Loading [MathJax]/extensions/tex2jax.js

0

1
0

文字

分享

0
1
0

OpenBSD 並沒有內藏 FBI 後門;值得關切的是神秘版的 RSA 加解密演算法及 SecurID

洪朝貴
・2013/08/30 ・3073字 ・閱讀時間約 6 分鐘 ・SR值 507 ・六年級

-----廣告,請繼續往下閱讀-----

openbsd 桌面及 logo
openbsd 桌面及 logo

[2013/12/22 補充: 啊! RSA 的後門不只是 理論上 存在於亂數產生器當中。 最新的 Snowden 解密證實: (中文) NSA 以三億台幣誘騙(或買通?) RSA公司, 在其產品內植入 Dual EC 後門。 路透社、 衛報、 簡中。]

前陣子在 blogger 後臺查看小格流量來源自 high 的時候,看到這串討論,裡面某大大宣稱 OpenBSD 被 FBI 植入後門。 正好,先前在寫 「Windows 暗藏 NSA 後門」 的時後,恰巧研究過這個謠言。本來想說 OpenBSD 是小眾的小眾,有點懶得談;不過現在發現連 ubuntu 的大大都被騙了,當然要幫 OpenBSD 澄清一下。這是已經被證實錯誤的謠言。反倒是 RSA 加解密演算法如果搭配某些特定、神秘、惡意的金鑰產生器 — 特別是它可能的衍生產品SecurID — 才值得你擔心。可以省略歷史與技術,直接跳到結論

首先,幫謠言補上網址,這樣打起來比較有真實感, 比較有 fu :-)搜尋「OpenBSD backdoor」,可以看見這事發生在 2010 年 12 月。資安專家 Bruce Schneier列出六篇報導; 但他表示個人並不太相信。「(OpenBSD) 這麼龐大的程式碼,一定有很多漏洞可鑽。從既有漏洞裡下手,會比自己動手安插要好多了。除非 FBI 裡面真的有人那麼笨。」

最開始是這樣爆料出來的。 一位Gregory Perry私下寄信給 OpenBSD 的大大Theo de Raadt, 宣稱十年前 FBI 曾找他們公司 NETSEC 在 OpenBSD 的加密系統 (OCF) 當中植入後門。 他並點名 Jason Wright 參與植入後門; 而指稱另一位領FBI薪水的Scott Lowe 大力鼓吹業界採用 OpenBSD 背後的真正原因,就是希望備有 FBI 後門的產品可以進入市場。Perry 說他跟 FBI 的秘密合約過期了, 所以才敢講出來。Theo de Raadt 在 12/14把信公佈在網路上,要大家自行採取適當措施:擔心的人請自行檢查程式碼;生氣的人另行採取行動;被誣控的人請自己澄清。

-----廣告,請繼續往下閱讀-----

接下來怎麼辦?如果是Windows或Mac OS,你就禱告吧;但是既然我們面對的是原始碼公開的OpenBSD,那就捲起袖子擦乾淨手上的餅乾屑,大家一起來檢查原始碼(audit)呀!Theo de Raadt 的信一寄出去,立即就有十位開發者著手檢查OCF的程式碼。一個星期後,Theo de Raadt 貼出這樣的結論他相信

  1. NETSEC 這家公司有在接政府「資安/反資安」的案子。
  2. 1999-2001 這段期間, 美國政府單位處心積慮將竊聽黑手從軍方伸向商業界。
  3. Gregory Perry 曾在 NETSEC 工作, 並面試僱用 Jason Wright, 然後Perry自己不知道為什麼就被 NETSEC逐出公司。
  4. Jason Wright 碰的是驅動程式而非加解密演算法的部分。
  5. 主管加解密演算法的 Angelos 後來確實有接受 NETSEC 的委託,並且將某一些加解密流程導到 Jason Wright 的是驅動程式去。我們也找到一些bugs,但我認為這些 bugs 都比較像是 「歲月留下的傷痕」(”a function of the time in history”)而不像是明顯的惡意後門。
  6. Jason跟Angelos在(OCF 以外的]別處, 對 OpenBSD 貢獻良多。我個人無法指控他們(惡意植後門)。
  7. 我想信 NETSEC 所接的案子, 原先確實是想要植入後門。
  8. 如果真有後門程式, 我也不認為它曾經成功入侵 OpenBSD 的官方版本。 也許是在 NETSEC 他們自己的版本裡面。
  9. 如果 Jason 跟 Angelos 早知道 NETSEC 是家什麼樣的公司, 他們早應該告訴我, 這樣我們當初也許會有不同的對策。
  10. 很高興大家藉這個機會把這部分這麼重要的程式碼清查了一遍, 回應了大家長久以來心中的疑慮。

那篇公開信當中也很清楚地列出他們找到的 bugs 的網址。 另外這篇分析 倒是有提到: 曾經有一個資安的 bug 在 2002 年時被默默地修正掉, 不太像是一般的做法。 總之後來的版本就沒那個問題了。

