原文來自Ars Technica,作者Sean Gallagher
原文鏈接:https://arstechnica.com/tech-policy/2019/10/the-broken-record-why-barrs-call-against-end-to-end-encryption-is-nuts/
老調重彈
美國司法部長威廉·巴爾(William Barr)正帶頭要求Facebook(臉書)和其他互聯網服務商終止在消息服務中使用端到端加密技術(譯註:即時通信中使用的一種技術,可有效防範竊聽)——這次是以打擊兒童色情內容的名義。
10月4日,威廉·巴爾(William Barr)和美國國土安全部代理部長凱文·麥卡利南(Kevin McAleenan),澳大利亞內政部長彼得·達頓(Peter Dutton)和英國內政大臣普麗蒂·帕特爾(Priti Patel)聯合要求Facebook首席執行官馬克·扎克伯格(Mark Zuckerberg)推遲在所有Facebook消息服務中使用端到端加密技術,“直到其能找到一種方法,使政府能夠出於調查目的獲得私人信息的訪問權限”。
數月前,威廉·巴爾(William Barr)在紐約福特漢姆大學舉行的國際網絡安全會議上發表主題演講時稱:“加密技術正在削弱執法部門獲取偵查和調查犯罪所
必需的證據的能力”,使得“犯罪分子逃脫懲戒,犯罪活動被很好地隱藏在加密技術的外衣下。”此次的公開信很好地呼應了美國、英國、澳大利亞、加拿大和新西蘭今年7月發佈的《五國聯盟2019年部長級會議聯合公報》,該公報稱:“……當務之急是,包括互聯網服務提供商、設備製造商在內的所有數字產業公司,在開發系統和服務時,都須考慮對兒童安全產生的影響,包括考慮虐童行為產生的風險。尤其是絕不允許他人利用加密技術隱瞞或助長虐童行為的滋生。”
Facebook向來在社交媒體上發揮著重要的監察作用。例如,2018年,Facebook就向國家失蹤與受虐兒童中心(NCMEC)提交了犯罪分子虐童和試圖虐童的相關圖像報告。
毋庸置疑,兒童色情問題近年來頻繁發生。近期,《紐約時報》的一份報告顯示,在過去的二十年中,對兒童進行性虐待的圖像證據的數量呈指數增長,調查人員去年檢舉了4500萬多份虐童罪行的圖像和視頻證據。Facebook的報告的案件數量佔了2018年NCMEC受理的1,840萬例案件的90%。而這1,840萬例案件數是2017年的兩倍和2014年的19倍。
巴爾(Barr)等人在公開信中指出:NCMCE預計,如果端到端加密技術保護了用戶的所有消息,且Facebook無法通過其安全系統篩選內容,“Facebook報告的兒童性剝削和恐怖主義相關案件的十分之七(全球1200萬例)將會丟失”。巴爾等人聲稱:“這將大大增加兒童遭受性剝削或其他嚴重傷害的風險。”
公開信還將“阻止使用端到端加密技術”的呼籲對象,從Facebook延伸到了整個科技行業,並指出:
“因此,我們呼籲Facebook和其他公司採取以下措施:
-將公眾的安全機制納入系統設計中,在不降低安全性的情況下繼續有效地對違法內容採取行動,方便起訴罪犯和保護受害者;
-使執法部門能夠以可讀和可用的格式合法獲取數據;
-與政府磋商,以切實有效的方式真正促進公司的設計決策;
-且在確保用於維護用戶安全的系統經過充分測試並且可以運行之前,不使用端到端加密技術。”
該計劃主要存在以下幾個問題:
首先,給政府部門設置後門權限(backdoored encryption)會使加密系統不堪一擊,可能很快就會被破解。其次,加密技術形式多樣並且漸趨成熟,阻止幾家大的服務提供商推行加密技術,是難以阻止犯罪分子對他們的消息進行加密的。而如果安全加密是犯罪行為,那麼只有犯罪分子才會使用安全加密——人們只需下載個工具或者做些簡單的數學運算,很容易就被識別成了犯罪分子。
關於“犯罪分子很蠢”的討論
“阻止使用端到端加密技術”背後的論證邏輯,很大程度上是,犯罪分子天生就是愚蠢的,在默認情況下對信息進行加密,會在犯罪分子犯傻和不使用加密技術的情況下保護他們。這一論據在Apple曾經將加密技術引入iMessage時就被使用過,此後多次被用於此類論述。
多年來,Facebook已將端到端加密服務作為用戶在使用Messenger對話時的一個選項,在WhatsApp也有同樣的服務選項。
但由於用戶需要額外(且並不直觀)的步驟才能為Messenger啟用加密選項,因此多數人都不會使用它。顯然,犯罪分子在發送信息時,也會想當然地認為自己並沒有受到監視,這就如同鄧寧-克魯格效應(Dunning-Kreuger effect)一樣(譯註:鄧寧-克魯格效應指的是能力欠缺的人在自己欠考慮的決定的基礎上得出錯誤結論,但是無法正確認識到自身的不足,辨別錯誤行為,是一種認知偏差現象。)
