📜 [專欄新文章] [ZKP 讀書會] Trust Token Browser API
✍️ Yuren Ju
📥 歡迎投稿: https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium
Trust Token API 是一個正在標準化的瀏覽器 API,主要的目的是在保護隱私的前提下提供跨站授權 (Cross-domain authorization) 的功能,以前如果需要跨站追蹤或授權通常都使用有隱私疑慮的 Cookies 機制,而 Trust Token 則是希望在保護隱私的前提下完成相同的功能。
會在 ZKP (Zero-knowledge proof) 讀書會研究 Trust Token 主要是這個 API 採用了零知識證明來保護隱私,這也是這次讀書會中少見跟區塊鏈無關的零知識證明應用。
問題
大家應該都有點了一個產品的網頁後,很快的就在 Facebook 或是 Google 上面看到相關的廣告。但是產品網頁並不是在 Facebook 上面,他怎麼會知道我看了這個產品的頁面?
通常這都是透過 Cookie 來做跨網站追蹤來記錄你在網路上的瀏覽行為。以 Facebook 為例。
當使用者登入 Facebook 之後,Facebook 會透過 Cookie 放一段識別碼在瀏覽器裡面,當使用者造訪了有安裝 Facebook SDK 來提供「讚」功能的網頁時,瀏覽器在載入 SDK 時會再度夾帶這個識別碼,此時 Facebook 就會知道你造訪了特定的網頁並且記錄下來了。如此一來再搭配其他不同管道的追蹤方式,Facebook 就可以建構出特定使用者在網路上瀏覽的軌跡,從你的瀏覽紀錄推敲喜好,餵給你 Facebook 最想給你看的廣告了。
不過跨站追蹤也不是只能用在廣告這樣的應用上,像是 CDN (Content Delivery Network) 也是一個應用場景。CDN 服務 Cloudflare 提供服務的同時會利用 Captcha 先來確定進入網站的是不是真人或是機器人。而他希望使用者如果是真人時下次造訪同時也是採用 Cloudflare 服務的網站不要再跳出 Captcha 驗證訊息。
雖然 Cloudflare 也需要跨站驗證的功能來完成他們的服務,但是相較於 Google 或 Facebook 來說他們是比較沒那麼想知道使用者的隱私。有沒有什麼辦法可以保護使用者隱私的狀況下還能完成跨站驗證呢?
這就是今天要講的新 API: Trust Token。
Trust Token API - The Chromium Projects
Trust Token / Privacy Pass 簡介
Trust Token 其實是由 Privacy Pass 延伸而來。Privacy Pass 就是由 Cloudflare 所開發的實驗性瀏覽器延伸套件實作一個驗證機制,可以在不透漏過多使用者隱私的前提下實作跨站驗證。而 Trust Token 則是標準化的 Privacy Pass,所以兩個運作機制類似,但是實作方式稍有不同。
先看一下 Privacy Pass 是如何使用。因為這是實驗性的瀏覽器延伸套件所以看起來有點陽春,不過大致上還是可以了解整個概念。
以 hCaptcha 跟 Cloudflare 的應用為例,使用者第一次進到由 Cloudflare 提供服務的網站時,網站會跳出一些人類才可以解答的問題比如說「挑出以下是汽車的圖片」。
當使用者答對問題後,Cloudflare 會回傳若干組 blind token,這些 blind token 還會需要經過 unblind 後才會變成真正可以使用的 token,這個過程為 issue token。如上圖所示假設使用者這次驗證拿到了 30 個 token,在每次造訪由 Cloudflare 服務的網站時就會用掉一個 token,這個步驟稱為 redeem token。
但這個機制最重要的地方在於 Cloudflare 並無法把 issue token 跟 redeem token 這兩個階段的使用者連結在一起,也就是說如果 Alice, Bob 跟 Chris 都曾經通過 Captcha 測試並且獲得了 Token,但是在後續瀏覽不同網站時把 token 兌換掉時,Clouldflare 並無法區分哪個 token 是來自 Bob,哪個 token 是來自 Alice,但是只要持有這種 token 就代表持有者已經通過了 Captcha 的挑戰證明為真人。
但這樣的機制要怎麼完成呢?以下我們會透過多個步驟的例子來解釋如何達成這個目的。不過在那之前我們要先講一下 Privacy Pass 所用到的零知識證明。
零知識證明 (Zero-knowledge proof)
零知識證明是一種方法在不揭露某個祕密的狀態下,證明他自己知道那個秘密。
Rahil Arora 在 stackexchange 上寫的比喻我覺得是相對好理解的,下面簡單的翻譯一下:
