专栏首页FreeBuf科技之殇:端到端加密究竟保护了谁?

科技之殇:端到端加密究竟保护了谁?

手持武器,保护自己。但需要怎样保证得到武器的不是恐怖分子呢?

《钢铁侠》中恐怖分子在使用 Stark Industry 制造的武器

也许是从棱镜门事件开始,隐私和安全的边界不断遭受拷问,而被信息时代的大网黏住的人们却无法全身而退。加密通讯日渐流行,用加密技术武装自己的同时,恐怖分子也越来越容易逃避监控,政府部门皱起眉头要求安装后门,但哪怕是服务提供商自己似乎也无法解密恐怖分子们通过他们的端到端加密服务传递的信息,这就是科技之殇吗?

在普通用户的视角里,安全则是保障自由的权利,让隐私不受侵犯,记录不受监控,不被政府或不法分子获取属于个人的信息。虽然某种程度上来说,部分获得自由所使用的手段本身可能就是复杂的、不方便、甚至限制了自由的,但为了达到目标还是必须作出相应的牺牲;但站在政府角度而言的安全,是监控和管理整个社会不会受到外部或者内部的威胁。从政府和个人不同立场来看,在安全与隐私之争的问题上,一直以来便存在着分歧。

而这种分歧随着近年来技术的发展和全球局势的复杂变化而愈加突出:去年的柏林圣诞市场卡车冲撞事件仅2017年至今已发生超30起规模性恐怖袭击事件,如加拿大魁北克清真寺枪击案、法国巴黎砍刀攻击事件、英国西敏国会大厦袭击、俄罗斯圣彼得堡地铁爆炸案、英国曼切斯特竞技场爆炸等等。美国、英国、法国、德国等诸多国家都在恐怖袭击愈发频繁的当下愈加强烈地“要求”在加密通讯中添加后门或其他工具对恐怖分子进行监控。

恐怖袭击事件层出不穷

目前提供端到端加密的通讯应用

近年来用户在使用通讯软件时,对注重隐私保护和纯净体验的需求不断增高,加密通讯市场也变得逐渐热闹起来。从苹果系统上的 iMessage,广为人知的WhatsApp、再到俄罗斯的 Telegram、或斯诺登代言的 Signal、来自瑞士公司的Wire、还有Line、FB Messenger等等,还有各种更小众需求的加密通讯应用少有人知但依然每天都在被使用着。

而在主流的加密通讯应用中,分别有两种模式,其一为默认端到端加密,另一种则是选择性端到端加密。至目前为止 Telegram 和FB Messanger 已经只提供选择性端到端加密模式,其他的 iMessage、WhatsApp、Signal、Wire、Line均是默认端到端加密,保障每一条通讯信息的安全性。

政府的焦虑与要求

英国:企业与政府的合作可以维持平衡

英国内政部长 Amber Rudd 在近期的一次会议发言中表示,

“真实的人”不需要使用端到端加密。比起牢不可破、完美的安全,更多的普通人还是喜欢易用性和功能完善的消息应用进行即时通讯。

在发言中她所使用的原句“真实的人”,言下之意也包含了身份不可告人、需要保持机密性和隐蔽性的人才会对端到端加密应用有很高的需求。这样的指责,在各类科技社区中引发了很大的议论,许多安全专家、系统管理员、隐私权倡导者、以及技术型用户都感到震惊而不悦,他们纷纷在 Twitter 上发言指出,他们也是真实的人,而且并非 ISIS 的支持者。他们认为 Amber Rudd 指责坚持强加密的人不正常是一件非常危险的事情,隐含着政治家和安全部门对于继续干涉加密通讯的迫切愿望。

英国内政部长 Amber Rudd

而这样的探讨恰恰代表了当前所处在的加密僵局的状况:科技企业和安全专家说要在不打破整个系统的前提下解密部分消息是无法做到的;而政治家和国土安全局等部门却愁苦地希望着掌握所有通讯渠道中的信息,以保卫国土安全的名义。而在此前,伦敦恐怖袭击之后,英国政府就多次向通讯应用企业施压,要求解密相关通讯内容,而在不能破坏整个系统的前提下,这一点恰恰是不太可能实现的。

