編者注 (11/16/15):在 11 月 13 日巴黎發生恐怖襲擊以及隨後關於反恐努力和加密通訊的辯論之後,《大眾科學》重新發表以下文章。
昨天,FBI 局長詹姆斯·科米告訴國會,聯邦政府越來越關注消費技術中資料加密的廣泛使用,這暗示(儘管沒有明確要求)科技公司讓執法部門更容易訪問加密的客戶資料。科米的證詞是在一些世界頂級的網路安全專家和計算機科學家釋出一份報告一天後發表的,該報告認為政府要求特殊訪問加密資訊的呼籲在技術上是不可行的,而且含糊不清。該報告的作者認為,執法官員需要明確他們想要什麼,而不是簡單地揮揮手,希望出現一種技術上的獨角獸,讓他們能夠按需訪問個人資訊,同時保護使用者隱私並確保資料安全。
這就是辯論變得複雜的地方。以下是每一方的訴求以及接下來可能發生的事情
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。 透過購買訂閱,您正在幫助確保未來有關當今塑造我們世界的發現和想法的具有影響力的故事。
FBI 局長科米要求什麼?
科米在2014 年 10 月的演講中呼籲採用“前門”方法來訪問客戶資料,但他不清楚如何在模糊地呼籲科技公司在其產品中構建“攔截解決方案”之外實現這一目標。國家安全域性 (NSA) 局長邁克爾·羅傑斯在四月份提出了更具體一點的建議,他建議要求科技公司建立一個數字金鑰,該金鑰可以開啟任何智慧手機或其他鎖定的裝置,但將該金鑰分成幾部分,使其無法單方面使用。民主與技術中心 迅速駁斥了分段金鑰提案,認為其不切實際。
科米在參議院司法委員會的書面宣告中,小心地避免要求公司允許秘密“後門”訪問客戶資料和通訊。前 NSA 承包商愛德華·斯諾登在 2013 年洩露的檔案表明,他的前機構透過故意削弱國家標準與技術研究所釋出的加密標準來做到這一點。公眾對政府涉嫌篡改加密標準以及政府對客戶資料的要求的強烈反對,在矽谷公司和華盛頓特區之間造成了日益擴大的裂痕。
政府為何說它應該擁有這種能力?
聯邦執法官員擔心,犯罪分子和恐怖分子會透過將他們的通訊隱藏在加密的電子郵件和智慧手機中而“遁入黑暗”。新版本的 Apple iOS 和 Google Android 移動作業系統都強調加密,以至於公司高管表示,他們將無法為執法部門解鎖客戶資料即使被命令這樣做。“藉助複雜的加密技術,執法部門可能無計可施,陷入僵局,而這一切都是以隱私和網路安全的名義,”科米在 10 月份表示。執法部門的其他人員則採取了更為極端的立場。“蘋果手機將成為戀童癖者的首選,”芝加哥警察局偵探主管約翰·埃斯卡蘭特在 9 月份告訴《華盛頓郵報》。
紐約市地區檢察官 (NYCDA) 賽勒斯·萬斯,他同樣在週三在司法委員會作證,他對裝置加密的反對意見更為具體。在他的書面證詞中,他表示,要求他的辦公室在沒有智慧手機資料的情況下調查他們每年處理的 10 萬多起刑事案件,就等於“在被捆綁一隻手的情況下打擊犯罪”。聽證會結束後,連線報道說,紐約市地區檢察官辦公室自 9 月以來遇到了 74 部 iPhone,其全盤加密阻止了執法部門的調查。萬斯後來在他的證詞中單獨指出了蘋果公司,因為該公司在加密政策方面存在雙重標準。該公司允許其客戶擁有執行 iOS 8 的裝置解密金鑰的唯一所有權。與此同時,如果收到命令,蘋果公司確實有能力解密儲存在公司 iCloud 儲存服務中的客戶資料。
FBI 有時確實需要攔截通訊。科米難道沒有道理嗎?
安全專家批評執法官員誇大了訪問的必要性。“這全是虛張聲勢,”安全專家 布魯斯·施奈爾 在 10 月份的部落格中寫道。施奈爾是麻省理工學院計算機科學與人工智慧實驗室 (CSAIL) 新報告的 15 位合著者之一,他補充說,“在 2013 年獲得授權進行通訊攔截的 3,576 起重大犯罪中,只有一起涉及綁架。更重要的是,沒有任何證據表明加密以任何嚴重的方式阻礙了刑事調查。2013 年,加密阻止了警方 9 次,高於 2012 年的 4 次,而調查以其他方式進行。”
安全專家對“特殊訪問”有哪些技術異議?
CSAIL 昨天釋出了長達 34 頁的報告——您可以在這裡找到。它強調了為什麼特殊訪問會產生比解決更多問題的原因。安全研究人員將科米的評論理解為科技公司應該建立一個加密金鑰託管,換句話說,一個儲存的數字萬能鑰匙,執法部門可以使用它來解鎖加密資訊以用於刑事或恐怖主義調查。但是,為執法部門建立的任何加密金鑰都將成為駭客的主要目標,難以保證安全,並且會阻礙諸如“前向保密”之類的新安全實踐,在這種實踐中,解密金鑰在使用後立即被刪除,並且為每次後續交易建立新金鑰。過去幾年中,包括 Google、Twitter、維基媒體基金會和 Facebook 在內的一小部分但數量不斷增長的網站已經開始使用前向保密來保護交易和資料。
有沒有辦法建立一種讓每個人都滿意的特殊訪問?
該報告的作者認為,為執法部門建立前門的任何努力也會使軟體和裝置變得更加複雜,難以保護安全,並且科技公司需要付出高昂的維護成本。
政府在保護敏感資料方面的記錄如何?
不太好。僅去年一年,政府就報告了成功入侵白宮、國務院和國防部非機密電子郵件系統的事件。由麻省理工學院網路安全和網際網路政策研究倡議主任、前白宮副首席技術官丹尼爾·韋茨納領導的安全研究人員,特別提到了最近對美國人事管理辦公室 (OPM) 的駭客攻擊,以說明當許多組織將私人資訊委託給單個機構保管時可能造成的危害。在 OPM 的案例中,由於該辦公室的基礎設施不安全,許多聯邦機構丟失了敏感資料。
政府要求這樣做是否有先例?
對於該報告的許多作者來說,目前的辯論一定感覺像似曾相識,他們在 1997 年反對克林頓政府的一項提案,該提案試圖要求資訊和通訊服務對其產品進行設計,以保證執法部門可以訪問所有資料。白宮最終放棄了讓科技公司安裝後來被稱為 Clipper 晶片 的做法。Clipper 背後的計劃是讓所有加密系統保留解密資訊所需的金鑰副本,這些金鑰將委託給第三方,該第三方將在獲得適當的法律授權後將金鑰移交給執法部門。
反對 Clipper 的理由是什麼?
當時的研究人員確定,不可能建立 Clipper 提出的技術,即政府可以用來訪問大量加密通訊的主金鑰。對於誰將充當受信任的第三方,在政府獲得使用它的法院命令時移交主金鑰,也沒有達成任何共識。
接下來會發生什麼?
FBI 的科米週三堅稱,他並非要求擴大政府的監視許可權;相反,他的目標是確保執法部門在需要時能夠繼續從新興技術中收集電子資訊和證據。安全研究人員表示,科米和他的同事應儘可能具體地說明他們需要什麼,然後讓網路安全專家和立法者參與進來,以提出一種兼顧資料安全和使用者隱私的方法。既然雙方都已公開表態,我們可能會看到他們之間進行一些直接對話。