“我认为要求制造硬件和软件的公司构建重复密钥或后门是一个错误,即使你用法庭命令的概念来对冲它。我这样说是有一些原因的,而且我对此进行了相当多的思考。”
随着美国和国外的加密访问辩论愈演愈烈,像上面这样的声明已经变得司空见惯。
但这不仅仅是另一位专家给出意见。相反,这是迈克尔·切尔托夫(Michael Chertoff)的有力观察,他曾任美国国土安全部部长、联邦上诉法院法官、美国司法部刑事司前司长,并且担任检察官近十年。
今年夏天在一次会议上发言时,切尔托夫明确了他认为走上这条道路(可能会阻止使用某些类型的加密)的风险。首先,漏洞增加了。“你基本上是在让普通人的东西变得不那么安全,”他说。
其次,强调了其他专家也通过他的实践经验提出的一个观点,“真正坏的人会找到应用程序和工具,让他们能够在没有后门的情况下加密一切。” 考虑到我们生活和工作的全球环境,认为政府能够阻止这种情况是“白日梦”。 可能的结果是“合法的行为者将进行稍微不太安全的通信,而坏人仍然无法被解密。”
而且,切尔托夫问道,当其他国家想要同样的重复密钥或后门访问权限时,你会怎么做?这对我们来说是一个“战略问题”,因为“公司将没有原则性的理由拒绝这样做。”
几天后,切尔托夫与前国家安全局局长迈克·麦康奈尔和前国防部副部长威廉·林恩——一群拥有数十年国家安全经验的人——一起在《华盛顿邮报》的一篇评论文章中阐述了许多相同的观点。
他们谈到了过去的努力——例如Clipper Chip——并强调了著名的计算机安全专家的最新批评(“门垫下的钥匙:通过要求政府访问所有数据和通信来强制执行不安全”),并得出结论
“今天,几乎每个人都随身携带联网设备,普遍存在的加密提供了必要的安全性。 如果执法和情报机构面临未来无法确保访问加密通信的情况,他们将开发技术和方法来实现其合法的任务目标。”
我们是否遗漏了一场更大的辩论?
加密后门占据了最近几次国会听证会的头条新闻,并且这个主题在媒体报道中占据主导地位。
在今年夏天参议院司法委员会的联合证词中,副司法部长莎莉·奎因·耶茨和联邦调查局局长詹姆斯·B·科米并非不那么巧妙地暗示了一个稍微不同、更广泛的焦点
“在一个用户可以完全控制对其设备和通信的访问的世界中,因此可以轻松阻止所有合法授权对其数据的访问……其他类型证据的理论可用性将[不起作用]……核心问题是:一旦法律和宪法的所有要求和保障措施都得到满足,我们是否可以接受导致获取犯罪证据的障碍的技术设计决策?”
他们回顾了 1968 年《综合犯罪控制和街道安全法》第三章(通常称为“第三章”或“窃听法案”)和 1978 年《外国情报监视法》(FISA)的历史,发现
“总的来说,这些法规反映了国会在独立司法机构监督下,为验证我们宪法中 enshrined 的原则并平衡几个有时相互竞争但同样合法的社会利益:隐私、公共安全、国家安全和有效司法而做出的协调一致的努力。 今天技术的演变和运作导致了最近的趋势,这些趋势威胁着这种历史悠久的方法。 简而言之,在许多方面改善了我们生活的同样独创性也导致了产品和服务的激增,在这些产品和服务中,提供商无法再协助执法部门执行搜查令。”
特别引起我注意的是他们的证词中花费的时间,强调了两项法规中规定的“强制性技术援助”。 特别是,他们指出,1994 年《执法通信协助法》(CALEA)的通过“确保了执法部门能够可靠地从新兴的电信网络中获取证据”,当时,二十年前,“电信行业正在经历重大转型,政府也面临着类似的问题。”
对于那些不熟悉该法规的人来说,CALEA 要求电信运营商在其网络中开发和部署拦截解决方案,以确保政府能够在合法授权的情况下拦截电子通信,尽管它不要求运营商解密客户加密的通信,除非运营商提供了加密并拥有解密所需的信息。
正如副司法部长耶茨和联邦调查局局长科米指出的那样,具体而言,“[CALEA] 要求运营商能够隔离和传递特定的通信,排除其他通信,并能够传递有关通信的始发和终止的信息……[并且] 规范了涵盖实体必须具备的能力,”并补充说,它“不影响政府必须满足才能获得法院命令以收集通信或相关数据的流程或法律标准。”