我们认为这是关于合作的问题,科技企业与政府可以进行沟通寻找好的解决方案。在当前的特殊环境下,我们必须一起努力获取关于恐怖分子和危险罪犯的信息,了解他们的动向。

德国:装不了后门也没办法,我们可以想新方法

2016年的圣诞,德国柏林发生过恐怖分子驾驶汽车冲撞柏林圣诞市场的袭击事件,造成12人死亡,56人受伤。之后德国加强安全保护,拦截恐怖分子通讯的行动也持续加强。

柏林圣诞市场冲撞事件

今年七月,德国警方发现一种新方法来破译通讯内容,而无需在端到端加密中安装后门。他们使用新的远程通讯拦截软件进行犯罪分子的通讯破译。当地媒体称德国政府正在起草法律条文来加强强制力,可以在法律保障的前提下对嫌疑人的手机、电脑等设备进行通讯破译,而不用服务提供商如 iMessage、WhatsApp、Telegram 的参与。

我们会使用第三方厂商提供的工具,在法律的支持下入侵嫌疑人的设备获取通讯内容

科技企业的原则与困惑

硅谷的科技企业似乎从未向政府情报及执法部门低过头。而数据加密作为现代信息社会的基石也似乎无法从系统层面被改变。但当恐怖袭击事件真正发生在现实中还是会给科技企业带来一些撼动。

Telegram:清除公开广播频道内恐怖活动内容,但会坚守用户隐私和言论自由的原则

2016年的夏天,德法两国遭遇了一系列的恐怖袭击,在法国诺曼第一教堂中发生的袭击事件的攻击者就是通过 Telegram 进行的联系。 当时的法国内长 Cazeneuve 点名指出 Telegram 需要负起责任。而 Telegram总裁Pavel Durov 则为其应用程序的端到端加密技术辩护,并称指出公司已经在2015年开始逐渐关闭了宣传恐怖主义资讯或儿童色情物品的通讯频道。2017年因印尼清真寺袭击警员事件发生,印尼政府认为极端分子利用Telegram 隐匿身份并进行激进思想传播影响公共治安,一度威胁要封杀 Telegram 。Telegram立即表示自己不支持恐怖分子的立场。

Telegram 的隐私保护政策

确实,Telegram因其注重保护用户隐私的安全特性吸引了恐怖分子及 ISIS 相关组织人员的聚集,而该公司在近年来逐渐转变态度,自 2015 年逐步关闭了 78 个 ISIS 相关频道,2017年也在持续清楚恐怖活动相关的公开广播内容及频道。但对于私人之间的通讯内容,该公司还是会坚守用户隐私,不会进行干涉。

我们会继续坚持保护用户隐私和言论自由的两大原则。

Facebook COO:即便解密也无法阻止恐怖分子,而我们在努力思考解决方案

就在刚刚过去的7月底,Facebook 的首席运营官 Sheryl Sandberg 重申了社交网络及通讯服务提供商的立场,

削弱消息通讯应用程序的加密性并不会带给政府他们所需要的东西。

Facebook 的首席运营官 Sheryl Sandberg 重申立场

政府和执法机构目前正在公开渠道表达他们因为加密而无法破解通讯信息的沮丧感。而这种对加密的恐惧感,就像的1990年”密码战争“的翻版。在接受BBC记者采访时,Sandberg 表示即便打破现有的加密体系,也无济于事,政府并不能得到比现在更多的信息内容,因为FaceBook(旗下的 WhatsApp 常被相关部门批评)之类的企业至少现在还能够提供恐怖分子的元数据信息。

