Susan Landau,前 Sun Microsystems 杰出工程师,现任塔夫茨大学教授。最近在华盛顿特区的一次活动中,我有机会与她交流。
她出版了一本新书,Listening In: Cybersecurity in an Insecure Age,对于计算机安全和加密领域的长期关注者和新手来说,这本书都非常值得一读。正如我之前写道的,辩论已经发生了转变(请参阅美国政府告别 Clipper 芯片和加密后门: 这个辩论还有更多内容吗?)。
在这次采访中,Susan 解释了这种转变是如何以及为何发生的。
Mark Bohannon:Susan,请您介绍一下自己。
Susan Landau: 我最初接受的是理论计算机科学方面的培训;我研究代数问题的快速算法。但在 1990 年代,我卷入了密码战争。首先,我参与撰写了Codes, Keys, and Conflicts: Issues in US Crypto Policy,这是计算机协会 (ACM) 发布的关于加密的最早期的研究之一。之后,Whit Diffie [因Diffie-Hellman 密钥交换而闻名] 和我合著了Privacy on the Line: The Politics of Wiretapping and Encryption。
我开始在 Sun Microsystems 工作,从事技术和政策相结合的工作。在此期间,我逐渐变得越来越像一个政策专家。我研究了联邦身份中的隐私和安全问题,帮助制定了 Sun 关于数字版权管理的政策,并向国会和欧盟委员会汇报情况。我还写了我的第二本书,Surveillance or Security? The Risks Posed by New Wiretapping Technologies,该书探讨了将窃听技术构建到通信基础设施中的风险(想想执法通信协助法案)。
当 Sun 公司在 2010 年倒闭后,我在哈佛大学待了几年(其中一年是拉德克利夫研究员),在谷歌短暂担任高级职员隐私分析师,并在伍斯特理工学院担任网络安全政策教授多年。现在我在塔夫茨大学担任网络安全和政策方面的桥梁教授,隶属于塔夫茨大学弗莱彻法律与外交学院和工程学院的 计算机科学系。我正在塔夫茨大学建立网络安全和网络安全政策方面的课程和工作。并且我出版了我的新书,Listening In: Cybersecurity in an Insecure Age。
Mark:您已经见证了加密辩论在过去几十年中的演变。我们已经从早期走了多远?
Susan: 在 1990 年代,NSA 和 FBI 都强烈反对公众使用端到端加密。2000 年,美国政府放宽了对具有强加密功能的计算机和通信设备的出口管制,认识到这将导致公众更容易获得端到端加密。NSA 坦然接受了这一变化;很大程度上,该机构意识到加密即将到来,并将重点转移到计算机网络漏洞利用上。但 FBI 从未真正接受这一变化。此后,它一直在继续进行加密斗争。
但是,在此期间,确实发生了真正的变化。现在没有人真正在争论是否应该控制端到端加密。(事实上,许多前高级情报领导人已经公开表示支持在民用领域使用它。)因此,虽然 FBI 会谈论端到端加密构成的威胁,但实际上斗争的焦点是锁定设备,就像圣贝纳迪诺案件中关于 iPhone 的斗争一样。
Mark:在您的新书中,您认为讨论正在从“隐私与安全”转向“安全与安全”。您能详细说明一下吗?
Susan: 让我从一个关于智能手机的故事开始说起。当 iPhone 推出时,它被证明是街头盗窃的绝佳目标:一种体积小、价格昂贵的设备,很容易被拿走。因此,苹果开发了保护措施来保护手机安全,包括查找我的 iPhone和激活锁。这些措施限制了被盗手机的使用,并且盗窃案数量下降。但是中国的黑客发现了智能手机的另一种用途:设备上的数据。在 2000 年代后期,中国的犯罪分子开始入侵丢失和被盗的手机,出售数据。然后他们开始出售黑客技术。
想想手机上丰富的数据:账户信息、电子邮件等。这些数据使得身份盗窃变得轻而易举。因此,苹果开始保护手机数据。再加上我们都随时随身携带手机,并且如果手机丢失会很快知道,这使得智能手机成为用于双因素身份验证的完美设备。这非常重要。
现在让我回到您的问题。FBI 将其与苹果公司关于锁定手机的冲突描述为隐私与安全案例。是的,智能手机携带大量个人数据——照片、短信、电子邮件等等。但它们也携带商业和账户信息;保持这些信息的安全非常重要。问题是,如果您让执法部门更容易访问锁定设备,那么您也让不良行为者——罪犯、黑客、决心坚定的民族国家——更容易做到这一点。这就是为什么这是一个安全与安全问题。
这里需要考虑的一个重要因素是俄罗斯对民主国家的攻击(有一份有趣的参议院外交关系委员会少数派报告讨论了俄罗斯如何将信息武器化以对抗欧洲民主国家)。2017 年 1 月的情报委员会报告指出,“俄罗斯情报部门针对美国初选活动、智库和游说团体进行了情报收集,他们认为这些机构可能会影响美国未来的政策。”
民间社会组织对于民主国家的运作至关重要,但其中许多组织缺乏大笔预算或进行强大安全保护的能力。因此,为了确保它们的安全性,像端到端加密和双因素身份验证设备这样提供强大安全性的系统应该易于获得且易于使用。这就是锁定手机发挥作用的地方。如果 John Podesta 使用了双因素身份验证,他的电子邮件将更难被泄露。如果 DNC 一直使用 Signal 进行消息传递——或任何其他具有前向保密的系统——就不会有旧的通信记录被盗(是的,有时您需要保留旧的通信记录,但不必像我们目前这样保留那么多)。关键是,易于获得的具有良好安全性的消费产品可以保护我们所有人。因此,它们可以保护整个社会。鉴于我们现在面临的威胁,从俄罗斯破坏民主的努力到破坏美国工业的[知识产权]数据盗窃,这一点非常重要。
Mark:我发现您关于加密时代调查的章节非常发人深省。我们现在的问题仍然是“后门”的风险,还是执法部门面临的挑战已经超越了这一点?