但他们指出,“虽然 CALEA 旨在跟上技术变革的步伐,但它的重点是提供传统电话和移动电话服务的电信运营商,而不是基于互联网的通信服务。” 在上个十年的中期
“……通过联邦通信委员会(FCC)对该法规的解释,CALEA 的范围已扩大到包括基于设施的宽带互联网接入和与公共交换电话网络完全互连的互联网协议语音(VoIP)服务……CALEA 不涵盖流行的基于互联网的通信服务,例如电子邮件、互联网消息传递、社交网站或点对点服务。”
他们的叙述中遗漏的是,CALEA 的通过是有争议的,预示着十年后的“加密战争”。 根据 FCC 网站,“CALEA 旨在通过要求电信运营商和电信设备制造商设计和修改其设备、设施和服务,以确保他们拥有必要的监控能力,随着通信网络技术的发展,确保执法机构能够进行电子监控。” 具体实施方案基于运营商制定的行业标准,并基于 CALEA 中的性能要求。
耶茨和科米在他们的证词中表示,“尚未决定是否寻求立法”,尽管有关提案的报道近年来频繁出现。 但他们明确表示,“由于近年来通信技术的革命性转变,政府在执行法院命令方面失去了阵地,这些法院命令不适用于 CALEA 涵盖的通信……我们必须努力……制定一种方法来解决所有多重、相互竞争的合法担忧,这些担忧一直是如此多辩论的焦点。”
重新开放 CALEA:维护安全的挑战
关于更新 CALEA 的辩论比仅仅讨论“加密后门”的规模要大得多。 它可能会引发更广泛的互联网和网络安全问题,不仅限于访问最终用户设备上可能加密的电子邮件、视频和图片。
回想一下,正如耶茨和科米指出的那样,CALEA 是当时现有窃听法规的更新,发生在“当时基于互联网的通信尚处于相当早期的发展阶段”。 分布式网络世界的概念仍处于起步阶段。
因此,安全专家已经探索了重新开放 CALEA 的影响,他们指出了具体的风险,这些风险可能只是开始触及复杂性
“安全是通信系统的基本要求。 商业、政府和人际关系都依赖于安全通信。 然而,我们知道我们今天的通信系统正受到攻击,特别关注端点系统。 政府信息和通信系统,包括执法和国家安全系统,以及企业系统,包括通信服务提供商的系统,都已成为目标。 正是在这种背景下,我们提出了我们的担忧:对通信工具的窃听设计授权,坦率地说,是增加利用机会的机会。” [省略脚注]
有趣的是(也许不仅仅是巧合),在联合证词几周后,消费者保护机构也加入了进来。 联邦贸易委员会(FTC)委员特雷尔·麦克斯威尼在《赫芬顿邮报》上撰文称,“如果消费者不能信任其设备的安全性,我们最终可能会阻碍创新,并为我们的个人安全引入不必要的风险。 在这种环境下,政策制定者应仔细权衡任何可能削弱消费者隐私和安全保护的提案的潜在影响。” 麦克斯威尼委员继续指出,“许多人可以而且应该做更多的事情来防止违规行为”,并引用了今年早些时候发布的联邦贸易委员会报告,该报告指出物联网(IoT)产品中存在各种各样的安全实践。
与此同时,联邦贸易委员会首席技术官阿什坎·索尔塔尼在他的博客文章中报告了他自己最近笔记本电脑被盗的经历。 幸运的是,对他来说,他使用了固件密码和强大的磁盘加密的组合,从而阻止了小偷访问笔记本电脑。 (显然,小偷试图在 Apple Genius Bar 寻求帮助,这帮助 Soltani 取回了他的电脑。)
我们正处于这场最新辩论篇章的开始,这将包括深入研究执法部门在多大程度上面临“变暗”的真实案例。 彼得·斯维尔教授,十多年前主持了重新开放窃听法规审查,他在同一次七月听证会上作证。 “执法部门可能会面临与科米局长所述担忧相符的小部分情况:锁定的设备或端到端加密——“仅对话参与者可以访问”。 然而,在事实层面上,我们应该对关于这种“变暗”现象普遍存在的过于宽泛的断言保持高度警惕。”
关于此事的立法不太可能在本届国会中发生,但辩论正在成熟。 随着辩论的继续,问题变得复杂,不仅关乎我们的个人隐私,还关乎我们日益依赖的重要网络和系统的安全。
评论已关闭。