問題在於,不是所有犯罪分子都那麼白痴。儘管Facebook近年來在報道兒童色情案件方面做出了巨大貢獻,但如果犯罪分子意識到自己顯然在監視範圍內,白痴都會換用別的消息服務。
舉個例子,8chan網站(某論壇網站,論壇中的內容全部為用戶發帖,用戶無需註冊,可直接匿名發帖或者留言)關閉後,其用戶轉向使用Telegram(一款跨平臺的即時通訊軟件)或WhatsApp和Signal等工具以獲得端到端語音和消息傳遞加密服務。此外,還有許多“黑網”(Dark Web)和“深網”(Deep Web,又稱:不可見網、隱藏網)在運作,其中就活躍著虐童犯罪分子。
我在與某些研究人員和執法人員的對話中瞭解到,論壇上到處都是與這類犯罪分子有關的情報網絡。當然,這些情報網並不是都非常好用,而且有的犯罪分子會被抓——但不是因為他們沒有使用端到端加密技術,而是因為他們選錯了交流對象。
法律改變不了什麼
四年前,當焦點集中在抓捕恐怖分子而不是虐童的犯罪分子時,當時的聯邦調查局局長詹姆斯·科米(James Comey)強烈譴責了政府間諜行動的“不作為”,並堅持認為數學家和計算機科學家們並沒有盡全力為執法部門和情報組織建立牢不可破的加密技術。
但我當時就指出,如果看看美國政府在二十世紀九十年代嘗試將後門加密技術應用於電話通信時發生了什麼,就能瞭解為什麼政府授權的後門技術是有風險的。正如惠特菲爾德·迪菲(Whitfield Diffie,世界著名的密碼技術與安全技術專家)在1993年警告不要實施密鑰託管和“加密芯片(Clipper Chip)”時所說的那樣:
“-後門技術將使消息服務提供商與其他政府和國際客戶處於尷尬境地,從而削弱其價值;
-那些出於不法原因想向政府隱瞞其對話的人可以輕鬆繞過後門;
-唯一易於監視的人是那些一開始就不關心是否受到政府監管的人;
-無法保證其他人不會出於自身目的利用後門技術”
並且,一組首席計算機科學和密碼學研究員(包括一些在1997年實際上打破了Clipper Chip的密鑰託管方案的人)在2015年發表了一篇論文,再次警告政府不要使用加密後門技術。他們指出,後門可能會被除了持有證件的合法搜索者以外的其他人利用,成為系統的漏洞:
“當今互聯網環境非常複雜,數百萬個應用程序、全球範圍內連接的服務意味著新的執法要求可能會帶來無法預料、難以發現的安全漏洞。除了這些安全漏洞和其他的一些技術缺陷外,在全球部署特殊的訪問系統(後門)面臨著一些難題,即如何管理後門以及如何確保人權得到尊重、法治得以施行。”
但是,加密技術遇到的數學和科學難題並未阻止政府嘗試更改規則的腳步。儘管巴爾缺少強迫Facebook或其他公司遵守其要求的法律支持,但五眼聯盟(Five Eyes,在英美協定下組成的國際情報分享團體,成員包括澳洲、加拿大、新西蘭、英國和美國五國)的其他成員仍在以法律手段抵制加密技術。
去年12月,澳大利亞通過了一項法律,規定加密通信服務需為政府部門留出後門,並規定服務和應用程序提供商必須根據政府需求向其提供用戶的信息。儘管四年前在英國進行的類似的立法努力宣告失敗,但英國已授權使用Web攔截技術來打擊兒童色情和其他犯罪問題——據此英國可以將該技術的應用範圍擴大到提供加密通信服務的公司。
其他工具已如囊中之物
考慮到執法機構和情報組織已經擁有許多用來監視非法活動和目標嫌疑人的方法,在此爭論端到端加密技術似乎沒什麼意義。利用DNS流量竊聽、政府執行令和其他法律手段獲取賬號(比如獲取仍處於活動狀態的PRISM程序的帳號),攔截Tor隱藏服務(比如上個月德國警方關閉了CyberBunker 2.0——一個安裝在前北約掩體中的數據處理中心,該掩體託管著從事毒品和其他非法活動的暗網網絡)以及對所有端點進行黑客攻擊,都可以讓官員在不破壞互聯網的其餘部分的情況下獲得用戶信息。
同虐童、恐怖主義或其他任何惡行作鬥爭固然重要,但禁止公民之間、企業和客戶之間、記者和消息來源人之間、檢舉人和律師之間、以及可能需要私下交流的其他合法實體之間使用加密通信技術,風險代太高,不足以成為政府向通信服務商索取後門訪問權限的理由。
在過去的50年中,每屆美國總統政府的行為都以某種方式很好地解釋了我們為什麼要擔心政府監督權被濫用。而愛德華·斯諾登(Edward Snowden)事件(2013年6月,愛德華·斯諾登將美國國家安全局某監聽項目的秘密文檔披露給了媒體)更讓我們瞭解了政府監督權是如何被濫用的。這就是Internet服務商如此果斷地使用端到端加密技術並將其自身從監視設備中剔除的部分原因。
閱讀更多 久謙諮詢 的文章