假設 Alice 有超能力可以幾秒內算出樹木上面有幾片樹葉,如何在不告訴 Bob 超能力是怎麼運作並且也不告訴 Bob 有多少片葉子的狀況下證明 Alice 有超能力?我們可以設計一個流程來證明這件事情。
Alice 先把眼睛閉起來,請 Bob 選擇拿掉樹上的一片葉子或不拿掉。當 Alice 睜開眼睛的時候,告訴 Bob 他有沒有拿掉葉子。如果一次正確的話確實有可能是 Alice 幸運猜到,但是如果這個過程連續很多次時 Alice 真的擁有數葉子的超能力的機率就愈來愈高。
而零知識證明的原理大致上就是這樣,你可以用一個流程來證明你知道某個秘密,即使你不真的揭露這個秘密到底是什麼,以上面的例子來說,這個秘密就是超能力運作的方式。
以上就是零知識證明的概念,不過要完成零知識證明有很多各式各樣的方式,今天我們要介紹的是 Trust Token 所使用的零知識證明:DLEQ。
DLEQ (Discrete Logarithm Equivalence Proof)
說明一下以下如果小寫的變數如 c, s 都是純量 (Scalar),如果是大寫如 G, H則是橢圓曲線上面的點 (Point),如果是 vG 則一樣是點,計算方式則是 G 連續相加 v 次,這跟一般的乘法不同,有興趣可以程式前沿的《橢圓曲線加密演算法》一文解釋得比較詳細。
DLEQ 有一個前提,在系統中的所有人都知道公開的 G 跟 H 兩個點,此時以下等式會成立:
假設 Peggy 擁有一個秘密 s 要向 Victor 證明他知道 s 為何,並且在這個過程中不揭露 s 真正的數值,此時 Victor 可以產生一個隨機數 c 傳送給 Peggy,而 Peggy 則會再產生一個隨機數 v 並且產生 r,並且附上 vG, vH, sG, sH:
r = v - cs
所以 Victor 會得到 r, sG, sH, vG, vH 再加上他已經知道的 G, H。這個時候如果 Victor 計算出以下兩個等式就代表 Peggy 知道 s 的真正數值:
vG = rG + c(sG)vH = rH + c(sH)
我們舉第二個等式作為例子化簡:
vH = rH + c(sH) // 把 r 展開成 v - csvH = (v - cs)H + c(sH) // (v - cs)H 展開成 vH - csHvH = vH - c(sH) + c(sH) // 正負 c(sH) 消掉vH = vH
這樣只有 Peggy 知道 s 的狀況下才能給出 r,所以這樣就可以證明 Peggy 確實知道 s。
從簡易到實際的情境
Privacy Pass 網站上透過了循序漸進的七種情境從最簡單的假設到最後面實際使用的情境來講解整個機制是怎麼運作的。本文也用相同的方式來解釋各種情境,不過前面的例子就會相對比較天真一點,就請大家一步步的往下看。
基本上整個過程是透過一種叫做 Blind Signature 的方式搭配上零知識證明完成的,以下參與的角色分為 Client 與 Server,並且都會有兩個階段 issue 與 redeem token。
Scenario 1
如果我們要設計一個這樣可以兌換 token 來確認身分的系統,其中有一個方法是透過橢圓曲線 (elliptic curve) 完成。Client 挑選一個在橢圓曲線上的點 T 並且傳送給 Server,Server 收到後透過一個只有 Server 知道的純量 (scalar) s 對 T 運算後得到 sT 並且回傳給 Client,這個產生 sT 的過程稱為 Sign Point,不過實際上運作的原理就是橢圓曲線上的連續加法運算。
SignPoint(T, s) => sT
等到 Client 需要兌換時只要把 T 跟 sT 給 Server,Server 可以收到 T 的時候再 Sign Point 一次看看是不是 sT 就知道是否曾經 issue 過這個 token。
Issue
以下的範例,左邊都是 Client, 右邊都是 Server。 -> 代表 Client 發送給 Server,反之亦然。
// Client 發送 T 給 Server, 然後得到 sT
T -> <- sT
Redeem
// Client 要 redeem token 時,傳出 T 與 sT
T, sT ->
問題:Linkability
因為 Server 在 issue 的時候已經知道了 T,所以基本上 Server 可以透過這項資訊可以把 issue 階段跟 redeem 階段的人連結起來進而知道 Client 的行為。
Scenario 2
要解決上面的問題,其中一個方法是透過 Blind Signature 達成。Client 不送出 T,而是先透過 BlindPoint 的方式產生 bT 跟 b,接下來再送給 Server bT。Server 收到 bT 之後,同樣的透過 Sign Point 的方式產生結果,不一樣的地方是情境 1 是用 T,而這邊則用 bT 來作 Sign Point,所以得出來的結果是 s(bT)。
