Pages

Wednesday, 11 November 2015

《金融时报》:英美为何不禁止强加密技术?

正如夏洛克•福尔摩斯(Sherlock Holmes)在《银斑驹》(The Adventure of Silver Blaze)中所说,缺失的东西可能才是最重要的——在故事里,那就是在夜里没有吠叫的狗。对于努力收紧对互联网用户监控的美英政府而言,缺失的部分就是对牢不可破的加密技术的禁令。
美国总统巴拉克•奥巴马(Barack Obama)手下的官员和英国首相戴维•卡梅伦(David Cameron)都抨击过这个问题,批评苹果(Apple)和Facebook这样的公司提供安全部门表示无法破解的消息应用。然而两人都没有采取行动:都没有制定法律来禁止犯罪分子可能也能够利用的种种加密形式。
此举很明智,因为如果要追求一个本应合理的目标(即安全部门应该能够监控策划阴谋的恐怖分子的线上活动),他们有可能会造成现实的麻烦。英国不久前公布的法案没有禁止企业提供高强度加密,尽管这些企业必须“明白事理”,配合提交数据。
美英政府可能已经认识到,在加密这件事上它可能在犯张冠李戴的错误——禁止企业不等于禁止算法。即使它们禁止苹果和其他企业运用点对点加密(只有用户的手机或者电脑拥有解密消息的秘钥),这也不能防止恐怖分子或者任何其他人使用这种技术——这种算法已经存在。
在我的电脑上,我可以轻而易举地下载“良好隐私”(PGP)加密程序,将信息安全地发送给任何人,从我的编辑到揭发美国国家安全局(NSA)监控计划的爱德华•斯诺登(Edward Snowden)。在一部iPhone或者Android手机上,我可以使用加密消息应用Signal,这是一款斯诺登本人在Twitter上推荐的应用。
不久之前,每个人都不得不使用同样的邮政服务或者电话网络进行沟通,政府可以轻易地拆开信件或者窃听对话。互联网实际上使任何集团,包括一个罪恶的集团,都能够构建自己的安全网络。
如果我是安全部门的领导,这会让我感到忧虑,美国国安局、美国中央情报局(CIA)、美国联邦调查局(FBI)和英国政府通信总部(GCHQ)都跳了出来,警告大家注意不法分子“隐匿行踪”的危险。即便只是作为普通民众,也会对此感到担忧;恐怖分子袭击和各种严重犯罪,都能让普通民众成为受害者。
但普通民众和消费者也有充分理由去寻求能够奏效的加密形式,这能阻止任何心怀不满、想滋事的青少年(或真正怀有不良企图的中国或朝鲜黑客)截取消息,窃取我们的信用卡信息。互联网在隐私方面最突出的问题不是太安全,而是太不安全。
除非你抱有自由意志主义观点,认为政府在任何情况下都不应能够监视公民(我本人不抱这种观点),理想的情况是,让拥有人权保障的民主国家的安全部门能在危急情况下破解高强度加密。它们将拥有一把主密钥,能够破解大多数危险嫌疑人的消息。
障碍是,加密专家坚称,不可能在不降低黑客破解难度的情况下给官员一把秘钥。当科技公司宣称任何不符合它们利益的东西在技术上无法实现时,我都感到怀疑——微软(Microsoft)曾经发誓,无法把其浏览器从其操作系统中解绑。不过,在这件事上,安全部门的人承认,这的确是一个棘手的难题。
这还不是唯一的难题。英国和世界上除美国以外的任何国家,在应对流行的加密服务时面临着同样的困难——无法控制它们。只有美国立法才能禁止Facebook的WhatsApp和苹果的iMessage服务(谷歌(Google)强化了加密,但它掌握秘钥),而目前没有相关立法。
如果卡梅伦制定与其言辞一致的法律,他要么需要阻止苹果和Facebook在英国自由开展业务,要么需要在允许外国公司继续进行加密的同时,禁止英国公司这样做。前者会激怒使用那些服务的用户;后者则会削弱英国的科技产业。
第三个问题就是开了先例。如果英美政府坚持要求企业把秘钥交给自己,那中国、俄罗斯和很多其他国家的政府也会提出这样的要求。那不仅会损害那些国家的公民自由——异见人士再也无法逃避网络监控——还会让保护欧美公民变得更加困难。
因此,英国政府得出了一个正确的结论:试图通过法律消灭高强度加密得不偿失。事实上,这种技术很可能没有英国政府通信总部或者美国国安局公开宣称的那样“牢不可破”——这两个机构过去也曾破解过难题,据称美国国安局眼下还在开发可以能够破解这些加密的量子计算机。
或许有人能够发明一把黑客攻不破的巧妙的主密钥。毕竟,在人们发明公共秘钥加密技术(支撑目前大部分网络安全的基础技术)之前,这样一种技术也曾是难以想象的。就目前而言,作为补偿,间谍们可以直接侵入手机和电脑,而不是破解加密消息/应用。无论如何,这都是一条审慎的退路。
------------
因为英美是民主国家,它们不可能像共匪那样禁止这个,禁止那个。。。。