2016臺灣駭客年會找來任職Line資安部門的Nikolay Elenkov揭露Line內部的資安架構。他表示,目前平臺所著重的資安議題總共有四大項:Line架構安全性、通訊傳輸、訊息及網路通話安全,以及裝置安全,「而Line跟其他企業的特色不大一樣。」他解釋,大部分Line使用者不太重視資安議題,同時為了兼顧應用程式易用性及安全性,「很難做到百分之百安全。」

Line擁有不少相異裝置的版本,包含Android、iOS,以及桌機版等。在後端則必須透過不同的系統元件,處理使用者傳送訊息的需求,例如Talk Server、Timeline、認證模組等元件。而介於使用者於後段系統間,則有透過LEGY(Line Event Gateway),串接系統後端的應用程式服務。

LEGY(Line Event Gateway)除了路由功能外,還必須負責傳輸間的加密任務,在Line只有2至3人知道其實作細節。

目前Line是使用TLS加密,導入版本為1.2版。 Nikolay Elenkov表示,此版本延遲性的問題特別嚴重,在行動網路中,傳送封包的來回時間(Round Trip Time,RTT)也常較長。此外傳送訊息也要多次交握程序(Handshake)。未來TLS 1.3版則要減少交握程序次數,並且讓RTT下降為0,「不過目前還尚未完成。」

Line在傳送使用者訊息時,會透過四大步驟進行加密。首先,1號使用者會與Talk Server索取2號使用者公鑰,第二步驟中,1號使用者則是將訊息發送給Talk Server,並且在傳遞送至2號使用者。在收到訊息後,2號使用者則會與Talk Server索取1號使用者公鑰,便完成了整個加密程序。

現在Line通訊機制加密制度也延伸到群組對話,每個對話群組都會產生一組共用公鑰,每當群組成員更動時,系統也會產生新的公鑰。

不僅是通訊,Line所推出的遊戲同樣也得注意資安議題。Nikolay Elenkov舉例,某些不法人士會試圖想要破除系統限制,在更短時間內回復體力。而系統會偵測該使用者是否已達系統設定的條件。若發現不符,將會駁回請求。


熱門新聞

Advertisement