Client:BlindPoint(T) => (bT, b)
Server:SignPoint(bT, s) => sbT
而 Blind Signature 跟 Sign Point 具備了交換律的特性,所以得到 s(bT) 後可以透過原本 Client 已知的 b 進行 Unblind:
UnblindPoint(sbT, b) => sT
這樣一來在 Redeem 的時候就可以送出 T, sT 給 Server 了,而且透過 SignPoint(T, s) 得出結果 sT’ 如果符合 Client 傳來的 sT 就代表確實 Server 曾經簽過這個被 blind 的點,同時因為 T 從來都沒有送到 Server 過,所以 Server 也無法將 issue 與 redeem 階段的 Client 連結在一起。
Issue
bT -> <- s(bT)
Redeem
T, sT ->
問題:Malleability
以上的流程其實也有另外一個大問題,因為有交換律的關係,當 Client 透過一個任意值 a 放入 BlindPoint 時產生的 a(sT) 就會等於 s(aT):
BlindPoint(sT) => a(sT), a// a(sT) === s(aT)
此時如果將 aT 跟 s(aT) 送給 Server Redeem,此時因為
SignPoint(aT, s) => s(aT)
所以就可以兌換了,這樣造成 Client 可以無限地用任意數值兌換 token。
Scenario 3
這次我們讓 Client 先選擇一個純數 t,並且透過一種單向的 hash 方式來產生一個在橢圓曲線上的點 T,並且在 redeem 階段時原本是送出 T, sT 改成送出 t, sT。
因為 redeem 要送出的是 t,上個情境時透過任意數 a 來產生 s(aT) 的方法就沒辦法用了,因為 t 跟 sT 兩個參數之間並不是單純的再透過一次 BlindPoint() 就可以得到,所以就沒辦法無限兌換了。
Issue
T = Hash(t) bT -> <- sbT
Redeem
t, sT ->
問題:Redemption hijacking
在這個例子裏面,Client 其實是沒有必要傳送 sT 的,因為 Server 僅需要 t 就可以計算出 sT,額外傳送 sT 可能會導致潛在的 Redemption hijacking 問題,如果在不安全的通道上傳輸 t, sT 就有可能這個 redemption 被劫持作為其他的用途。
不過在網站上沒講出實際上要怎麼利用這個問題,但是少傳一個可以計算出來的資料總是好的。Client 只要證明他知道 sT 就好,而這可以透過 HMAC (Hash-based Message Authentication Code) 達成。
Scenario 4
步驟跟前面都一樣,唯一不一樣的地方是 redeem 的時候原本是傳 t, sT,現在則改傳 t, M, HMAC(sT, M),如果再介紹 HMAC 篇幅會太大,這邊就不解釋了,但可以是作是一個標準的 salt 方式讓 Hash 出來的結果不容易受到暴力破解。
這樣的特性在這個情境用很適合,因為 Server 透過 t 就可以計算出 sT,透過公開傳遞的 M 可以輕易地驗證 client 端是否持有 sT。
Issue
T = Hash(t) bT -> <- sbT
Redeem
t, M, HMAC(sT, M) ->
問題:Tagging
這邊的問題在於 Server 可以在 issue 階段的時候用不一樣的 s1, s2, s3 等來發出不一樣的 sT’,這樣 Server 在 Redeem 階段就可以得知 client 是哪一個 s。所以 Server 需要證明自己每次都用同樣的 s 同時又不透漏 s 這個純亮。
要解決這個問題就需要用到前面我們講解的零知識證明 DLEQ 了。
Scenario 5
前面的 DLEQ 講解有提到,如果有 Peggy 有一個 s 秘密純量,我們可以透過 DLEQ 來證明 Peggy 知道 s,但是又不透漏 s 真正的數值,而在 Privacy Pass 的機制裡面,Server 需要證明自己每次都用 s,但是卻又不用揭露真正的數值。
在 Issue 階段 Client 做的事情還是一樣傳 bT 給 Server 端,但 Server 端的回應就不一樣了,這次 Server 會回傳 sbT 與一個 DLEQ 證明,證明自己正在用同一個 s。
首先根據 DLEQ 的假設,Server 會需要先公開一組 G, H 給所有的 Client。而在 Privacy Pass 的實作中則是公開了 G 給所有 Client,而 H 則改用 bT 代替。
