使用者體驗是一樣的,但從安全性來講不一樣。這個我們會跟使用者解釋。
你可以不換那八個字,不換有好處,為什麼有好處?我們的做法是,你選一個,你一輩子都不容易忘掉的,你要定期改一改key比較好,你可以選新的八個字,或是用舊的八個字就好了,但是用舊的話,產生出來的key完全不一樣,像你用12345678產生key,過了六個月、九個月,你說要改一次key,軟件問你要怎麼用,你可以用舊的12345678就好了,產生的key不一樣。
當然要打。我的做法是,就是一開始要使用軟件的話,你就選至少八個字,我們用這個來產生key,這不是密碼,你選了至少八個字,任何語言可以混在一起,中文、英文、日文、阿拉伯文。
這個還不算,真正要認證用的key,我們沒有存在這個電腦上,我們一產生就會delete掉,我們要存在什麼地方?我們存在硬碟裡面,我們不讓人家偷,我們產生一個在device的key,先把認證用的key第一層加密起來。第二層是用我們獨有的salting hash包裝起來。
我們有很特殊的方式,你現在提出這個問題,我跟你講,資安不能做到百分之百,我們是把破解的難度做到極致。每個user,都有好幾組的key,為什麼?因為要針對server,server按照美國的法律,不同的國家,政府用的商用的,key的長度限制都不同。
對。
不用背,都是自動產生、自動輸出的。
那其實都沒有什麼問題,我們以後也會,現在沒有弄,我們的看法是,生物辨識這一些東西,對我們來講是補助性的,有些場合為了方便可用,因為基本上還是屬於artificial,都有可能造假,只有加密學這一種是數學。
對,都可以,但是我看到很多都是用main password,如果main password被偷的話,所有的帳戶密碼就被偷了。
對,它也可以。
1password基本上跟我們的產品不一樣,我們是要把密碼整個廢除掉,但是他們沒有。一開始大家用很多的帳戶,server沒有廢除密碼,客戶端就不能廢除密碼,所以我們有一個附加的功能,就等於是password manager,但是我們有一個地方不一樣,top 10的password manager都去看過了,他們基本上用一個main password把所有的password包裝起來。
上次你有回信,問說是不是可以考慮跟跟1password合作。
另外,美國也很需要的,從2015年大概已經四年前了,他們想要廢除帳戶密碼,那時美國聯邦政府被偷得很厲害,偷到人事部的主任都下台,我講了這麼多,我選一個最基本的,就是要先把密碼廢除掉,當然還有很多特別的優點,不只這樣子而已。
美國一直很想要的東西還有政府要提供線上服務,最重要的是,你不需要人家當場把有照的證件拿出來給你看,中國那邊有好幾個省市,向中央政府畫押,在明年要全部都可以提供線上服務,他們如果沒有比較好的技術,也是跟實名制一樣。我們可以解決的問題,除了業界,政府也都很需要的。
中國政府2012年年底就通過網路帳戶實名的立法了,但是名存實亡,只是讓那一些網路服務公司說要用實名制,因此要求很多隱私資料、手機號碼,但那不合理的,侵犯隱私太厲害。
倒過來,如果已經是黑名單的人物,像美國前一陣子有恐攻份子,法國也有,他們說罪犯已是黑名單人物,但是沒有辦法事先防範作案,我的專利技術可以事先把黑名單人物的匿名帳戶全部找出來,可以事先監控,什麼時候買什麼東西,像什麼時候買爆炸物都可以知道,因此可以事先預防,這是美國從2011年開始,他們沒有想這麼多,他想要實名制,但是我認為那是不合理的,實名追溯制比較合理。
這樣做的話,平常你完全沒有問題,一有問題的話,檢調的單位叫Google把加密起來的銀行帳號交出來,去找銀行打開,就知道是誰。
你在Google開一個帳戶,你把銀行的帳號用銀行的公開金鑰加密起來,只有銀行才能打開,Google知道是哪一家銀行,就把它送過去,銀行把它打開,知道你是誰,就把你的公開金鑰交給Google。
我的辦法是這樣子:什麼地方已經有實名資料?像銀行最多,經過幾十年,他們已經累積很多,我的辦法是用加密學,把你的Google帳號跟銀行的帳號認證連結在一起,不能造假,Google不知道你銀行的帳號,只知道在哪一家銀行有帳戶而已,銀行只知道你在Google有帳戶,不知道你Google的帳號是什麼,平常愛用google帳戶做什麼就做什麼,如果有問題的話,檢調單位依照法律;我漏掉了,我再講一下。
