密码学家对GCHQ拦截概念的反驳强调了加密破坏辩论的参与者如何相互讨论。什么甚至是“系统性弱点”,无论如何?
澳大利亚有争议的新加密法的核心是 一个难题。通信提供商如何创建一种访问特定加密通信的方法,而不会产生可用于更广泛地访问这些通信的禁止“系统性弱点”?
几天前成为法律的“援助和获取法”将系统性弱点定义为“影响整个技术类别,但不包括选择性地引入与特定技术相关的一种或多种目标技术的弱点”。人”。
现在让我们来看看思科对同样有问题的“后门”这个词的定义。
“我们已经定义了一个'后门'来包含任何有意创建并且未透明披露的监控功能,”思科在其提交的[PDF]中写道,PJCIS。
“如果条例草案要求通过[技术能力通知],创建能力,同时阻止[通信提供者]记录该能力的存在,法律将导致后门的产生。”
然后就是可能被视为“破解加密”的问题,这是新加密法的批评者所说的,法律本身就是这样。是否可以在不削弱加密本身的情况下访问端到端加密消息?
英国的GCHQ当然这么认为。其中两位技术总监最近概述了通信提供商如何静默地将另一个端点添加到聊天和呼叫中。
他们写道: “服务提供商通常控制身份系统,因此确实决定了谁和谁涉及哪些设备 - 他们通常会参与介绍聊天或电话的各方。”
“我们不是在谈论弱化加密或破坏服务的端到端性质。在这样的解决方案中,我们通常谈论的是抑制目标设备上的通知,而只是在目标设备上可能与他们沟通的那些人。这是一个非常不同的讨论主题,你甚至不必触及加密。“
约翰·霍普金斯大学(Johns Hopkins University)教授密码学的马修·格林(Matthew Green)表示,GCHQ的方法将“绝对”削弱加密系统,带来“不可预测和不幸的后果”。
“现在,当一个新人加入你的谈话时,大多数聊天客户都会给你一个明确的警告。显然警察不能弹出'特工布莱恩特加入你的聊天'的消息。所以这个消息必须被压制,”绿色周二发推文。
这通常意味着在客户端更改代码。您是否将修改后的应用分发给每个用户,或者仅将应用更新推送到目标?如果已经具备了后者的能力,那么使用技术能力通知就无法解决问题。因此,任何新功能都涉及将弱化的客户端应用程序分发给所有用户。
“因此,在创建'目标漏洞'的过程中,您已经在整个用户群中引入了全局安全漏洞。毫无疑问,您将尝试阻止漏洞利用,但历史告诉我们人们善于利用漏洞。这就是为什么我们不要添加瑕疵,“格林写道。
“这个GCHQ提案的显着之处在于它的保质期是多么有限。没有人强化其关键分销系统来抵御这些攻击的原因是因为供应商认为这些攻击是不切实际的。通过提出攻击,GCHQ让人有理由担心。”
GCHQ捍卫这种方法是“不削弱加密”,但根据格林的说法,这是“非常律师的描述”。
温和的读者,这是问题的真正核心。
法律由政治家及其律师自然编写。他们希望他们的法律独立于技术而工作。法律从法律和社会的角度描述了他们想要的结果:合法获取被截获的嫌疑犯信息。
但正如这两位GCHQ技术总监所指出的那样,技术细节很重要。
他们写道:“如果没有细节,这个问题就会成为关于安全,自由和政府角色的纯粹学术抽象的争论。”
“有一种更好的方式,一方面不涉及各种政府,另一方面,律师,哲学家和供应商的公共关系部门继续互相喊叫。如果我们能够让所有各方看到一些实际细节,一些做法和建议 - 没有要求任何人妥协他们从根本上相信的事情 - 我们可能会到达某个地方。
閱讀更多 luoxi10449892 的文章