回傳的時候 Server 要證明自己仍然使用同一個 s 發出 token,所以附上了一個 DLEQ 的證明 r = v - cs,Client 只要算出以下算式相等就可證明 Server 仍然用同一個 s (記住了 H 已經改用 bT 代替,此時 client 也有 sbT 也就是 sH):
vH = rH + c(sH) // H 換成 bTvbT = rbT + c(sbT) // 把 r 展開成 v - csvbT = (v - cs)bT + c(sbT) // (v - cs)bT 展開成 vbT - csbTvbT = vbT - c(sbT) + c(sbT) // 正負 c(sbT) 消掉vbT = vbT
這樣就可以證明 Server 依然用同一個 s。
Issue
T = Hash(t) bT -> <- sbT, DLEQ(bT:sbT == G:sG)
Redeem
t, M, HMAC(sT, M) ->
問題:only one redemption per issuance
到這邊基本上 Privacy Pass 的原理已經解釋得差不多了,不過這邊有個問題是一次只發一個 token 太少,應該要一次可以發多個 token。這邊我要跳過源文中提到的 Scenario 6 解釋最後的結果。
Scenario 7
由於一次僅產生一個 redeem token 太沒效率了,如果同時發很多次,每次都產生一個 proof 也不是非常有效率,而 DLEQ 有一個延伸的用法 “batch” 可以一次產生多個 token, 並且只有使用一個 Proof 就可以驗證所有 token 是否合法,這樣就可以大大的降低頻寬需求。
不過這邊我們就不贅述 Batch DLEQ 的原理了,文末我會提及一些比較有用的連結跟確切的源碼片段讓有興趣的人可以更快速的追蹤到源碼片段。
Issue
T1 = Hash(t1) T2 = Hash(t2)T3 = Hash(t3)b1T1 ->b2T2 ->b3T3 -> c1,c2,c3 = H(G,sG,b1T1,b2T2,b3T3,s(b1T1),s(b2T2),s(b3T3)) <- sb1T1 <- sb2T2 <- sb3T3 <- DLEQ(c1b1T1+c2b2T2+c3b3T3:s(c1b1T1+c2b2T2+c3b3T3) == G: sG)
Redeem
t1, M, HMAC(sT1, M) ->
結論
Privacy Token / Trust Token API 透過零知識證明的方式來建立了一個不需要透漏太多隱私也可以達成跟 cookie 相同效果的驗證方式,期待可以改變目前許多廣告巨頭透過 cookie 過分的追蹤使用者隱私的作法。
不過我在 Trust Token API Explainer 裡面看到這個協議裡面的延伸作法還可以夾帶 Metadata 進去,而協議制定的過程中其實廣告龍頭 Google 也參與其中,希望這份協議還是可以保持中立,盡可能地讓最後版本可以有效的在保護隱私的情況下完成 Cross-domain authorization 的功能。
參考資料
IETF Privacy Pass docs
Privacy Pass: The Protocol
Privacy Pass: Architectural Framework
Privacy Pass: HTTP API
Cloudflare
Supporting the latest version of the Privacy Pass Protocol (cloudflare.com)
Chinese: Cloudflare支持最新的Privacy Pass扩展_推动协议标准化
Other
Privacy Pass official website
Getting started with Trust Tokens (web.dev)
WICG Trust Token API Explainer
Non-interactive zero-knowledge (NIZK) proofs for the equality (EQ) of discrete logarithms (DL) (asecuritysite.com) 這個網站非常實用,列了很多零知識證明的源碼參考,但可惜的是 DLEQ 這個演算法講解有錯,讓我在理解演算法的時候撞牆很久。所以使用的時候請多加小心,源碼應該是可以參考的,解釋的話需要斟酌一下。
關鍵源碼
這邊我貼幾段覺得很有用的源碼。
privacy pass 提供的伺服器端產生 Proof 的源碼
privacy pass 提供的瀏覽器端產生 BlindPoint 的源碼
github dedis/kyber 產生 Proof 的源碼
[ZKP 讀書會] Trust Token Browser API was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.