像這一些資安的系統,很多美國政府都需要用的,美國在2011年就想要用實名制,但那是不合理,所以美國很多人權團體都反對,到現在都沒有結果,我的辦法並不是這樣子,我的辦法是「實名追溯制」,你在Google、Yahoo上開帳戶的話,可以完全匿名,Google都不知道你是誰,不應該問東、問西,像你的手機號碼是什麼,都不應該的,那個是隱私的資料。
現在我的想法是,因為總總的原因,我是一個很有耐心的人,從2004年開始申請這個專利,就覺得很多問題要解決,已經15年了,我也不急,我們沒有把它弄到完全,就不推出去,因為我年紀也大了,對名利也沒有什麼追求,我想為這個社會做一點事,有機會可以讓臺灣在國際上抬頭。
就有很多好處,當然技術問題要解決,如果電子郵件送到你的信箱去,因為你有帳戶、密碼,你的server才能讓你看信,你跑到我的server來看信,我的server不曉得你是誰,怎麼可以讓你看信?所以要怎麼樣?你在我的server這邊沒有設立帳戶,也可以自動認證你的身份。
更進一步的話,你只要過濾這一封等人來看的電子郵件就好了,不要等信送到幾萬個、幾十萬個人那裡,然後大家來過濾許多相同的電子郵件,都不要,過濾一封就好了。
再看一下,其實有很多優點,電子郵件留在送信的server這邊,假設電子郵件送給100個人,然後再給1萬個人,接著是100萬個人,每個人都要跑到送信的server來看這一封信,信不是一直丟出去的,都要跑到這邊來看的,所以如果發現信有問題的話,把單一的信控制住就好了。
加州在十五年前就通過法律了,一封垃圾電子郵件要罰1,000元美元,我這一種辦法,別人不敢亂送垃圾電子郵件了,人家說不要再送,如果還繼續送的話,人家會去告他跟抓他,所以我認為這個遏止作用可以消掉很多垃圾電子郵件。
我再補充一下,拿恐怖分子來當比喻,現在SMTP有一點像讓恐怖分子把炸彈包裹寄到受害人的家裡去,受害人打開受害,恐怖分子可以抓得到,但是要花時間,幾年前我看到報導,Yahoo每一天要過濾三十億個電子郵件,Gmail更多了。現在我的專利不是這樣子,恐怖分子要把炸彈包裹留在自己這邊,然後通知人來領這個炸彈包裹,世界上沒有這樣的恐怖分子,等人家來領就是等人家去檢舉他。
我2004年就申請了,但是重點是被專利局拖了很久,但是沒有關係。
如果這樣的話,我要去看看,我這個專利申請得很早,要看看有沒有侵犯到我的專利。
我相信那個有一點不太一樣。
所以全世界通用四十年的STMP標準,沒有用到最重要的特性,拿到中國、美國、歐盟的專利就是要用到即時性,怎麼用呢?送信收信的人分不出差別的,系統改了也完全不知道,我上傳電子郵件給我的server,差別從這裡開始,本來我的server送電子郵件到你的信箱裡面去,對不對?我說不可以這樣子,我的server把我的電子郵件扣在我的server上,不送出去,只自動產生一個通知給你,什麼人幾月幾日,有電子郵件給你看,你要不要?這個通知是送到你的信箱那裡去沒有錯,但沒有內容的,如果你想要看內容,是跑到我的server來看信,因為即時性,你不需要那張紙擺在你手中,摸得到,你隨時看得到。
電子郵件跟傳統郵件的最大差別是什麼地方?就是快,對不對?講快還不精確,像國際的郵件,從臺灣到美國要一個禮拜的話,假使七個小時可以送到也是很快,七個小時搭飛機還送不了,對不對?在正常的情況之下,電子郵件要送給任何一個人,不管這個郵件是在世界上的哪一個角落,通常在1至3秒都看得到,對不對?所以電子郵件快,快什麼程度?是叫做「即時性」。
現在變成是全世界的標準,他的觀念犯了一個錯誤,以當時來講不算有錯,但是以今天來講,犯了一個根本的錯誤,犯了什麼錯誤?把電子郵件當作傳統信在送收,什麼是傳統的信?像我人到臺灣,我打算在臺灣成立一個公司,我的家人在美國,我要寫信給他,我要拿信紙跟信封寫信,讓郵局把信寄到我家人的信箱去,現在電子郵件SMTP也是一模一樣的方式,如果要送電子郵件給你的話,我要怎麼做?我的電子郵件要傳給我的server,我的電腦就可以關了,我的server就根據你的email address送到你的incoming box,等你從incoming box看信,這一種做法,電子郵件跟傳統信的做法是完全一模一樣的,這種做法是錯誤的,為什麼是錯誤的?
