原文来自Ars Technica,作者Sean Gallagher
原文链接:https://arstechnica.com/tech-policy/2019/10/the-broken-record-why-barrs-call-against-end-to-end-encryption-is-nuts/
老调重弹
美国司法部长威廉·巴尔(William Barr)正带头要求Facebook(脸书)和其他互联网服务商终止在消息服务中使用端到端加密技术(译注:即时通信中使用的一种技术,可有效防范窃听)——这次是以打击儿童色情内容的名义。
10月4日,威廉·巴尔(William Barr)和美国国土安全部代理部长凯文·麦卡利南(Kevin McAleenan),澳大利亚内政部长彼得·达顿(Peter Dutton)和英国内政大臣普丽蒂·帕特尔(Priti Patel)联合要求Facebook首席执行官马克·扎克伯格(Mark Zuckerberg)推迟在所有Facebook消息服务中使用端到端加密技术,“直到其能找到一种方法,使政府能够出于调查目的获得私人信息的访问权限”。
数月前,威廉·巴尔(William Barr)在纽约福特汉姆大学举行的国际网络安全会议上发表主题演讲时称:“加密技术正在削弱执法部门获取侦查和调查犯罪所
必需的证据的能力”,使得“犯罪分子逃脱惩戒,犯罪活动被很好地隐藏在加密技术的外衣下。”此次的公开信很好地呼应了美国、英国、澳大利亚、加拿大和新西兰今年7月发布的《五国联盟2019年部长级会议联合公报》,该公报称:“……当务之急是,包括互联网服务提供商、设备制造商在内的所有数字产业公司,在开发系统和服务时,都须考虑对儿童安全产生的影响,包括考虑虐童行为产生的风险。尤其是绝不允许他人利用加密技术隐瞒或助长虐童行为的滋生。”
Facebook向来在社交媒体上发挥着重要的监察作用。例如,2018年,Facebook就向国家失踪与受虐儿童中心(NCMEC)提交了犯罪分子虐童和试图虐童的相关图像报告。
毋庸置疑,儿童色情问题近年来频繁发生。近期,《纽约时报》的一份报告显示,在过去的二十年中,对儿童进行性虐待的图像证据的数量呈指数增长,调查人员去年检举了4500万多份虐童罪行的图像和视频证据。Facebook的报告的案件数量占了2018年NCMEC受理的1,840万例案件的90%。而这1,840万例案件数是2017年的两倍和2014年的19倍。
巴尔(Barr)等人在公开信中指出:NCMCE预计,如果端到端加密技术保护了用户的所有消息,且Facebook无法通过其安全系统筛选内容,“Facebook报告的儿童性剥削和恐怖主义相关案件的十分之七(全球1200万例)将会丢失”。巴尔等人声称:“这将大大增加儿童遭受性剥削或其他严重伤害的风险。”
公开信还将“阻止使用端到端加密技术”的呼吁对象,从Facebook延伸到了整个科技行业,并指出:
“因此,我们呼吁Facebook和其他公司采取以下措施:
-将公众的安全机制纳入系统设计中,在不降低安全性的情况下继续有效地对违法内容采取行动,方便起诉罪犯和保护受害者;
-使执法部门能够以可读和可用的格式合法获取数据;
-与政府磋商,以切实有效的方式真正促进公司的设计决策;
-且在确保用于维护用户安全的系统经过充分测试并且可以运行之前,不使用端到端加密技术。”
该计划主要存在以下几个问题:
首先,给政府部门设置后门权限(backdoored encryption)会使加密系统不堪一击,可能很快就会被破解。其次,加密技术形式多样并且渐趋成熟,阻止几家大的服务提供商推行加密技术,是难以阻止犯罪分子对他们的消息进行加密的。而如果安全加密是犯罪行为,那么只有犯罪分子才会使用安全加密——人们只需下载个工具或者做些简单的数学运算,很容易就被识别成了犯罪分子。
关于“犯罪分子很蠢”的讨论
“阻止使用端到端加密技术”背后的论证逻辑,很大程度上是,犯罪分子天生就是愚蠢的,在默认情况下对信息进行加密,会在犯罪分子犯傻和不使用加密技术的情况下保护他们。这一论据在Apple曾经将加密技术引入iMessage时就被使用过,此后多次被用于此类论述。
多年来,Facebook已将端到端加密服务作为用户在使用Messenger对话时的一个选项,在WhatsApp也有同样的服务选项。
但由于用户需要额外(且并不直观)的步骤才能为Messenger启用加密选项,因此多数人都不会使用它。显然,犯罪分子在发送信息时,也会想当然地认为自己并没有受到监视,这就如同邓宁-克鲁格效应(Dunning-Kreuger effect)一样(译注:邓宁-克鲁格效应指的是能力欠缺的人在自己欠考虑的决定的基础上得出错误结论,但是无法正确认识到自身的不足,辨别错误行为,是一种认知偏差现象。)