👏 歡迎轉載分享鼓掌
「privacy用法」的推薦目錄:
- 關於privacy用法 在 Taipei Ethereum Meetup Facebook 的最佳解答
- 關於privacy用法 在 宜蘭縣議會議員陳文昌服務處 Facebook 的最佳貼文
- 關於privacy用法 在 小人物上籃 Facebook 的最佳解答
- 關於privacy用法 在 Privacy 用法2022-精選在Youtube/網路影片/Dcard上的焦點 ... 的評價
- 關於privacy用法 在 Privacy 用法2022-精選在Youtube/網路影片/Dcard上的焦點 ... 的評價
- 關於privacy用法 在 Grammarly是一個線上的英文文法檢查網站,他可以 ... - Pinterest 的評價
- 關於privacy用法 在 入侵Invade / invasion 不只有軍事上的用法 還可以用在1. 隱私 ... 的評價
- 關於privacy用法 在 【好想講英文】聊聊疫情和它們的英文用法- YouTube 的評價
- 關於privacy用法 在 privacy settings中文、about中文、setting用法在PTT/mobile01 ... 的評價
- 關於privacy用法 在 privacy settings中文、about中文、setting用法在PTT/mobile01 ... 的評價
privacy用法 在 宜蘭縣議會議員陳文昌服務處 Facebook 的最佳貼文
這兩天最熱門的新聞,便是台積電的股價市值創新高的消息。對於台灣的企業能達到這樣的成就,一方面是感到敬佩,一方面也會擔憂資源過度集中的問題。這裡說到的資源包含了政府政策的焦點、台灣資通訊人才的群聚而無法進入其他產業。
最近在看一份文件,由卡內基國際和平基金會的教育領域的副總裁 Evan A. Feigenbaum 所撰寫的報告,裡面內容很完善的討論到台灣過去的成功以及目前的窘況,包括少子化導致整體人力的萎縮、基礎科學及統計資工人才的不足、缺乏雙語環境及海外市場的企圖心,這都影響了下一世代新創產業誕生的可能。
另外除了問題面外,這份報告也列舉了幾項我們能思考突並作突破的部分,包含以色列整合軍事及產業的人才培育策略、APEC及美國印太平洋計畫旗下能讓台灣產生更多槓桿的子計畫、GDPR個資政策與重視未來人工智慧資安的方向,又或是台灣善用資通訊的高等教育吸納東南亞甚至全球的學生等(以目前台灣疫情的控制我個人認為有可能)。
可以看到,要營造整個有利創新的環境,不單單只是經濟部的科專或科技部的計畫等,甚至要連內政部、國防部、外交部、教育部也一起,統整出一個綿密的策略。
以下是我看了整本報告的筆記,單就翻譯品質上絕對不足的,但想說如果有興趣的朋友不妨一同討論,一起想想台灣該如何營造有利的制度,讓創新產業能踏穩及在全球有所突破。
以下筆記:
「台灣新創未來該如何突破?」
Carnegie Endowment for International Peace
卡內基國際和平基金會
Evan A. Feigenbaum
VICE PRESIDENT FOR STUDIES
https://carnegieendowment.org/experts/719
原文連結:https://carnegieendowment.org/…/assuring-taiwan-s-innovatio…
一、台灣五大未來創新上會面對的挑戰:
(一)STEM(科學、科技、工程、數學)人才跟人力的資本問題
(二)市場規模太小的問題
(三)硬體至上思維如何改變?
(四)如何為台灣增加附加價值?
(五)政府政策該如何幫助產業?
