刑事警察人員 108 年網路與資訊安全考古題

A 和B 時常需要使用電腦網路聯繫（開會），每次開會時希望可以將在 網路傳送的訊息加密，以免洩漏機密資訊。  假設A 和B 共享一個秘密金鑰k。使用這個秘密金鑰k，A 和B 可在 開會之前建立會議金鑰（session key）。但是秘密金鑰k 可能會被偷竊、 洩漏或破解。在此情況下，解釋向前保密（forward secrecy）之意義。 （10 分）  假設A 和B 使用Diffie-Hellman 金鑰交換協定建立每次之會議金鑰。 在何種形況下，可視為具有向前保密之性質？在何種形況下，就無法 具有向前保密之性質？（10 分）

有些惡意網站會模仿真網站的顯示內容以騙取使用者的帳號和密碼。即 使用了網站認證（website certificates）的技術，網頁還是容易被模仿。 請設計一個簡單的方法來檢驗某個網站的真假。（20 分）

為提供研究或其他合法用途，政府機關或其他單位常會公開他們所收 集到的個人資料。為了避免個人資料洩漏，在公布這些資料或提供查 詢之前，必須先做去識別化的工作。解釋一個資料庫經去識別化之後 達到l-多樣（l-diversity）之意義。並解釋「不同l-多樣」（distinct l-diversity），「熵l-多樣」（entropy l-diversity），以及「遞歸（c, l）-多 樣」（recursive（c, l）-diversity）。（20 分）

最近發現某類型的處理器（CPU）可能潛藏安全漏洞。請先解釋分支預 測（branch prediction），再回答這些處理器為何會造成spectre 安全漏洞。 （20 分）

有人認為網路的安全問題之所以會發生，都是因為系統或應用程式撰寫 不正確所造成的，所以只要程式沒有錯誤（bug）就可高枕無憂了。舉 出至少三種事項說明即使所用的程式都沒有錯誤，也還會發生的問題與 困擾。（20 分）