在過去的十年中,科技公司一直在對加密系統進行各種各樣的改進,但不管怎麼努力,網絡安全似乎是一場無終止的鬥爭。比如,在這場持續的網絡安全較量中,世界各國政府一直以打擊虐待兒童和恐怖主義的名義推動後門加密。
近年來,關於是否要對加密系統中建立後門的爭論越來越激烈。比如,2015年12月,聯邦調查局(FBI)要求蘋果協助解鎖聖貝納迪諾槍擊案一名槍手的手機,以及2019年12月佛羅裡達州彭薩科拉的槍擊案。在這些案件中,按常理來說,蘋果公司有義務幫助執法部門把真正的罪犯關進監獄的人,但處於各種保密原則,罪犯的手機解密並不是非常順利。相反,這件事情之後,蘋果公司的「反加密」措施越來越件事。
就在今年1月,微軟CEO力挺蘋果,堅稱不該在加密系統中「留後門」,納德拉在紐約與記者會面時表示:「我確實認為在加密中留後門是個糟糕的主意,這不是解決問題的最佳辦法。我們總是在說,我們關心這兩件事:隱私和國家安全。對此,我們需要某些法律和技術解決方案,才能使這兩個問題成為優先事項。此外,我們不能在所有方面都採取強硬立場。但如果他們要我留後門,我會說不。我希望這些事情都能夠通過立法找到解決方案。」
無用的端到端加密
科技公司在2010年代將重點放在隱私和安全上,許多公司推出了具有改進加密功能的產品。消息平臺WhatsApp和Signal在2014年都向其用戶的通信中添加了端到端加密。同一年,隨著iOS 8的發布,Apple默認情況下在iPhone中啟用了加密。
雖然加密可以有多種形式,但其目的都是相同的,保護數據機密性。端到端加密通過建立一個加密通道來實現該目標,在該通道中,只有客戶端應用程式本身才能訪問解密密鑰。對於WhatsApp,這意味著即使用戶的消息可能會遍歷或存儲在WhatsApp的伺服器上,該公司也無法訪問允許其解密和讀取這些消息的加密密鑰。消息對發送方和接收方以外的所有用戶保持私密。
在加密狀態下(比如在iPhone上),用戶的密碼或PIN作為加密密鑰。當手機啟動時,用戶必須輸入密碼或個人識別碼才能解鎖手機數據。手機接收或創建的任何新數據(如圖像或聊天消息)都使用該密鑰進行加密。如果手機關機或進入「鎖定模式」,解密後的數據將從手機內存中清除,用戶必須再次輸入密碼才能解鎖。
美國聯邦調查局(FBI)和世界各地的其他執法機構都在不斷要求蘋果公司(Apple)和其他製造商創建一種「金鑰匙」(golden key),能夠解密所有設備上的所有信息。澳大利亞甚至在2018年通過了一項法律,強迫公司在加密系統中創建後門。雖然實現這一目標在技術上是可能的,但安全和隱私方面的影響將是巨大的。
「金鑰匙」會帶來更多的問題
根本就沒有所謂的完全安全的後門,因為網絡罪犯最終會得到「金鑰匙」,或者利用金鑰匙上的漏洞發起更嚴重的攻擊。比如,2017年,就有黑客組織曝光了大量被認為是是美國國家安全局(NSA)所使用的Windows系統零日漏洞攻擊工具。比如一個名為「SWIFT」的洩露目錄下包含涉及杜拜銀行和反洗錢組織EastNets內部結構的文件。全球有許多銀行每天使用SWIFT消息系統進行萬億美元的轉帳操作,如果洩露的文件準確無誤,似乎暗示NSA試圖通過入侵SWIFT系統監控銀行間的資金往來。NSA的Windows漏洞軍火庫利包括多個零日、利用工具可直接使用,任何下載的人都可以使用這批攻擊工具,尤其是其中一些還是零日漏洞,沒有補丁,可以直接遠程命令執行。以上這些證據都清楚地表明,我們不應該那麼快就相信政府機構會在安全方面採取負責任的行動。
為此,各個科技依靠加密來保護他們產品的智慧財產權,比如記者依靠加密技術保護自己和消息來源不受政府監控。你或許可以想像,一個敵對的國家會投入多少資源來尋找這樣一個後門,如果它存在的話。
換個角度想一想,以物理保險箱作為類比,來研究加密爭論,會怎麼樣?人們用保險箱儲存重要的文件和物品,以防被人偷竊。同時,人們也可以用它們來儲存犯罪證據。。是否應該要求保險柜製造商有意向每個保險柜添加薄弱點或創建主密鑰?還是應該要求執法人員通過合法渠道強迫業主放棄鑰匙?
前者正是各國政府要求蘋果(Apple)、WhatsApp和其他公司做的事情。至少在美國,執法部門已經有權通過法院系統獲取大量數據。以彭薩科拉(Pensacola)槍擊案為例,Apple移交了多個帳戶的iCloud備份,帳戶信息和交易數據。聯邦調查局最終在沒有蘋果幫助的情況下獲得了有關手機的隱私信息,這讓人質疑他們為什麼需要後門。
去年12月6日,在佛羅裡達州彭薩科拉(Pensacola)海軍航空基地受訓的沙特空軍少尉阿爾沙姆拉尼(Mohammed Saeed Alshamrani)持槍衝進訓練教室襲擊,導致3人死亡8人受傷。
為此,美國聯邦調查局(FBI)要求蘋果幫助解鎖槍手阿爾沙姆拉尼使用的兩部iPhone,但被蘋果拒絕。蘋果稱,已經向FBI提供了該公司所擁有的全部信息。
隨後,美國司法部長威廉·巴爾(William Barr)和總統川普分別向蘋果施壓,敦促蘋果幫助FBI解鎖兩部涉案的iPhone手機。川普還在Twitter上稱:「我們一直在幫你,你卻連個殺人犯的手機都不願意幫我們解鎖。」
而且,川普在達沃斯舉行的世界經濟論壇年會上接受媒體採訪時繼續向蘋果施壓。他說:「蘋果必須要幫助我們,我對此非常堅決。他們掌握著這麼多罪犯的密鑰,我們可以有所作為。」
對反加密法規的抵制已經變得足夠強烈,以至於許多政府對他們的嘗試把設置後門這一行為變得更加隱蔽。以EARN IT Act為例,它是在今年早些時候引入美國參議院的,雖然它並未明確禁止加密,但它在美國司法部下成立了一個政府機構,可以定義組織必須遵循的「最佳實踐」清單,以使其受到保護。根據《通信道德法》第230條為其用戶承擔民事和刑事責任。最佳實踐列表很容易包含弱化的加密要求,並且很可能會很大程度上基於現任總檢察長的要求。
即使大多數政府成功地通過了反加密法律,犯罪分子也只會轉向不同的應用程式,而不是那些遵守法律的應用程式。放棄群眾的安全和隱私,代價實在太大了,以至於無法為一些不太可能預防犯罪和極有可能導致濫用的事情付出代價。
【責任編輯:
趙寧寧TEL:(010)68476606】