檢測華為設備是不可能的任務◎李忠憲

要檢測和確認一個資通訊產品的安全，是非常非常困難的。

2014年05月14日17:30

作者：李忠憲（成功大學電機系暨電通所教授、前電信技術中心顧問）、趙志宏（高雄大學圖書資訊館網路通訊組博士、資管系兼任助理教授）

因為兩岸服貿協議簽下對中國開放資通訊服務條款，有關資安國安的問題，引起社會大眾的疑慮和不安，學術界發起連署反對政府這項政策，引起學界、業界廣大迴響與支持，同時也因為如此，資訊安全及國家安全議題，受到前所未有的重視。

很意外，就在眼前全民高度關注國安資安問題之際，科技部長張善政竟然鬆口，提出「就事論事、撇開政治顧慮去看設備資安風險」、「只要通過技術檢查」為原則，讓鴻海董事長郭台銘要引進中國華為4G設備解禁有望。看到這個新聞，讓人十分憂心。筆者曾在十年前執行政府的資通訊產品安全檢測計畫，對檢測資通訊產品安全的困難與障礙認知甚深，在此，就以筆者的經驗幫政府官員上一堂課！

當初網路開始蓬勃發展，一開始大家只是要求有網路可用，再來會要求網路速度要快，最後才會要求網路安全，所以，後來有關網路安全的共通準則 （common criteria)，EAL3 等等，開始出現在一些商場架上的網路設備，COTS 的商品上。

關於共同準則的標準，筆者回想參與政府有關共同準則制定的安全計畫，主要是引導國內的政府單位可以提供國際標準的檢測機制，來檢測資訊產品的資訊安全性。整個共同準則的驗證標準，定義出七級的安全評估等級，從EAL1 ~ EAL7，EAL1 ~ EAL4 適合應用在評估一般的產品與系統的保護等級，作為使用者選擇所需產品或系統的安全類別之參考。然而EAL5 ~ EAL7 涉及到較特殊的資訊安全工程技術，適合應用在一些軍事用途或涉及國家安全的產品。

筆者在成大實驗室執行共同準則計畫的時間，專案團隊曾以2001年某間廠商所提供的一款Smart IC卡為驗證的範例，該IC卡的驗證目標，主要是希望通過EAL4的檢測，其保護剖繪文件即高達100頁的內容，真正的檢測驗證時程可能需要12個月以上的時間。因此，國際上為檢測通過EAL5等級的資訊安全產品時，其檢測的時程通常需高達18個月以上，以如此的時程，華為的設備要通過共同準則的檢測標準，並讓導入華為設備的電信廠商能如期的開台，幾乎是不可能的任務。

最後，這個資通訊產品安全檢測的計畫是失敗了。為什麼失敗了，因為資通訊產品，愈來愈複雜，硬體、韌體和軟體的規模愈來愈龐大，再加上資通訊產品的生命週期實在太短了，要檢測這些可能的安全漏洞、後門和木馬程式，根本做不到。例如，假設有個很天才、很高段的實驗室，花一年時間「很快」的檢查一支 iPhone 4手機的安全問題，檢查完了，送給科技部使用，隨扈已經在用新一代的iPhone 5S了，部長會理你才怪。

但是這個失敗的計畫，對參與計畫的人，包括國安局和電信總局 (現在NCC)的官員、和電信技術中心的檢測工程師，都有非常深切的影響，大家都認知到，要檢測和確認一個資通訊產品的安全，是非常非常困難的。當初我們這個計劃設定的目標產品，還只是智慧卡 (smart card) ，如果現在設定的目標，是4G基地台設備，包括交換器及路由器等十分複雜的設備產品，其檢測工程之浩大根本難以想像。

而且檢測的文件，全部都是廠商自行提供，這是廠商自己定義的資訊安全，這個資訊安全，可以相等於台灣的資訊安全和國家安全嗎？大家還記得之前塑化劑的食品安全事件嗎？為什麼塑化劑一直沒有人檢測出來嗎？因為沒有人想到，這個飲料中，會含有塑化劑，因此，食品安全檢驗從來沒有檢查塑化劑這一項。同樣的道理，故意藏在網通設備中的後門和木馬程式，也非常難以發現，根本無從檢查起。

更嚴重的是，就算萬一真的台灣有個超級資安實驗室，讓華為產品通過檢測，確定沒有後門和木馬程式，但只要線上更新，新的版本就可以放上後門或木馬程式！資通訊產品和刀子或其他產品不同，它是智慧互動，而且可以線上更新操控的，只要連上網路，如果有惡意，很容易動手腳。控制設備網路的人是誰？是做刀子？還是拿刀子的？如果這次華為此門一開，資通訊的木馬，就遍佈全台了。有科技部幫忙背書，哪家業者會不願意採用價格十分便宜的華為產品呢？屆時，台灣資訊網路門戶洞開，將讓國家安全陷入萬劫不復的悲劇。