文|脑极体
在这个月初,澳大利亚政府通过了“获取援助法案”。这一消息在国内虽然关注的人不多,但在澳大利亚当地以及欧美国家都却引起了轰动,甚至很多人认为这一法案是澳大利亚互联网产业发展的倒退。
获取援助法案主要说了些什么呢?
简单描述一下就是,澳大利亚政府有权要求科技企业帮助他们破解用户终端和云服务,获取一切聊天记录、图片、视频等等数据。根据法案的禁言政策,这一切都将在秘密状态中进行,如果企业拒绝合作,将会被处以1000万澳元的罚款。
而且澳大利亚即将与加拿大、美国、英国和新西兰一起成立五眼联盟,也就是说未来可能出现这种情况:加、美、英、新任何一国想以不合理的方式获取公民信息,都可以通过澳大利亚向科技企业施压。
造成如今这种情况的,绝非一日之寒。此前我们就在关于“数字取证”的分析中提到过,由于智能硬件和我们生活之间的联系越来越紧密,很多时候犯罪分子之间的通信记录或者其他破案关键信息和证据都在智能硬件或云端。由于科技公司大多都有不合作政策,政府常常为此头痛,因此才有了此前美国一件枪击案中,FBI向苹果施压要求破解犯罪分子手机,最终找了黑客解决。
尤其是当端到端加密技术出现,问题就愈发严重了。
端到端加密:让你的信息比你想象中更安全
在澳大利亚刚刚宣布通过这一法案时,一家名为Signal的企业立刻表明了强烈反对,CEO Fund声明,为了保护用户隐私,他们绝对不会为政府开后门。CEO还表示,他知道这种行为可能会让Signal在澳大利亚境内被封杀,让用户做好使用科学上网方式使用的准备。
而Signal这款软件,就是一款端到端加密聊天软件。
以文字消息为例,端到端加密聊天软件大多都基于加密通讯协议signal protocol。这一通信协议中利用了迪菲-赫尔曼密钥交换协议,对话的双方发送信息时,彼此拥有自己的密钥和对方的公钥,两者结合才能揭秘消息。这样黑客即使通过网络拦截某一方的公钥,没有秘钥也不能破解。而且在储存用户公钥的服务器中,还设置了三种和用户身份秘钥对应的公钥。
也就是说,在发送一条消息时,要聊天的彼此利用终端和服务器中的五组数据相互对应验证才能破解。就好比A给B发信息时,B要用口袋里的五把钥匙分别打开服务器和自己口袋里的若干把锁,才能获知信息。
同时这一协议还采取了棘轮算法源源不断地产生消息秘钥,让聊天双方的每一条消息都有一套独立的秘钥,这样即使被黑客强行破解了,也只能看到一条消息内容。
除了立场鲜明的Signal,我们熟知的facebook messenger、iMassage、WhatsApp和Skype等等通信软件都利用这种算法提供端到端聊天模式——看来我们的通信远比想象中安全。
当加密聊天成为逆鳞
端到端聊天加密一开始只是以开源的模式,在小众开发者的圈子里小范围流传。但自从棱镜门时间爆发后,人们开始对自己的通信安全充满了不信任,这些知名的App才开始引入相关技术。
在端对端加密聊天刚刚被大众熟知时,这一技术通常被应用在一些“小众”产品里。例如一些主打已婚出轨或小众性癖的社交平台,他们告诉用户这种方式可以帮助他们保存秘密。同时当很多人怀疑通信软件会抓取聊天数据提供给广告商时,这种加密模式变得格外受欢迎。
但很快,随着端到端聊天加密越来越多的进入主流产品中,这种无法追责的通信模式就开始造成难以预计的后果。
最先触碰到人们神经的,是儿童的安全。