问题在于,不是所有犯罪分子都那么白痴。尽管Facebook近年来在报道儿童色情案件方面做出了巨大贡献,但如果犯罪分子意识到自己显然在监视范围内,白痴都会换用别的消息服务。
举个例子,8chan网站(某论坛网站,论坛中的内容全部为用户发帖,用户无需注册,可直接匿名发帖或者留言)关闭后,其用户转向使用Telegram(一款跨平台的即时通讯软件)或WhatsApp和Signal等工具以获得端到端语音和消息传递加密服务。此外,还有许多“黑网”(Dark Web)和“深网”(Deep Web,又称:不可见网、隐藏网)在运作,其中就活跃着虐童犯罪分子。
我在与某些研究人员和执法人员的对话中了解到,论坛上到处都是与这类犯罪分子有关的情报网络。当然,这些情报网并不是都非常好用,而且有的犯罪分子会被抓——但不是因为他们没有使用端到端加密技术,而是因为他们选错了交流对象。
法律改变不了什么
四年前,当焦点集中在抓捕恐怖分子而不是虐童的犯罪分子时,当时的联邦调查局局长詹姆斯·科米(James Comey)强烈谴责了政府间谍行动的“不作为”,并坚持认为数学家和计算机科学家们并没有尽全力为执法部门和情报组织建立牢不可破的加密技术。
但我当时就指出,如果看看美国政府在二十世纪九十年代尝试将后门加密技术应用于电话通信时发生了什么,就能了解为什么政府授权的后门技术是有风险的。正如惠特菲尔德·迪菲(Whitfield Diffie,世界著名的密码技术与安全技术专家)在1993年警告不要实施密钥托管和“加密芯片(Clipper Chip)”时所说的那样:
“-后门技术将使消息服务提供商与其他政府和国际客户处于尴尬境地,从而削弱其价值;
-那些出于不法原因想向政府隐瞒其对话的人可以轻松绕过后门;
-唯一易于监视的人是那些一开始就不关心是否受到政府监管的人;
-无法保证其他人不会出于自身目的利用后门技术”
并且,一组首席计算机科学和密码学研究员(包括一些在1997年实际上打破了Clipper Chip的密钥托管方案的人)在2015年发表了一篇论文,再次警告政府不要使用加密后门技术。他们指出,后门可能会被除了持有证件的合法搜索者以外的其他人利用,成为系统的漏洞:
“当今互联网环境非常复杂,数百万个应用程序、全球范围内连接的服务意味着新的执法要求可能会带来无法预料、难以发现的安全漏洞。除了这些安全漏洞和其他的一些技术缺陷外,在全球部署特殊的访问系统(后门)面临着一些难题,即如何管理后门以及如何确保人权得到尊重、法治得以施行。”
但是,加密技术遇到的数学和科学难题并未阻止政府尝试更改规则的脚步。尽管巴尔缺少强迫Facebook或其他公司遵守其要求的法律支持,但五眼联盟(Five Eyes,在英美协定下组成的国际情报分享团体,成员包括澳洲、加拿大、新西兰、英国和美国五国)的其他成员仍在以法律手段抵制加密技术。
去年12月,澳大利亚通过了一项法律,规定加密通信服务需为政府部门留出后门,并规定服务和应用程序提供商必须根据政府需求向其提供用户的信息。尽管四年前在英国进行的类似的立法努力宣告失败,但英国已授权使用Web拦截技术来打击儿童色情和其他犯罪问题——据此英国可以将该技术的应用范围扩大到提供加密通信服务的公司。
其他工具已如囊中之物
考虑到执法机构和情报组织已经拥有许多用来监视非法活动和目标嫌疑人的方法,在此争论端到端加密技术似乎没什么意义。利用DNS流量窃听、政府执行令和其他法律手段获取账号(比如获取仍处于活动状态的PRISM程序的帐号),拦截Tor隐藏服务(比如上个月德国警方关闭了CyberBunker 2.0——一个安装在前北约掩体中的数据处理中心,该掩体托管着从事毒品和其他非法活动的暗网网络)以及对所有端点进行黑客攻击,都可以让官员在不破坏互联网的其余部分的情况下获得用户信息。
同虐童、恐怖主义或其他任何恶行作斗争固然重要,但禁止公民之间、企业和客户之间、记者和消息来源人之间、检举人和律师之间、以及可能需要私下交流的其他合法实体之间使用加密通信技术,风险代太高,不足以成为政府向通信服务商索取后门访问权限的理由。
在过去的50年中,每届美国总统政府的行为都以某种方式很好地解释了我们为什么要担心政府监督权被滥用。而爱德华·斯诺登(Edward Snowden)事件(2013年6月,爱德华·斯诺登将美国国家安全局某监听项目的秘密文档披露给了媒体)更让我们了解了政府监督权是如何被滥用的。这就是Internet服务商如此果断地使用端到端加密技术并将其自身从监视设备中剔除的部分原因。
閱讀更多 久謙諮詢 的文章