二、STEM(科學、科技、工程、數學)人才跟人力的資本問題:
(一)台灣必須加強STEM的人才訓練,特別是新創者的數學、統計、資工、資料科學的技能。
(二)在PWC 2018年的新創調查中,僅13% 工程背景、 7% 科學背景、13% 資訊背景,六成的創辦人為文學及商業背景。
(三)因為過去資通訊的成功,也磁吸了大部分相關人才到TSMC跟MTK。
(四)台灣少子化非常嚴重(全球最低),總體勞動力人口也不斷在萎縮,連帶的影響各種專業人力的總量,以及投入到科技領域的人數。
(五)台灣越來越少科學及工程的畢業生,從2007到 2014,每年相關的畢業生減少了快一萬名(從92167到83394)。
(六)綜上,每年透過教育體系產出的人才庫越來越萎縮恐會供給不足。
(七)台灣到美國就學的畢業生及在學生也都在萎縮,以2000跟2017來比較,在學生總數從10668到7003,畢業生從15022到9236 。
(八)出國留學者越來越少比例的人願意回台灣,2004到2007約65%留在美國,2012到2015約75%留在美國。
(九)留學美國者回台灣的重要性是在,過去80、90年代會形成一個美國跟台灣間的「腦力連結」,而塑造一個學術及業界的台美連結機制,對下一代人才的塑造是重要的。留學回國的數目下降,對形成前述的機制是不易的。
(七)人數減少,長期來說也會影響下一代重要技術,例如AI的競爭力。
(八)此外,台灣的學程所教授的內容通常距離最新的科技相隔三到五年。
(九)來自北京的人才競爭也不可小覷,它能透過薪資及市場的誘因來吸引台灣人才。
(十)台灣應思考如何透過生活品質及民主政體來吸引留住人才。
三、市場規模太小的問題
(一)人口萎縮也持續影響市場規模。
(二)即使本國市場小,還是有機會成為較大規模市場的服務跟平台,例如、來自瑞典的spotify,但這也關乎了台灣在前個主題的人才庫的養成。
(三)因為產業西進及人力成本的提升,目前台灣已經無法單一區域就完成一個完整的製造生態系。就連富士康及和碩,仍要跟中國的製造商合作。
(四)台灣的VC資源仍強壯,但也有VC反應近十年來台灣缺乏足夠的可成為投資標的新創團隊。也因此,有些投資單位也會開始物色中國的新創團隊。
(五)一大挑戰,便是吸引美國及國際的投資人,且過往台灣的市場資本曾經有被高估過,也是加深了這挑戰的原因。(這句得求證)
(六)另外一個台灣的大挑戰是,如何創造對投資人有誘因的下世代科技,然而台灣也面臨這部分的問題,包括AI領域的資料不足,或是量子計算的人才不足等。
(七)目前有許多中國的AI研究人員在美國的單位工作,這帶來兩個層面的影響:在八零九零年代台灣跟矽谷間的連結,取而代之的是中國跟矽谷的連結。未來美國諸多領域的AI的形塑方向,也會與中國有關。另外,基於華盛頓跟北京的競爭趨勢,也將有許多在美國的AI人才回流到北京。
(八)如果未來華盛頓跟北京的競爭加劇,世界將會分成兩大陣營。而北京也會持續運用各種方面的壓力來影響台灣、吸收台灣人才。
四、硬體至上思維如何改變?
(一)台灣另一個必須面對的問題是,過往硬體製造的成功經驗,也影響了下一代台灣的軟體硬體整合的發展可能。
(二)以中國大疆無人機為例,無人機算是軟硬整合的成慣例,除硬體外,有必須搭載不斷突破的演算法,同時,透過無人機拍攝的資料,又能持續改善演算法。這解決方案也吸引了許多全球跟美國的單位,包括美國,運用大疆的無人機再開發更新的軟體技術。
(三)台灣的切入點仍存在的,考量有些國家,包括美國,可能會對中國打造的AI科技有所疑慮,在這部分台灣應有潛力來取代服務。
(四)但即使要做到前述這點,用過往硬體生態系的思維來面對也並不合適,得直接有軟硬整合的思維基礎來面對。
(五)台灣必須找到基於硬體及軟體的優勢來發展,像是以色列及愛沙尼雅的做法。
(六)以生物晶片作為基礎建設發展的生物科技,並整合硬體、韌體及軟體,也是可考慮發展的方向。
(七)要如何用硬體優勢、結合軟體,以彈性的工程概念迅速打造下一世代的高科技的基礎建設,對台灣來說是必須發展及規劃的。
五、如何為台灣增加附加價值?