Susan: 很高兴您提出这个问题。让我们回顾一下 1990 年代后期 NSA 面临的世界。通信的量、种类和速度都发生了变化,这给信号情报机构带来了许多挑战,许多国家都在使用难以破解的密码技术对通信进行加密。事实上,在 1999 年,调查记者 Sy Hersh 将此描述为“情报差距”;当时有人说 NSA 有“失聪”的危险。但 NSA 适应了。该机构开发了进入网络并从通信元数据中获取信息的技术。
FBI 并没有以同样的热情投入到处理新技术中。虽然 FBI 确实有一些技术非常精湛的调查员,但数量还远远不够——至少差一个数量级。但除此之外,还有更多问题。
州和地方警察部门被他们面临的技术的复杂性压得喘不过气来。2011 年,当我在国会关于加密的听证会上作证时,国际警察局长协会主席描述了执法部门在新通信技术方面遇到的困难。问题不是加密;而是州和地方执法部门必须处理的无数不同类型的手机和技术。那是在锁定 iPhone 之前的日子。
现代调查的一个方面是在通信被加密或数据位于锁定设备上时,使用替代形式的调查技术。有时,相同的数据可以在其他地方找到(例如,在云端)。有时,替代数据源——通信元数据和物联网设备提供的数据(这些数据越来越多地在刑事案件中提供证据)、自动车牌识别器、公交卡等——可以为调查人员提供他们所需的信息。还有“合法黑客行为”,即利用系统中的漏洞侵入设备并访问数据。这里重要的是要认识到,在法庭上获得定罪(执法部门的工作)与深入了解外国对手的行为(NSA 的角色)是不同的。这并不意味着执法部门不能利用我们所有人(包括罪犯)到处散落的大量数据。
要做到这一点,意味着要提高执法部门的能力。正如我所说,FBI 需要大幅提高其技术能力。执法部门需要开发一种更好的方式,与州和地方警察共享技术信息,因为州和地方警察永远不会有足够的资源在其部门内充分发展深度。我在这里不是说联邦政府接管调查,而是提供技术资源将使州和地方警察能够自己进行这些调查。这也意味着大幅增加资金;事实是,现在许多犯罪行为都具有数字层面。我们需要为警察提供资源以进行此类调查,并发展警察处理此问题的能力。(我在最近的一篇Lawfare 博客文章中描述了其中一些内容。)
Mark:在您的职业生涯中,您一直在开源社区内外工作。您看到这些年来发生了哪些变化?
Susan: 开源在 1990 年代是一件新鲜而激进的事物;现在它已成为公认的商业模式。这是最大的变化。许多在 1990 年代无法想象参与开源的公司现在已成为其最大的用户和贡献者。在 1990 年代,我们购买硬件和软件。我们仍然购买硬件,并且仍然购买一些软件。但我们以服务的形式获得许多其他软件,通过订阅(有时是广告)来支付开发成本。现在,吸引用户加入您的社区和平台——从而吸引开发人员编写应用程序——才是关键。开源显然是吸引开发人员的成功之道。
关于使用哪种开源许可证,仍然存在一些问题。但在其他问题上,最重要的是商业模式发生了变化——软件模式也发生了变化。
在我为这篇文章采访 Susan 后,《华盛顿邮报》发表了一篇关于 FBI 与密码学界之间争端的问答,读者可能会觉得有趣。
2 条评论