信息本身是加密的,但相关的元信息没有。如果这些犯罪分子从目前的加密平台转移到其他平台,政府可能会得到更少的相关信息,而不是更多。

Facebook 计划增加更多的人员和精力帮助鉴别涉及恐怖分子及极端思想的相关内容。于此同时,她也透露了正在与其他科技巨头 (Facebook, Google, Twitter and others)建立合作共同清理平台上的非法内容。

如果恐怖分子将视频上传到我们的平台上,我们对其数字指纹进行记录并告知其他平台,这样其他平台上就无法传播。除了自动化的技术解决方案之外,通过人力对内容进行甄别和筛选也会是必须的。

小结

技术的双刃剑效应既能帮助人类社会的发展和建设,也会被利用在人性黑暗和破坏的一面上。我们并不能简单地判断说提供端到端加密技术的企业帮助了犯罪分子在社会投下他们的阴影,但我们需要意识到 在这个纷争的时代,在这个存在阴影、存在罪恶的世界,科学和技术的力量如何让我们继续相信光明和正义的存在

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-08-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 谷歌发布分析报告,详解此前GitHub遭遇大流量DDoS攻击全过程

    上月底,代码托管网站GitHub遭遇大流量DDoS攻击。攻击者劫持百度广告联盟的JS脚本并将其替换成恶意代码,最后利用访问中国网站的海外用户对GitHub发动大...

    FB客服
  • 耳朵解锁手机:雅虎带来最新生物识别技术BodyPrint

    从今以后,你不再需要输入锁屏密码或者用指纹解锁。需要解锁时,你只需将手机放在你的耳边——这是来自雅虎研究实验室的idea,它不需要现在市面上主流的指纹生物解锁器...

    FB客服
  • 从5月11号网易被攻击谈起:新型DDoS攻击LFA

    5月11日晚上9时许,网易的大量用户发现访问网易新闻出现问题,相应的,有很多游戏用户报告说游戏掉线严重。一时间,有关“网易大楼着火”的谣传甚嚣。晚上9点42分的...

    FB客服
  • 流行iOS网络通信库AFNetworking曝SSL漏洞,影响银联、中国银行、交通银行在内的2.5万个iOS应用

    微信:freebuf 一个存在于流行开源iOS网络通信库AFNetworking中的严重漏洞使得苹果应用商店中的25000个iOS应用中的HTTPS流量暴露在中...

    FB客服
  • RSA会议:2015六大新型攻击趋势

    SANS专家在RSA会议上向大家展示了未来攻击方式的趋势。 该项研究由SANS主管John Pescatore主导,Counter Hack Challenge...

    FB客服
  • PayPal曝远程代码执行漏洞(含视频)

    日前知名在线支付公司PayPal被曝存在严重的远程代码执行漏洞,攻击者可以利用该漏洞在PayPal的web应用服务器上执行恶意命令,最终获得服务器控制权限。 漏...

    FB客服
  • 七个黑你的理由

    常识告诉我们,用户是IT风险管理中最薄弱的一环,特别针对是一些“天真勇敢”的用户……但是黑客究竟是如何利用这种天真(缺乏保护意识)进入用户终端和公司账户的呢?他...

    FB客服
  • JAVA开发的几个注意点

    在Java工程师平常的开发过程中,由于业务的不同,可能关注的点有很多不一样的地方,但是在基础层面还是有一些共性的。今天天软小编为大家带来一片文章,此文概括了在J...

    企鹅号小编
  • 解药来了:思科发布针对勒索软件TeslaCrypt的解密工具

    这是一个真实的案例:就在上个月,小编的朋友,一位银行高管不慎点开了一封邮件的附件,真真切切的遭遇了原本以为只有在FreeBuf上看到的“新鲜玩意”——勒索软件。...

    FB客服
  • 揭秘:名震天下的震网病毒(Stuxnet)是如何被发现的?

    研究人员最新透露,原本应长期潜伏在计算机控制系统中的震网(Stuxnet)病毒,最终“暴露身份”居然是因为一个低级失误——一个编程错误使其能够扩散到 “古老的”...

    FB客服

扫码关注云+社区

领取腾讯云代金券