(一)東亞的製造供應鏈正迅速在轉變,,從中國轉移到越南、馬來西亞或印尼,因為中國的工資成本也在上漲。2017年爆發的美中貿易戰也正加速此進程。
(二)有些供應鏈的轉移並不容易,例如廣東富士康的微電子零組件生態系,而泰國或越南也難以吸收這樣的產業移入。而富士康的印度基地是轉移的其中一個例子,同時製造印度人口所需的手機已經小米的機體。
(三)台灣的挑戰包含了:
A.必須瞄準新科技(AI及量子技術)的其中一部分製造鏈,而這些新科技的廠商包含雅馬遜、GOOGLE或是中國的百度、阿里巴巴等。
B.台灣可以尋找一些目前平台大廠尚未提供服務的領域,而這服務是針對消費者市場的。包括醫療、教育、資安的部分,都仍有發展軟體、人工智慧的空間。
(四)在台灣,雖然礙因於資料量,較難發展大量資料所產生的人工智慧企業,但有許有機會發展少資料型的人工智慧演算法。
(五)除了ICT跟半導體,大部分產業過去都聚焦在低毛利的製造,也造成未來轉移至高值化的障礙。
(六)台灣必須綜合國際趨勢、尖端科技及研發能量,找到對台灣來說高附加價值的產業發展。也能參考美國未來市場所需的人工智慧及量子計算來發展。
六、政府政策的幫助
(一)許多台灣政府的政策或計畫停留在陳述的階段,即使有加強對人工智慧的投資力道,但並沒有有效地針對特定領域訂定策略。相對來說,美國及歐洲都有進行規劃策略,以日本發展AI醫療為例,政府便有計畫建立十處以AI為基礎的醫院來發展AI醫療,投入金額將在2025達到100 million美元。中國也發展人工智慧人臉辨識,進而誕生出獨角獸Megvil,此公司最近也沒加入美國商務部的Entity list。
(二)這說明了,過往台灣在硬體的成就,難以讓台灣在未來的科技競爭上穩穩站足。
(三)政府應引導整個台灣發展市場上有興趣的項目,讓國外的投資者能不斷投注資源,並且不讓法規或稅制造成這類投資的障礙。
七、台灣應針對上述五點問題進行解決,並且也在國際間找到能一同解決的合作夥伴。像是過去台灣跟矽谷的合作,應該與美方產生一種新世代的合作模式來解決前述問題。
以下是討論建議參考的解決策略:
八、STEM(科學、科技、工程、數學)人才跟人力的資本問題:
(一)雙語經濟是能加強的方向,透過英語的加強來征服區域及全球的國際化挑戰。
(二)台灣可做為一個區亞洲域型的高等英文工程相關課程(電機、機械)的中心,吸引東南亞學生,以相較於美國及歐洲、澳洲更低價的課程來吸引東南亞電機人才,並透過策略留住這些學生在台灣電機相關領域。
(三)從此刻,為了往後十年到二十年的STEM人才庫做努力,同時這樣的人才庫得累積包括科技、商業、軟硬整合,讓台灣能發展人工智慧、量子計算及資安等領域。
(四)針對5+2產業,應在大學建立相關的新創加速器。先從政府資源挹注,後續再由業界資源銜接。這些加速器應扶植跟聚焦的技術,並不是短期投資市場所關注的,反而應關注長期有潛力發展的技術。
(五)政府應鼓勵學校,引導商學院學生加強科技的應用技術,同時也加強理工、電資學院學生商業及金融的知識,培養綜合型人才。
(六)台灣在各方面都有人才,然而國際交流型的人才還是太薄弱。
(七)按照PWC 2019新創的調查,60%的新創團隊並沒有聘用能推展國際化的人才 ; 54%的團隊沒進行投遞或參加國際的展演及投案 ; 只有30%有針對國際市場進行評估。
(八)即使台灣團隊嘗試培養很前端的科技技術,然而終究會因為缺乏國際的管理者,而導致難以開發台灣以外的市場。
(九)以色列模式:
A.瞄準遠期尖端科技,特別是數年後才會帶來收益的科技。
B.策略並不會雨露均霑,而是選擇有足以作為特色及槓桿的項目,像是基礎科學及資工便是投入好幾年資源的項目。
C.透過政策及策略銜接軍事單位、軍種及業界,讓好的人才在當兵時能得到更完整的培訓及成為業界能善用的人才。
D.許多以色列人能流暢的使用英文,因此台灣也能考慮雙語政策,同時許多以色列的企業會企圖發展更國際化的市場(美國及歐洲),及具備有國際化的眼界。
(十)台灣能持續推動的國家政策:
A.有利國際創新的簽證
B.引入國際的產業導師制度,用公私協力的方式,引入國外特訂領域的導師,來觀察及督考台灣各領域的發展,可能的領域包含量子計算、資安、生物科技。
C.擴充gAsia Pass的應用情境(再研究)
D.建立一個跨太平洋的諮詢平台,把投資、需求、選題及台灣的研發能量對接起來。
E.承上面諮詢平台的建立,也同步在教育層面建立,將學術能量引入。
九、市場規模太小的問題
(一)三種策略:台灣做為一個中繼站(hub)、一個值得信任的供應商、以及一個高效能的導管。
(二)台灣做為一個中繼站(hub)
A.不只資料數量重要,資料的處理、資料的合成、資料的部署同樣重要。也可從以色列跟愛沙尼雅的案例看到,如何善用各政府單位及民間單位的能力及優先緒,來增進工業的價值鏈。
B.政府可作為高品質資料的提供方。此外,台灣也能善用法治基礎,來加強資料保護及個資保護的標準。
C.作為APEC中的領導角色,目前APEC中有在討論物聯網跟數位經濟的資安標準,台灣應扮演主導角色來引導框架及提供處理上的案例。
D.成為GDPR標準在亞洲施行的最佳案例。
E.美國的印太平洋策略中包含資安環節,台灣及華盛頓應保持交流溝通管道,在全球及APEC上一同推動。
(三)台灣作為一個值得信任的供應商
A.政府應針對5+2產業旗下的各創新計畫進行TVCP(trusted vendor certification program)認證,加強這些計劃的品質及可信任度,活用優勢,與國外的合作單位共同開創新科技的標準。
B.作為美國的新科技產品的場域實測基地。
(四)台灣作為一個高效能的導管
A.美國團隊也同樣對東南亞快速擴張的市場感到興趣,台灣能成為比中國更信任的夥伴,連結美國進入東南亞市場。
B.美國目前有 New Southbound Policy及 U.S. Indo-Pacific strategy,加入旗下的數位及資安相關的計畫,目前南韓已有加入。
十、硬體至上思維如何改變?