Gregory Perry 並沒有就此住口,反而後來又貼了 一長篇,除了解釋背景和歷史之外,並懷疑 FBI 與伊朗資金合作甚至力推 「密碼演算法輸出解禁」 的這個政策背後有陰謀。其中他很明確地聲稱 RSA 演算法有漏洞,又質疑 RSA 發明人為何要放著大把專利金不賺,將該演算法釋放到公領域。 既然 Perry 的專長是資安,而他又並沒有道歉認錯,於是我專注在他對資安演算法提出的疑慮,又搜尋、 連結到這篇密碼學書摘,指出: 如果採用 Elliptic Curve Asymmetric 方式產生的金鑰來餵給 RSA 演算法吃, 那麼確實可以暗藏後門。 作者是專門研究密碼學植後門的 Adam L. Young 與 Moti M. Yung。 別問我這是什麼,現在的我也看不懂 :-) [12/25 補充: 請參考白話解釋 「類似但比 “較簡”」 的後門機制: 撲克牌版的 「公鑰夾帶部分私鑰」 密碼破解術] 然後又搜尋到 “Simple Backdoors for RSA key generation” “A Comprehensive Study of Backdoors for RSA Key Generation” 兩篇學術論文, 都是在改進 Young 與 Yung 的 「植後門金鑰產生器」。前者指出:「對於第三方提供的金鑰產生器, 千萬別拿來用在 RSA 加密機制當中。」後者的作者是臺灣的孫宏民教授,探討如何改進Young與 Yung 所提出的金鑰產生器,讓用戶更不容易發現後門的存在。

然後又搜尋到一個被懷疑有後門的身份認證機制 “SecurID”。 以硬體版來說,這個產品像一把鑰匙,可以用來開啟對應的鎖。比較特別的是:它每一分鐘會改變一次密碼,所以它的時鐘必須與鎖同步,顯示的密碼才會正確。這個裝置被設計成禁止拆解研究(reverse engineering),據說是為了安全的理由。(咦, 為什麼有一種微軟講話的感覺:「棄權」 就是 「安全」?) 重點是:它正是 RSA 公司的產品(所以我猜應該是採用 RSA 加密技術)、它最強大的地方就是它有一個金鑰產生器 (而不是像過去的 LPT1 硬體鎖, 金鑰是燒死在電路版上的]、沒有人可以研究它的金鑰產生器如何運作 (因為禁止拆解研究)。這些不尋常的特性恰好就是「入侵佔領 RSA 的金鑰產生器」所有的/所需要的。 2011 年 3 月, NetworkWorld ComputerWorldUK 報導:「不願具名的產業分析師表示:RSA 跟政府秘密協商,讓政府可以(在 SecurID 產品裡) 嵌入後門,以換取 SecurID 獲得授權出口的權利。(還記得 Perry 說的 「密碼演算法輸出解禁」 嗎?) RSA 表示:基於法律因素,他們無法回應這項指控。

-----廣告,請繼續往下閱讀-----

本來只是要寫一篇破除謠言文而已, 沒想到越搜尋越發現真相太奇妙了… 下個結論收尾吧:

  1. 2003 年以後的 BSD, 或許有一些安全漏洞 (誰沒有啊?) 但 經過眾人檢視原始碼後, 並沒有發現後門。
  2. 下次要指控某個開放原始碼軟體被植入後門時, 請搜尋一下, 給個網址好嗎? 謠言止於搜尋。 如果真的內藏木馬, 那一段程式碼的名稱/時間/作者/內容一定會被明白糾出來的。
  3. 真正有問題的不是現代的 OpenBSD, 而是針對 RSA 演算法所設計的某一特定類型金鑰產生器。 如果你所採用的資安產品, 而底層的加解密機制恰好是 RSA, 那麼請小心。 RSA 本身不是問題; 可能有問題的是 (亂數) 金鑰產生器。 [請見 Explorer 在 1F 跟 3F 的留言。] 不論你有沒有能力研讀其金鑰產生器, 請試著去取得它的原始碼。 如果取得的過程困難重重, 那麼最好別用。
  4. 「RSA 公司所生產的 SecurID 產品被懷疑有後門」, 有許多側面證據 (circumstantial evidences) 但沒有一針見血的鐵證可以證明這個說法。 如果真的在意安全, 不用也罷。 維基百科 說: SanDisk、 Motorola、 Broadcom、 Blackberry 等等公司的產品都有採用; OATH HOTP 是可以取代 SecurID 的開放版替代品。
  5. 美國的 NSA 與 FBI 等邪惡組織在資訊產品裡藏後門的時候, 通常都不是直接大剌剌地明修棧道, 而是藏在加解密模組的 (亂數) 金鑰產生器裡面 — 就像 NSA 在 Windows 裡暗藏的後門 DUAL_EC_DRBG 一樣。 因為看得懂程式碼的門檻比較低; 看得懂加解密演算法系統 (含金鑰產生器) 破綻的門檻比較高。
  6. 同樣被懷疑遭美國政府植後門, 微軟與 OpenBSD 的後續處理方式與收場就大不相同。 原因在哪裡?

