iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 30
1
Security

企業訊息溝通安全系列 第 30

應用區塊鍊技術,建立郵件跟附檔的不可否認性

提到區塊鍊(Blockchain)的應用就從最早期的比特幣 (Bitcoin) 談起,透過去中心化的分散式資料庫,利用集體維護的方式,讓資料庫中的每個資料都可以完整紀錄。過去金鑰加密技術,都必須依靠第三方組織中心提供資料保管或金鑰加密,例如銀行的交易紀錄、政府提供的公開資料紀錄,而區塊鍊提供去中心化的節點,使用者的每個資料都分別儲存在不同的雲端節點上,每個雲端節點都需要自我驗證和管理。去中心化泛指的是資料結構與維護方式的改變,比特幣帶給資安首要的影響,把所有連結的區塊用加密憑證進行保護。讓不可篡改的技術,可以更方便的應用在各種雲端服務上。

隨著比特幣的發展,後續延神出以太坊 (Ethereum) 的新區塊鍊應用,除了跟比特幣一樣提供交易的服務外,以太坊額外在每個區塊鍊運作節點提供虛擬機的功能 (Ethereum Virtual Machine, EVM) 可以提供應用程式的整合服務,透過合約導向式語言 (Solidity),讓應用程式可以執行並進行驗證產生智慧型合約(Smart contract),這傳統比特幣較無法提供功能,因此也是商用軟體優先整合的服務。

[區塊鍊整合郵件架構示意圖]

https://ithelp.ithome.com.tw/upload/images/20201003/20000181rKmt0HQarU.png

透過區塊鍊技術產生與原資料對應的一筆雜湊值(Hash Value),由於產生同一筆雜湊值的機率極低,所以雜湊值也被稱為資料的「數位指紋(Digital Fingerprint)」技術上可以將整封郵件全文與附檔,經過雜湊函數 (4x. MD5,SHA256/512)的運算,即會得到一組長度固定、無法逆推的字串,則為郵件資料的指紋檔,再進行上鍊的動作進行保存。郵件資料一旦寫入區塊鏈,則無法再異動或刪除。每個區塊完成作業後,透過同步機制將雜湊值同步其他節點,同時保存軌跡紀錄,因此只要資料有被篡改過,就會驗證失敗。

過去電子郵件的不可否認性的常見做法,是透過公開金鑰基礎建設 (Public Key Infrastructure, PKI) 以數位簽章的方式進行發信者的不可否認性,但 PKI 機制必須依靠第三方數位憑證認證機構 (CA) 將使用者的個人身分跟公開金鑰鏈結在一起,寄件者用私鑰加密產生數位簽章,收件者用寄件者的公鑰進行驗章。

但這一段技術做法,僅止於解決寄件來源的不可否認性,對電子郵件全文或附檔的不可否認性卻無法提供有效的驗證機制,尤其在數位轉型與遠距辦公的驅動下,電子郵件的資料軌跡已不僅止於桌上型電腦,包含任何的行動裝置都會有儲存或備份檔案或紀錄,加上新型態的商業詐騙、勒索軟體的資安威脅。郵件在收發過程中,均有可能遭外部未授權者或惡意侵入,進而導致機敏郵件遭惡意盜取、複製、刪除,使其郵件資料的真實性與證據力產生影響。

由於區塊鍊系統主要針對敏感性郵件,提供不可否認的指紋檔為主,為避免影響企業郵件收發流程,可以利用郵件稽核(Email Audit)、郵件歸檔(Email Archive) 功能或者副本轉送的功能,將符合條件的機敏資料,透過區塊鍊平台產生數位指紋寫入區塊鍊,保存在區塊鍊系統或指定的儲存空間,即可進行有效存證,如果要看原始資料,則可以透過稽核系統提供的驗證通知信,透過線上瀏覽的方式讀取原信,保障郵件全文與附檔,實現不可篡改、不可否認與證據完整性。


上一篇
檔案分享連結與安全政策
系列文
企業訊息溝通安全30

尚未有邦友留言

立即登入留言