(一)應挑選前瞻的重點軟體科技領域,進入扮演重要的角色(AI、IoT)。
(二)台灣在量子運算上仍未有具規模的使用者,然而學界目前有美國IBM合作的計畫。
十一、如何為台灣增加附加價值?
(一)美國正調整供應鏈對中國的依賴,並尋找下一階段科技上的夥伴,特別是在AI及物聯網、生物科技技術上無資安疑慮的合作夥伴。而這是台灣的機會,台灣應盡可能在這些領域的安全技術標準上佔有一席之地。
十二、政府政策該如何幫助產業?
(一)從半導體的經驗來看,政府政策的投放必須是長期持續、且眼光放遠、針對先進科技的。
(二)台灣在研發上的投入資金比例上越來越少。
(三)調整政策讓基礎研究能成功商業化非常有必要。
(四)接下來三年到五年有些美中的合作計畫有可能停止,台灣必須成為有潛力的取代對象。
(五)台灣目前有加入APEC Cross-Border Privacy Rules,目前該組織的方向趨向歐盟的標準,台灣可先針對GDPR系統預作準備。
(六)台灣應該更積極加入更多科技業標準的制定,特別是接下重要的科技如物聯網、資安等。
privacy用法 在 小人物上籃 Facebook 的最佳解答
是不是你告密我違規的?
#小人物英文時間
在台灣打籃球的時候,常常聽到球友吹判走步,都烙了一句:walking!帶球走步其實不是walking耶!小人物上籃第269集更新每週在奧蘭多泡泡裡面發生的事情,球員到底是不小心還是故意地violation,violation就是違規的意思,『走步就是traveling violation』。
======
以下幾個都是違規的用法
infringe a patent 侵害專利權
invade privacy 侵犯隱私
======
Doc Rivers jokes about snitching on LeBron James, Gregg Popovich
快艇隊總教練開玩笑說:他已經告密舉報LeBron還有Pop
======
snitch就是『打小報告』、『告密』的意思
He snitched to my boss that I clocked out earlier yesterday!
他向老闆告密,說我昨天上班提早打卡下班!
She thought I'd snitched on her.
她認為是我告了她。
#小人物Patrick
派脆e起唸
privacy用法 在 Privacy 用法2022-精選在Youtube/網路影片/Dcard上的焦點 ... 的推薦與評價
Privacy 用法 2022-精選在Youtube/網路影片/Dcard上的焦點新聞和熱門話題資訊,找Privacy 用法,private,privately中文,Private''造句在Youtube上2022年 ... ... <看更多>
privacy用法 在 Grammarly是一個線上的英文文法檢查網站,他可以 ... - Pinterest 的推薦與評價
Aug 14, 2020 - Grammarly是一個線上的英文文法檢查網站,他可以幫你檢查你英文寫作上的錯誤,讓你的文章更符合道地的用法或是商業的需求♥️適合什麼人✔️對英文寫作 ... ... <看更多>
privacy用法 在 Privacy 用法2022-精選在Youtube/網路影片/Dcard上的焦點 ... 的推薦與評價
Privacy 用法 2022-精選在Youtube/網路影片/Dcard上的焦點新聞和熱門話題資訊,找Privacy 用法,private,privately中文,Private''造句在Youtube上2022年 ... ... <看更多>