陽光是最好的消毒劑。 — 美國最高法院大法官 Louis Brandeis

(本文轉載自資訊人權貴ㄓ疑

-----廣告,請繼續往下閱讀-----
文章難易度
洪朝貴
47 篇文章 ・ 1 位粉絲

0

1
0

文字

分享

0
1
0
數智驅動未來:從信任到執行,AI 為企業創新賦能
鳥苷三磷酸 (PanSci Promo)_96
・2025/01/13 ・4938字 ・閱讀時間約 10 分鐘

-----廣告,請繼續往下閱讀-----

本文由 鼎新數智 與 泛科學 共同規劃與製作

你有沒有想過,當 AI 根據病歷與 X 光片就能幫你診斷病症,或者決定是否批准貸款,甚至從無人機發射飛彈時,它的每一步「決策」是怎麼來的?如果我們不能知道 AI 的每一個想法步驟,對於那些 AI 輔助的診斷和判斷,要我們如何放心呢?

馬斯克與 OpenAI 的奧特曼鬧翻後,創立了新 AI 公司 xAI,並推出名為 Grok 的產品。他宣稱目標是以開源和可解釋性 AI 挑戰其他模型,而 xAI 另一個意思是 Explainable AI 也就是「可解釋性 AI」。

如今,AI 已滲透生活各處,而我們對待它的方式卻像求神問卜,缺乏科學精神。如何讓 AI 具備可解釋性,成為當前關鍵問題?

-----廣告,請繼續往下閱讀-----
AI 已滲透生活各處,而我們對待它的方式卻像求神問卜,缺乏科學精神。如何讓 AI 具備可解釋性,成為當前關鍵問題?圖/pexels

黑盒子模型背後的隱藏秘密

無法解釋的 AI 究竟會帶來多少問題?試想,現在許多銀行和貸款機構已經使用 AI 評估借貸申請者的信用風險,但這些模型往往如同黑箱操作。有人貸款被拒,卻完全不知原因,感覺就像被分手卻不告訴理由。更嚴重的是,AI 可能擅自根據你的住所位置或社會經濟背景給出負面評價,這些與信用風險真的相關嗎?這種不透明性只會讓弱勢群體更難融入金融體系,加劇貧富差距。這種不透明性,會讓原本就已經很難融入金融體系的弱勢群體,更加難以取得貸款,讓貧富差距越來越大,雪上加霜。

AI 不僅影響貸款,還可能影響司法公正性。美國部分法院自 2016 年起使用「替代性制裁犯罪矯正管理剖析軟體」 COMPAS 這款 AI 工具來協助量刑,試圖預測嫌犯再犯風險。然而,這些工具被發現對有色人種特別不友好,往往給出偏高的再犯風險評估,導致更重的刑罰和更嚴苛的保釋條件。更令人擔憂的是,這些決策缺乏透明度,AI 做出的決策根本沒法解釋,這讓嫌犯和律師無法查明問題根源,結果司法公正性就這麼被悄悄削弱了。

此外,AI 在醫療、社交媒體、自駕車等領域的應用,也充滿類似挑戰。例如,AI 協助診斷疾病,但若原因報告無法被解釋,醫生和患者又怎能放心?同樣地,社群媒體或是 YouTube 已經大量使用 AI 自動審查,以及智慧家居或工廠中的黑盒子問題,都像是一場越來越複雜的魔術秀——我們只看到結果,卻無法理解過程。這樣的情況下,對 AI 的信任感就成為了一個巨大的挑戰。

為什麼人類設計的 AI 工具,自己卻無法理解?

原因有二。首先,深度學習模型結構複雜,擁有數百萬參數,人類要追蹤每個輸入特徵如何影響最終決策結果,難度極高。例如,ChatGPT 中的 Transformer 模型,利用注意力機制(Attention Mechanism)根據不同詞之間的重要性進行特徵加權計算,因為機制本身涉及大量的矩陣運算和加權計算,這些數學操作使得整個模型更加抽象、不好理解。

-----廣告,請繼續往下閱讀-----

其次,深度學習模型會會從資料中學習某些「特徵」,你可以當作 AI 是用畫重點的方式在學習,人類劃重點目的是幫助我們加速理解。AI 的特徵雖然也能幫助 AI 學習,但這些特徵往往對人類來說過於抽象。例如在影像辨識中,人類習慣用眼睛、嘴巴的相對位置,或是手指數量等特徵來解讀一張圖。深度學習模型卻可能會學習到一些抽象的形狀或紋理特徵,而這些特徵難以用人類語言描述。

深度學習模型通常採用分佈式表示(Distributed Representation)來編碼特徵,意思是將一個特徵表示為一個高維向量,每個維度代表特徵的不同方面。假設你有一個特徵是「顏色」,在傳統的方式下,你可能用一個簡單的詞來表示這個特徵,例如「紅色」或「藍色」。但是在深度學習中,這個「顏色」特徵可能被表示為一個包含許多數字的高維向量,向量中的每個數字表示顏色的不同屬性,比如亮度、色調等多個數值。對 AI 而言,這是理解世界的方式,但對人類來說,卻如同墨跡測驗般難以解讀。

