以下文章經許可轉載自The Conversation,這是一個報道最新研究進展的線上出版物。
政府官員持續尋求科技公司的幫助,以打擊恐怖主義和犯罪。但最常被提出的解決方案將嚴重限制普通人線上安全通訊的能力。並且,它忽略了一個事實,即政府還有其他方法來電子監控調查目標。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您將幫助確保未來能夠繼續產出關於塑造我們當今世界的發現和想法的具有影響力的報道。
6月,來自五眼聯盟國家的政府情報官員在加拿大渥太華舉行會議,討論如何說服科技公司“阻止恐怖分子訊息的加密”。7月,澳大利亞總理馬爾科姆·特恩布林呼籲科技公司自願禁止所有完全加密從傳送者到接收者的傳輸訊息的系統,這種方法被稱為“端到端加密”。英國內政大臣安珀·路德在7月31日發表報紙評論文章,引起全球頭條新聞,她認為“普通人”不需要端到端加密。
這些說法完全無視了已經在使用Signal和WhatsApp等安全訊息應用程式的十億普通人。並且,它不給未來可能想要這種安全性的人們留下任何空間。然而,一些科技公司看起來可能正在考慮移除端到端加密——而另一些公司多年前就安裝了後門,以便政府訪問。自從Clipper晶片成為新聞以來已經二十年了,但現在,20世紀90年代政府-企業-消費者“密碼戰爭”的復興威脅正在逼近。
對於像我這樣的計算機科學家來說,有一件事非常清楚:我們普通人應該致力於改進我們最脆弱環節的安全——我們自己的裝置。
端點是最薄弱的環節
至少目前,我們確實擁有良好、易於使用的解決方案,用於計算機之間的安全通訊,包括訊息的端到端加密。端到端加密意味著訊息由傳送者加密,由接收者解密,任何第三方都無法解密訊息。
端到端很重要,但安全專家多年來一直警告,您資料最脆弱的地方不是在從一個地方傳輸到另一個地方的過程中,而是在它儲存或顯示在一端或另一端時——在螢幕上、磁碟上、記憶體中或雲中的某個裝置上。
正如維基解密釋出的中央情報局駭客工具所強調的那樣,如果有人能夠控制裝置,他們就可以無需解密即可讀取訊息。並且,入侵端點——包括智慧手機和個人電腦——變得越來越容易。
為什麼我們在端點最脆弱?因為我們不喜歡不便,並且因為增加更多保護會使我們的裝置更難使用,就像在門上安裝多把鎖會使進門更難一樣,對於房主和小偷都是如此。發明新的方法來保護我們的數字端點,而不降低其可用性是非常具有挑戰性的,但一些即將出現的新技術可能會有所幫助。
下一代解決方案
假設一個犯罪組織或邪惡政府“邪惡政權”想要監視您和與您通訊的所有人。為了保護自己,您安裝了一個端到端加密工具,例如Signal,用於訊息傳遞。這使得“邪惡政權”的竊聽——即使有法院的許可——也變得更加困難。
但是,如果“邪惡政權”欺騙您在您的裝置上安裝間諜軟體呢?例如,他們可以用一個被入侵的版本替換您最喜歡的遊戲“ClashBirds”的合法升級。或者,“邪惡政權”可以使用惡意軟體“網路調查技術”作為進入您機器的後門。透過控制您的端點,“邪惡政權”可以在您輸入訊息時讀取您的訊息,甚至在它們被加密之前。
為了防範“邪惡政權”的任何一種詭計,我們需要在幾個關鍵方面改進我們的端點安全措施,確保
此外,如果使用者可以自己控制其應用程式的安全性,而不是必須依賴由另一個脆弱的公司提供的應用商店安全,那就更理想了。
計算機安全專家對區塊鏈技術可能能夠幫助我們保護我們自己的端點這一想法感到興奮。區塊鏈是比特幣和其他加密貨幣的基礎技術,它建立了一個可驗證、不可更改的公共資訊記錄。
對於端點安全而言,這意味著計算機科學家可能能夠建立基於區塊鏈的工具來幫助我們驗證我們應用程式的來源。我們還可以使用區塊鏈來確認我們的資料沒有被篡改,並確保我們的隱私。只要這些程式的原始碼也像今天的Signal一樣,可以供我們自由檢查,安全社群就能夠驗證沒有秘密後門。
與任何新技術一樣,關於區塊鏈及其可以做的事情,存在大量的炒作和虛假資訊。我們需要時間來篩選所有這些想法並開發易於使用的安全工具。與此同時,我們所有人都需要繼續儘可能地使用端到端加密應用程式。我們還應該對密碼衛生以及我們在機器上安裝的應用程式保持警惕。最後,我們必須要求普通人始終能夠訪問可用的最佳安全機制,以便我們自己決定如何以及何時抵制監視。
本文最初發表於The Conversation。閱讀原文。