很多欧美家庭都会选择让儿童和家人共用一个云端ID,借此在不接触终端的前提下对儿童使用平板电脑、手机等产品进行一些监管。但端对端加密让信息停留在单一终端上,无法在云端用家长模式进行监管。而且此前在印尼发生的妈妈卧底WhatsApp恋童癖群组事件,同样也是因为恋童癖们使用端到端加密模式,最终让整个事件不了了之。
同时,开始有越来越多的极端组织借助这种技术的加密特性来传播极端的思想。
在一款名为Telegram的端对端加密聊天软件中,一直有极端分子在公共广播中宣传恐怖主义思想。在2015年,Telegram对于这些公共频道进行了封禁。可在2017年印尼清真寺袭击警员事件发生后,经调查发现涉世恐怖组织仍然在利用Telegram的群组功能宣传恐怖思想,但由于端对端加密的匿名性,他们无法通过调查挖掘更多的相关信息。
而最可怕的是,那些恐怖分子真的在利用这种端对端加密聊天来联络行事。
2016年德国和法国遭受了一系列恐怖袭击,在法国诺曼第一教堂中发生的袭击事件的攻击者就是通过端到端加密聊天进行的联系,时任法国内长就表示,这类软件要对恐怖袭击事件负主要责任,如果这些产品能够给政府“留后门”,或许可以阻止这类事件的发生。
可话又说回来了,对于普通民众来说,他们没有犯罪的心思,却要被随时可能会被政府获取私人通信记录这种不安全感所围绕,确实让人难以忍受。可在当权者看来,这是一道选择题:要隐私就没有安全。
从Clipper到后门,老大哥只有了一点小进步
那么获取援助法案真的能够顺利实施吗?或许我们可以参照Clipper芯片的案例。
政府对互联网信息破解的渴求,其实从上个世界90年代就开始了。上个世纪现代密码学得以发展,公开密钥密码体系得以横空出世。这种原本应用于间谍体系的技术最终成为了互联网的基石,也让政府开始感到紧张。
于是美国国家安全局和FBI联手设计了一套名为Clipper的芯片,安装在电脑中,就可以给这两个部门提供一套后门秘钥,方便他们获取信息(现在我们知道彭博社关于中国间谍芯片的“灵感”来自哪里了)。在FBI原本的设想中,美国生产出售的每一款电脑都要搭载这款芯片。
答案显而易见,根本没有一家厂商搭理这种无理要求,Clipper计划最终也不了了之。到如今澳洲政府通过获取援助法案,老大哥只能说有了一点小进步。
同样,针对端对端加密聊天也存在很多无解的问题。
1、端到端加密算法有其特殊性,即使是研发者也做不到“破解”并且获取数据,顶多停止这种加密方式。
2、目前大多数产品的市场都涉及全球,为某一国家安全机构打开后门,必然是为其他国家所反感的,很可能使其在一些国家市场中遭受限制。
3、在Facebook信息泄露事件发生不久的如今,人们对信息安全正在处于高度敏感之中,科技企业也都在忙着洗清嫌疑。这时强制执行“开后门”,其实很容易引起大众反感。
不过想要获取通讯软件中的违法信息,开后门绝不是唯一选择。从终端进行信息脱敏和分析,或像德国政府那样尝试在犯罪分子通讯过程中对信息进行拦截和破解,都是可行之道。只不过从当前技术发展状况来说,“开后门”是最偷懒也是最高效的方法。
其实,把加密通讯和犯罪行为挂上钩本来就是一件很模糊的事。在此前几次关于恐袭的调查中,涉事端对端加密聊天软件都声称自己与这件事无关。何况加密聊天并不能导致犯罪,顶多是加大了犯罪调查的难度。没有加密聊天他们也可以找到其他沟通方式:讲方言、说黑话……
在海外很多科技媒体也表示,澳大利亚的援助法案仅仅提出了自己的要求,却没有明确权力的范围——这种不设限才是企业和民众们最担心的。或许当有一天我们打造出了一个合适的笼子,才能让这种权力发挥正向作用。
根据《网络安全法》实名制要求,请绑定手机号后发表评论