假設你有一個特徵是「顏色」,在傳統的方式下,你可能用一個簡單的詞來表示這個特徵,例如「紅色」或「藍色」。但是在深度學習中,這個「顏色」特徵可能被表示為一個包含許多數字的高維向量,向量中的每個數字表示顏色的不同屬性,比如亮度、色調等多個數值。圖/unsplash

試想,AI 協助診斷疾病時,若理由是基於醫生都無法理解的邏輯,患者即使獲得正確診斷,也會感到不安。畢竟,人們更相信能被理解的東西。

打開黑盒子:可解釋 AI 如何運作?我們要如何教育 AI?

首先,可以利用熱圖(heatmap)或注意力圖這類可視化技術,讓 AI 的「思維」有跡可循。這就像行銷中分析消費者的視線停留在哪裡,來推測他們的興趣一樣。在卷積神經網絡和 Diffusion Models 中 ,當 AI 判斷這張照片裡是「貓」還是「狗」時,我需要它向我們展示在哪些地方「盯得最緊」,像是耳朵的形狀還是毛色的分布。

-----廣告,請繼續往下閱讀-----

其次是局部解釋,LIME 和 SHAP 是兩個用來發展可解釋 AI 的局部解釋技術。

SHAP 的概念來自博弈,它將每個特徵看作「玩家」,而模型的預測結果則像「收益」。SHAP 會計算每個玩家對「收益」的貢獻,讓我們可以了解各個特徵如何影響最終結果。並且,SHAP 不僅能透過「局部解釋」了解單一個結果是怎麼來的,還能透過「全局解釋」理解模型整體的運作中,哪些特徵最重要。

以實際的情景來說,SHAP 可以讓 AI 診斷出你有某種疾病風險時,指出年齡、體重等各個特徵的影響。

LIME 的運作方式則有些不同,會針對單一個案建立一個簡單的模型,來近似原始複雜模型的行為,目的是為了快速了解「局部」範圍內的操作。比如當 AI 拒絕你的貸款申請時,LIME 可以解釋是「收入不穩定」還是「信用紀錄有問題」導致拒絕。這種解釋在 Transformer 和 NLP 應用中廣泛使用,一大優勢是靈活且計算速度快,適合臨時分析不同情境下的 AI 判斷。比方說在醫療場景,LIME 可以幫助醫生理解 AI 為何推薦某種治療方案,並說明幾個主要原因,這樣醫生不僅能更快做出決策,也能增加患者的信任感。

-----廣告,請繼續往下閱讀-----

第三是反事實解釋:如果改變一點點,會怎麼樣?

如果 AI 告訴你:「這家銀行不會貸款給你」,這時你可能會想知道:是收入不夠,還是年齡因素?這時你就可以問 AI:「如果我年輕五歲,或者多一份工作,結果會怎樣?」反事實解釋會模擬這些變化對結果的影響,讓我們可以了解模型究竟是如何「權衡利弊」。

最後則是模型內部特徵的重要性排序。這種方法能顯示哪些輸入特徵對最終結果影響最大,就像揭示一道菜中,哪些調味料是味道的關鍵。例如在金融風險預測中,模型可能指出「收入」影響了 40%,「消費習慣」占了 30%,「年齡」占了 20%。不過如果要應用在像是 Transformer 模型等複雜結構時,還需要搭配前面提到的 SHAP 或 LIME 以及可視化技術,才能達到更完整的解釋效果。

講到這裡,你可能會問:我們距離能完全信任 AI 還有多遠?又或者,我們真的應該完全相信它嗎?

-----廣告,請繼續往下閱讀-----

我們終究是想解決人與 AI 的信任問題

當未來你和 AI 同事深度共事,你自然希望它的決策與行動能讓你認可,幫你省心省力。因此,AI 既要「可解釋」,也要「能代理」。

當未來你和 AI 同事深度共事,你自然希望它的決策與行動能讓你認可,幫你省心省力。圖/unsplash

舉例來說,當一家公司要做一個看似「簡單」的決策時,背後的過程其實可能極為複雜。例如,快時尚品牌決定是否推出新一季服裝,不僅需要考慮過去的銷售數據,還得追蹤熱門設計趨勢、天氣預測,甚至觀察社群媒體上的流行話題。像是暖冬來臨,厚外套可能賣不動;或消費者是否因某位明星愛上一種顏色,這些細節都可能影響決策。

這些數據來自不同部門和來源,龐大的資料量與錯綜關聯使企業判斷變得困難。於是,企業常希望有個像經營大師的 AI 代理人,能吸收數據、快速分析,並在做決定時不僅給出答案,還能告訴你「為什麼要這麼做」。

傳統 AI 像個黑盒子,而可解釋 AI (XAI)則清楚解釋其判斷依據。例如,為什麼不建議推出厚外套?可能理由是:「根據天氣預測,今年暖冬概率 80%,過去三年數據顯示暖冬時厚外套銷量下降 20%。」這種透明解釋讓企業更信任 AI 的決策。

