Google搜尋相關資訊，「雞尾酒療法」「AIDS」「愛滋病」「醫院快篩」等關鍵字，就足以令不能說的祕密洩漏出來。 
使用電腦與智慧型手機時，我們以為我們是在安全、私密的空間裡，但實際上只要使用網路，我們永遠是處於開放的空間。每一天，我們用我們個人的隱私作為貨幣，來換取網路的「免費服務」。 
我們需要真正意識到目前正發生在我們身上的隱私問題。並非就此遠離或摧毀網路，而是必須了解免費的代價，意識到風險與機會是並存的，水能載舟亦能覆舟，真正去認識網路定義隱私、個人空間及「人」的方式。科技終究是身外之物。人，才是根本。 
在這層意識之下，也就會深切思考在危機四伏的網路環境中守住個人的祕密、安全傳遞資訊的必要性，而這也正是「密碼學」的意義。從個人帳號密碼的祕密、身分的祕密、私密相簿的祕密，甚至大如戰爭的祕密、外交與軍事的祕密……一旦遭人竊取或揭露，後果都不堪設想。 
無論過去、現在、未來，也無關傳統與科技，都需要最高等級的安全與保護，必須保有永恆以及唯一的「祕密」，會是一切看似免費、公開，容易流於虛實難辨、價值混淆的數位時代，最重要的課題。