我們有四個專利,我舉一個聽起來不可思議,但是講出來又沒有什麼的專利,說不定會比較容易接受。我們第一個專利是中國、歐盟跟美國的證書都已經拿到了,這個專利是我們要遏止垃圾電子郵件,現在全世界通用的標準是SMTP,我1978年在Berkeley唸研究所的時候,跟我同期的同學在當時提出一個概念。
現在比較重要的專利是ESCOE(US 9,667,605 B2),其實專利文件當中,都故意不是寫得很清楚,都寫得比較模糊一點,如果真正要瞭解的話,是要看technical spec,才知道我們可以怎麼樣認證,我們是用加密學,最主要的是自動,自動很重要。公開加密學有四十年的歷史了,技術很成熟了,現在不能充分利用是因為不能拿到公開金鑰,拿到也不知道是真的或者是假的,這個是我們要解決的問題。
第二,現在大家都知道,以前Google、Yahoo逃稅到開曼群島去設公司,現在都不行了,現在有OECD,所以我們在臺灣這一個部門的人越多的話,我們全世界的營收繳給臺灣的稅就越多,這個是我的想法。
我是在臺灣出生的,我是1973年新竹交大畢業,後來我到美國去,我先在UC Santa Barbra拿到碩士,再到UC Berkeley去,現在公司主要的成員都是臺灣籍的,有一些是美籍的,我自己是美籍,我們很想利用這個機會,想要在臺灣打造一個全世界技術最先進的網際網路島,營運中心還是在會矽谷那裡,我們認為最近這幾年臺灣的年輕人士氣比較低落,在台灣開發的產品,全世界各國政府都可以用,又可以開發這麼多的市場出來,希望可以鼓舞臺灣的年輕人。
另外,講到FinTech好了,我們會創造一個open environment,任何一個金融機構要加入的話,彼此不必事先這一家銀行跟那一家銀行說要溝通,不用,只要符合這個open environment的簡單要求,就可以放到全世界,讓銀行隨時加入或隨時退出,我們的構想是這樣子。
在治安方面,可以解決很多的問題,在市場方面也可以開發很多的市場,我這麼講好了,像大家講了很多FinTech,FinTech最根本的要求就是在認證身分,認證身分還不夠,還要在開放的環境內運作,什麼是開放的環境?對我們來講,我們專利不同的應用有不同的說法,我舉一個比較明顯的例子,像現在臺灣大部分的人用LINE,要溝通的話,彼此都用LINE,大陸都是用微信,我的專利可以讓微信、LINE等等的社交APP彼此溝通。
這個專利是什麼?因為從1995年,至少從那個時候,Yahoo崛起之後,Internet有很多問題,比如垃圾電子郵件太多、密碼被偷、網路付費盜刷,還有恐攻資訊及勒索郵件,所有的問題追根究底,我認為都只有一個,也就是認證身分,誰在做這一件事,如果能夠認證身分,不能造假的話,就會全部斷絕,至少會少很多,我的專利就是在做這個事情。
我很簡單說明一下,我上次3月的那一份文件沒有寫得很清楚,基本上我的想法是,我公司是在美國登記的,我有一個專利,美國已經通過了,PCT也代表148個國家認同符合專利條件,所以歐盟、中國應該沒有什麼問題。