-----廣告,請繼續往下閱讀-----

但會解釋還不夠,AI 還需能真正執行。這時,就需要另一位「 AI 代理人」上場。想像這位 AI 代理人是一位「智慧產品經理」,大腦裝滿公司規則、條件與行動邏輯。當客戶要求變更產品設計時,這位產品經理不會手忙腳亂,而是按以下步驟行動:

  1. 檢查倉庫物料:庫存夠不夠?有沒有替代料可用?
  2. 評估交期影響:如果需要新物料,供應商多快能送到?
  3. 計算成本變化:用新料會不會超出成本預算?
  4. 做出最優判斷,並自動生成變更單、工單和採購單,通知各部門配合執行。

這位 AI 代理人不僅能自動處理每個環節,還會記錄每次決策結果,學習如何變得更高效。隨時間推移,這位「智慧產品經理」的判斷將更聰明、決策速度更快,幾乎不需人工干預。更重要的是,這些判斷是基於「以終為始」的原則,為企業成長目標(如 Q4 業績增長 10%)進行連續且動態地自我回饋,而非傳統系統僅月度檢核。

這兩位 AI 代理人的合作,讓企業決策流程不僅透明,還能自動執行。這正是數智驅動的核心,不僅依靠數據驅動決策,還要能解釋每一個選擇,並自動行動。這個過程可簡化為 SUPA,即「感知(Sensing)→ 理解(Understanding)→ 規劃(Planning)→ 行動(Acting)」的閉環流程,隨著數據的變化不斷進化。

偉勝乾燥工業為例,他們面臨高度客製化與訂單頻繁變更的挑戰。導入鼎新 METIS 平台後,偉勝成功將數智驅動融入業務與產品開發,專案準時率因此提升至 80%。他們更將烤箱技術與搬運機器人結合,開發出新形態智慧化設備,成功打入半導體產業,帶動業績大幅成長,創造下一個企業的增長曲線。

-----廣告,請繼續往下閱讀-----

值得一提的是,數智驅動不僅帶動業務增長,還讓員工擺脫繁瑣工作,讓工作更輕鬆高效。

數智驅動的成功不僅依賴技術,還要與企業的商業策略緊密結合。為了讓數智驅動真正發揮作用,企業首先要確保它服務於具體的業務需求,而不是為了技術而技術。

這種轉型需要有策略、文化和具體應用場景的支撐,才能讓數智驅動真正成為企業持續增長的動力。

還在猶豫數智驅動的威力?免費上手企業 AI 助理!👉 企業 AI 體驗
現在使用專屬邀請碼《 KP05 》註冊就享知:https://lihi.cc/EDUk4
訂閱泛科學獨家知識頻道,深入科技趨勢與議題內容。

👉立即免費加入

-----廣告,請繼續往下閱讀-----
文章難易度
鳥苷三磷酸 (PanSci Promo)_96
222 篇文章 ・ 313 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia

0

1
0

文字

分享

0
1
0
解密離岸風電政策環評:從審查標準到執行成效,一次看懂
鳥苷三磷酸 (PanSci Promo)_96
・2024/12/21 ・3546字 ・閱讀時間約 7 分鐘

-----廣告,請繼續往下閱讀-----

本文由 環境部 委託,泛科學企劃執行。 

政策環評是什麼,跟一般環評差在哪?

隨著公共建設的規模越來越大,傳統的環境影響評估(EIA),難以應對當今層層疊疊的環境議題。當我們評估一項重大政策時,只看「單一開發案」已經不夠,就像評估一棵樹,卻忽略了整片森林。因此,政策環境影響評估(SEA)應運而生,它看樹,也看森林,從政策的角度進行更全面的考量與評估。

與只專注於「單一開發案」的個案環評不同,政策環評更像是一場全面性的檢視,強調兩個核心重點:「整合評估」與「儘早評估」。簡單來說,這不再是逐案評估的模式,而是要求政府在制定政策時,就先全面分析可能帶來的影響,從單一行為的侷限中跳脫,轉而聚焦在整體影響的視角。無論是環境的整體變化,還是多項行為累計起來的長期影響,政策環評的目的就是讓這些潛在問題能儘早浮現、儘早解決。

除此之外,政策環評還像是一個大型的協商平台,以永續發展為最高指導原則,公開整合來自不同利益團體、民眾與各機關的意見。這裡,決策單位不再只是單純的「評分者」,而是轉為「協調者」或「仲裁者」,協調各方的意見看法在這裡得到整合,讓過程更具包容性。

-----廣告,請繼續往下閱讀-----

政策環評並沒有所謂的「否決權」,而是側重意見的蒐集與整合,讓行政機關在政策推動時,能更全面地掌握各方意見。政策環評旨在建立系統化、彈性的決策評估程序(包含量化、特徵化等評估方式),也廣納社會面或民眾滿意度等影響因子,把正式與非正式的作法一併考量進去。再來,決策程序中能層層檢討、隨時修正,也建立了追蹤機制和成效評估標準(如環境殘餘效應、累積效應等),透過學習來強化決策品質與嚴謹度。就像一場球賽,隨時根據變化、調整策略。

這樣的制度設計,就非常適合離岸風電這類規模大、跨區域、影響層面廣泛的能源政策評估,讓我們可以在政策推動初期就想到整個工程對環境、產業發展與社會的諸多影響,也為後續政策執行奠定更穩固的基礎。

政策環評並沒有否決權,而是重在整合各方意見、量化影響以及建立追蹤與修正機制,這樣的制度設計便適用於離岸風電等大型政策評估。圖/envato

離岸風電為何需要的是政策環評?

離岸風電是能源轉型的重要策略之一,但這不是只在某塊空地上架幾個風車,而是要在廣闊的大海中進行大規模建設,牽涉的不僅是發電,還涉及海洋保育、航空交通、水下文化資產等議題,更與當地漁民的權益息息相關。

這樣的大型離岸風電工程,因海洋環境的風險和不確定性極高,很容易讓人擔心生態影響。如何在海洋生態保護和綠能發展之間找到平衡點?這就需要政策環評的把關,從多方檢視這些複雜的挑戰,確保政策推行既能穩妥,又能達成發電目標。

-----廣告,請繼續往下閱讀-----

2016 年 3 月,經濟部自願提出「離岸風電區塊開發政策評估說明書」,是臺灣首次針對再生能源政策所進行的政策環評。根據這份評估說明書,政府將採分期公告、逐年檢討的方式,每三年開放 0.5~1 百萬瓩(GW)的電量額度鼓勵業者投入開發。當時環保署(現為環境部)歷經九個月召開 2 次意見徵詢會議,蒐集環評委員、專家學者、相關機關、民眾等意見,最終於同年 12 月的環評委員會作出徵詢意見。這些協商和檢討的過程,讓政策「名正言順」,得以充分顧及各方利益與生態平衡。

共通性環境議題與因應對策

在「離岸風電區塊開發政策評估說明書」中,環評會議盤點了開發過程中共通的環境議題。

首先,對於海洋生態保育的重點,特別是對中華白海豚的保護。環評會要求風機基座必須距離白海豚棲地1公里以上,以減少對其生態的干擾。實際上,這項規範在後續的實務執行中更為嚴格,例如,福海二期示範風場已退縮到 2.5 公里外,臺電二期風場甚至退到 4.2 公里外,顯示政策環評確實發揮了實質作用。此外,針對施工期間的聲音干擾,要求施工需有 30 分鐘以上的打樁緩啟動時間,並限制聲量不得超過 180 分貝等。

針對鳥類保育,政策環評也訂立了具體規範。其中,包括風機之間必須留設 500 公尺以上的鳥類穿行廊道,並在施工期間避開每年 11 月至隔年 3 月的候鳥過境期。同時,為確保這些措施確實生效,工程方也被要求設置「鳥類活動監測系統」,持續追蹤、評估風場對鳥類的影響。

-----廣告,請繼續往下閱讀-----

此外,環評會也確立了「先遠後近」的開發原則,要求優先開發較單純的航道外側區塊,待累積足夠經驗及相關資料後,再進行近岸區域的開發。這項原則考量了近海生態系的複雜性,也顧到養殖漁業的漁民權益,展現出政策環評在平衡發展需求與環境保護上的價值。

新一代的審查機制:達成能源轉型及環境保護雙贏

為提升環評效率並確保審查品質,環境部參考過去離岸風電審查經驗,制定「風力發電離岸系統開發行為環境影響評估初審作業要點」,建立了全新的二階段審查機制。

環境部推動二階段審查機制,提升離岸風電環評效率與審查品質。圖/envato

這套新機制分為兩個階段。第一階段,就像「初步檢查」,由環境部依照檢核表進行初審,並由環評審查委員會執行秘書邀集 2-5 位環評委員進行初審,通過第一階段初審之業者,可取得經濟部遴選資格,其初審結果有效期為兩年,必要時可申請展延一年。接著進入「第二階段」,開發單位檢附目的事業主管機關核配的容量證明文件等資料,提供更詳細的環境影響說明書以進行實質審查。

檢核表明確規範了 15 大項審查事項、112 項檢核項目,涵蓋開發案的全生命週期。

-----廣告,請繼續往下閱讀-----

工程面,包含風機及海上變電站基礎設置、海域電纜路線規劃、陸域設施工程等硬體設施的規範。其中,風機基礎設置必須避開海岸保護區、河口、潮間帶等環境敏感區域,且須進行地震危害度分析。海域電纜部分,除特殊情形外,埋設深度至少須達 1.5 公尺,且不得跨越中華電信海底電纜 1 公里的範圍。

環境保護上,檢核表則對施工噪音管制訂立了明確標準。舉例來說,打樁期間警戒區 750 公尺範圍內的水下噪音不得超過 160 分貝,且必須全程採用最佳噪音防制工法。同時,每個開發案或聯席審查的風場,同一時間內只能進行一支基樁施作,而日落前一小時到日出前也不得啟動新的打樁作業。

環境監測計畫更是檢核表中的重點,分為「施工前、施工期間、營運期間」三階段,每個階段都規定了詳細的監測要求(包括海域底質監測、水下噪音監測、鯨豚目視監測等)。以鯨豚監測為例,每年需執行20趟次,四季中每季至少執行 2 趟次。此外,所有監測數據都必須上傳至環境部「環保專案成果倉儲系統」(https://epaw.moenv.gov.tw/)供各界查閱。

這套標準化的審查機制不僅解決了「同一風場可能有多家廠商重複調查或審查」的資源浪費,也透過明確的檢核項目,讓開發單位在規劃階段就能掌握更具體的環境保護要求。不僅如此,該機制亦確保了環境保護標準前後一致,避免不同案件之間標準不一。

-----廣告,請繼續往下閱讀-----

結語

透過新的審查機制,環境部正積極推動再生能源開發案的環評審查作業,在提升行政效率之餘,也確保環境影響評估的品質,支持臺灣的離岸風電開發及國家能源轉型政策,也做好把關。藉由標準化檢核表和二階段審查制度,期待能在推動能源轉型的同時落實環境保護。

為確保制度能持續精進,環境部每半年至一年會進行制度檢討,並持續公開所有環評書件於「環評書件查詢系統」(https://eiadoc.moenv.gov.tw/eiaweb/)。此外,環評會議召開前一週,也必須在指定網站公布開會訊息,讓民眾能申請列席旁聽或發表意見。透明化措施一方面展現了政府推動永續發展的決心,另一方面也確保全民能共同參與監督離岸風電的發展過程。未來,這套制度將在各界的檢視與建議中持續完善,為臺灣的永續發展貢獻心力,發揮環評作業的最大效益。

-----廣告,請繼續往下閱讀-----
文章難易度

討論功能關閉中。

鳥苷三磷酸 (PanSci Promo)_96
222 篇文章 ・ 313 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia

0

1
0

文字

分享

0
1
0
當心網路陷阱!從媒體識讀、防詐騙到個資保護的安全守則
鳥苷三磷酸 (PanSci Promo)_96
・2024/12/17 ・3006字 ・閱讀時間約 6 分鐘

-----廣告,請繼續往下閱讀-----

本文由 國家通訊傳播委員會 委託,泛科學企劃執行。 

網路已成為現代人生活中不可或缺的一部分,可伴隨著便利而來的,還有層出不窮的風險與威脅。從充斥網路的惡假害訊息,到日益精進的詐騙手法,再到個人隱私的安全隱憂,這些都是我們每天必須面對的潛在危機。2023 年網路購物詐欺案件達 4,600 起,較前一年多出 41%。這樣的數據背後,正反映出我們對網路安全意識的迫切需求⋯⋯

「第一手快訊」背後的騙局真相

在深入探討網路世界的風險之前,我們必須先理解「錯誤訊息」和「假訊息」的本質差異。錯誤訊息通常源於時效性考量下的查證不足或作業疏漏,屬於非刻意造假的不實資訊。相較之下,假訊息則帶有「惡、假、害」的特性,是出於惡意、虛偽假造且意圖造成危害的資訊。

2018 年的關西機場事件就是一個鮮明的例子。當時,燕子颱風重創日本關西機場,數千旅客受困其中。中國媒體隨即大肆宣傳他們的大使館如何派車前往營救中國旅客,這則未經證實的消息從微博開始蔓延,很快就擴散到各個內容農場。更令人遺憾的是,這則假訊息最終導致當時的外交部駐大阪辦事處處長蘇啟誠,因不堪輿論壓力而選擇結束生命。

-----廣告,請繼續往下閱讀-----

同年,另一則「5G 會抑制人體免疫系統」的不實訊息在網路上廣為流傳。這則訊息聲稱 5G 技術會影響人體免疫力、導致更容易感染疾病。儘管科學家多次出面澄清這完全是毫無根據的說法,但仍有許多人選擇相信並持續轉發。類似的例子還有 2018 年 2 月底 3 月初,因量販業者不當行銷與造謠漲價,加上媒體跟進報導,而導致民眾瘋狂搶購衛生紙的「安屎之亂」。這些案例都說明了假訊息對社會秩序的巨大衝擊。

提升媒體識讀能力,對抗錯假訊息

面對如此猖獗的假訊息,我們首要之務就是提升媒體識讀能力。每當接觸到訊息時,都應先評估發布該消息的媒體背景,包括其成立時間、背後所有者以及過往的報導記錄。知名度高、歷史悠久的主流媒體通常較為可靠,但仍然不能完全放下戒心。如果某則消息只出現在不知名的網站或社群媒體帳號上,而主流媒體卻未有相關報導,就更要多加留意了。

提升媒體識讀能力,檢視媒體背景,警惕來源不明的訊息。圖/envato

在實際的資訊查證過程中,我們還需要特別關注作者的身分背景。一篇可信的報導通常會具名,而且作者往往是該領域的資深記者或專家。我們可以搜索作者的其他作品,了解他們的專業背景和過往信譽。相對地,匿名或難以查證作者背景的文章,就需要更謹慎對待。同時,也要追溯消息的原始來源,確認報導是否明確指出消息從何而來,是一手資料還是二手轉述。留意發布日期也很重要,以免落入被重新包裝的舊聞陷阱。

這優惠好得太誇張?談網路詐騙與個資安全

除了假訊息的威脅,網路詐騙同樣令人憂心。從最基本的網路釣魚到複雜的身分盜用,詐騙手法不斷推陳出新。就拿網路釣魚來說,犯罪者通常會偽裝成合法機構的人員,透過電子郵件、電話或簡訊聯繫目標,企圖誘使當事人提供個人身分、銀行和信用卡詳細資料以及密碼等敏感資訊。這些資訊一旦落入歹徒手中,很可能被用來進行身分盜用和造成經濟損失。

-----廣告,請繼續往下閱讀-----
網路詐騙手法不斷進化,釣魚詐騙便常以偽裝合法機構誘取敏感資訊。圖/envato

資安業者趨勢科技的調查就發現,中國駭客組織「Earth Lusca」在 2023 年 12 月至隔年 1 月期間,利用談論兩岸地緣政治議題的文件,發起了一連串的網路釣魚攻擊。這些看似專業的政治分析文件,實際上是在臺灣總統大選投票日的兩天前才建立的誘餌,目的就是為了竊取資訊,企圖影響國家的政治情勢。

網路詐騙還有一些更常見的特徵。首先是那些好到令人難以置信的優惠,像是「中獎得到 iPhone 或其他奢侈品」的訊息。其次是製造緊迫感,這是詐騙集團最常用的策略之一,他們會要求受害者必須在極短時間內作出回應。此外,不尋常的寄件者與可疑的附件也都是警訊,一不小心可能就會點到含有勒索軟體或其他惡意程式的連結。

在個人隱私保護方面,社群媒體的普及更是帶來了新的挑戰。2020 年,一個發生在澳洲的案例就很具有警示意義。當時的澳洲前總理艾伯特在 Instagram 上分享了自己的登機證照片,結果一位網路安全服務公司主管僅憑這張圖片,就成功取得了艾伯特的電話與護照號碼等個人資料。雖然這位駭客最終選擇善意提醒而非惡意使用這些資訊,但這個事件仍然引發了對於在社群媒體上分享個人資訊安全性的廣泛討論。

安全防護一把罩!更新裝置、慎用 Wi-Fi、強化密碼管理

為了確保網路使用的安全,我們必須建立完整的防護網。首先是確保裝置和軟體都及時更新到最新版本,包括作業系統、瀏覽器、外掛程式和各類應用程式等。許多網路攻擊都是利用系統或軟體的既有弱點入侵,而這些更新往往包含了對已知安全漏洞的修補。

-----廣告,請繼續往下閱讀-----

在使用公共 Wi-Fi 時也要特別當心。許多公共 Wi-Fi 缺乏適當的加密和身分驗證機制,讓不法分子有機可乘,能夠輕易地攔截使用者的網路流量,竊取帳號密碼、信用卡資訊等敏感數據。因此,在咖啡廳、機場、車站等公共場所,都應該避免使用不明的免費 Wi-Fi 處理重要事務或進行線上購物。如果必須連上公用 Wi-Fi,也要記得停用裝置的檔案共享功能。

使用公共 Wi-Fi 時,避免處理敏感事務,因可能存在數據被攔截與盜取的風險。圖/envato

密碼管理同樣至關重要。我們應該為不同的帳戶設置獨特且具有高強度的密碼,結合大小寫字母、數字和符號,創造出難以被猜測的組合。密碼長度通常建議在 8~12 個字元之間,且要避免使用個人資訊相關的詞彙,如姓名、生日或電話號碼。定期更換密碼也是必要的,建議每 3~6 個月更換一次。研究顯示,在網路犯罪的受害者中,高達八成的案例都與密碼強度不足有關。

最後,我們還要特別注意社群媒體上的隱私設定。許多人在初次設定後就不再關心,但實際上我們都必須定期檢查並調整這些設定,確保自己清楚瞭解「誰可以查看你的貼文」。同時,也要謹慎管理好友名單,適時移除一些不再聯繫或根本不認識的人。在安裝新的應用程式時,也要仔細審視其要求的權限,只給予必要的存取權限。

提升網路安全基於習慣培養。辨識假訊息的特徵、防範詐騙的警覺心、保護個人隱私的方法⋯⋯每一個環節都不容忽視。唯有這樣,我們才能在享受網路帶來便利的同時,也確保自身的安全!

-----廣告,請繼續往下閱讀-----

討論功能關閉中。

鳥苷三磷酸 (PanSci Promo)_96
222 篇文章 ・ 313 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia