加密通訊可以防止隱私竊取,為何我們都不用它?
前言:
分享這篇文章的原因是這幾天在上課的時候,密碼學老師講解的密碼學把我吸引住了,說到什么加密解密,講課邏輯性挺高的,我喜歡—>_<。 其實說到真正分享這篇文章是因為一是很既然有很多加密方式,為什么我們不用?二是自己在運營的網站經常會招來黑手,腳本小子,小黑(我什么都不是)經常攻擊我的站,wp的站,經常被暴力破解,雖然在SAE每月有1.5W云豆,同時也害怕有人在DNS污染什么之類的,截獲了明文。那不是一年的的勞動連本都沒收回來。然后我也在后臺使用了https。所以一直很疑問加密通訊可以防止隱私竊取,為何我們都不用它?
正文:
計算機程序員們知道如何創建加密系統,防止包括美國政府在內的任何人破解。那么為何美國國安局仍然可以讀取你的私人電郵內容?
美國最高機密項目棱鏡泄密。我們發現大多數人每天都需要訪問的那些網站會跟美國政府分享用戶私人數據。參與了美國國安局的棱鏡項目的公司包括谷歌、Facebook、蘋果、微軟等。
事情原本不該是這樣。在上世紀九十年代,賽博朋克運動就已經預言,在未來,用戶友好的加密軟件將會在互聯網普及,政府將在技術上不可能監控普通人的私人通訊。
政府也相信這一點。1995 年,一位美國情報部門官員告訴美國 News & World Report,“人人都加密信息的能力正在迅速提高,將要超越我們破譯密碼的能力。”美國政府將加密軟件分到軍需品類別禁止出口。并且有政府人員提議,所有加密軟件都應該給政府留下后門。
當年賽博朋克打贏了這場戰役。克林頓政府最終承認無法在互聯網上控制加密軟件的擴散。然而,十多年之后的現在再看,賽博朋克卻在整場戰爭中一敗涂地。能夠防止美國國安局監控的加密軟件到處都是,但幾乎沒有人使用。我們使用 Gmail、Skype、Facebook、AOL Instant Messenger 等國安局可以輕易獲取數據的軟件服務。
這并非巧合。如果這些全球最受歡迎的互聯網產品對其數據加密,將會降低其產品的可用性、盈利水平及趣味性。
密歇根大學的計算機科學教授,J.Alex Halderman 表示,“安全性與自由性互相沖突。你必須在方便易用和安全性之間二選一。”
絕大多數人的優先選擇:方便易用
選擇“方便易用”的消費者占據絕對優勢。比起加密通訊軟件,主流通訊軟件對用戶更加友好,擁有很多加密軟件難以支持的功能。
隨著時間的推移,大多數類型的軟件都會變得用戶友好度更高。然而,用戶友好這個屬性與加密軟件的天然屬性似乎在本質上便存在沖突。即使已經二十年過去,現今的加密軟件也并不比二十年前的加密軟件更加用戶友好。
一般來說,IT 公司會將其軟件服務的復雜的、技術的部分留給自己,將簡單的、方便的部分留給用戶。谷歌、微軟、蘋果等公司出品的 PC 軟件或移動應用之所以擁有簡單、漂亮的用戶界面,是因為廣泛的基礎設施建設和復雜的架構開發隱藏在用戶交互背后。然而對用戶來說,依賴第三方公司來保證私人數據最基本的安全性——意味著允許這些第三方公司在你毫無所覺的情況下訪問、分享你的私人數據。
現今大多數在線服務提供加密功能。比如 Gmail 和 Hotmail 支持 SSL 加密標準。如果你訪問一個網站,地址欄右側顯示一個鎖子圖標,這說明該網站做了 SSL 加密。不過 SSL 加密是用來從普通黑客處保護數據的,并不能從政府手中保護數據。#p#
因為 SSL 加密標準僅僅保護你的設備和互聯網公司服務器之間的數據傳輸。因為這些互聯網公司擁有你這些加密數據的非加密版本數據,它們可以無障礙訪問你的所謂加密數據。因此,如果政府想要得到你的數據,它只需要向這些互聯網公司施加壓力便可以獲取。
如果用戶愿意使用端對端加密通訊,那么上文所述問題便可以得到解決。信息發送者在本地將信息加密,信息接收者在收到加密信息后本地解密。谷歌、微軟等信息傳輸媒介僅僅能夠訪問加密信息,這樣它們便無法為政府提供你的信息拷貝。
這樣的軟件是存在的。其中最古老的是電子郵件加密軟件 PGP,它誕生于 1991 年。另外還有 OTR,它可以加密即時通信;Silent Circle 和 Redphone 可以提供加密互聯網電話服務。
對于端到端加密通訊軟件來說,添加更多功能非常困難。Halderman 教授以 Gmail 為例解釋這個問題,“如果你想要防止政府獲取你的私人數據,你必須阻止谷歌服務器拷貝你的信息內容。”這樣一來,垃圾郵件過濾便不太可能實現了。當然,谷歌沒有提供端到端加密的通訊服務的更重要原因是,端到端加密之后,谷歌無法訪問用戶通訊內容,便無法投放目標明確的個性化廣告,便無法靠免費服務盈利。
Facebook 也同樣。它所提供的服務并不僅僅是將信息從一位用戶那里傳輸給其他用戶,它還會在網站上對用戶信息進行組織管理。你在 Facebook 上收到的信息流會被 Facebook 根據其智能判斷的優先級重新排列。你上傳的內容會被存儲在其服務器數據庫中,變成可搜索的內容。你上傳的照片會被 Facebook 自動重置大小,將會允許你為其加標簽等等。所有這些服務在端到端加密的前提下是無法實現或者很難實現的。Facebook 必須具有訪問用戶私人數據的權限,才能夠實現前文提及的那些服務。科學家們正在研究創建更具安全性的社交媒體網站。但目前這種技術遠未成熟。
其他不好的使用體驗
端到端加密機制降低用戶的使用體驗。一般來說,互聯網服務會允許用戶找回密碼。用戶之所以能夠找回密碼,是因為蘋果、微軟等在線服務提供商能夠訪問用戶不加密的私人信息。
而端到端加密通訊服務,如果用戶忘記或丟失密碼,用戶將徹底丟失其賬戶中保存的私人數據。
而且,端到端加密通訊也存在被第三方竊取信息的危險。關鍵在于除了信息發送方和接收方,沒有第三方知道你的信息加密及解密算法。這就要求用戶自己親自加密、解密信息,并能夠雙方驗證加密方式,不能依賴第三方軟件或應用。這樣的過程給通訊造成很大困難。
用戶對于軟件的要求一般是上手能用就好,并不希望在技術細節上耗費大量精力和時間。在這種情況下,用戶常常為了其他的好處放低對安全性的要求。比如,用戶理應為了保護郵件,端到端加密。事實上,用戶允許第三方幫助其整理郵件,間接允許第三方竊取郵件。
1991 年便誕生了的通訊加密軟件 PGP 是如此難用,以至于即使用戶對于安全性有極強要求,也會抗拒使用 PGP。二月份,愛德華·斯諾登與《衛報》記者 Glenn Greenwald 第一次聯系時,斯諾登要求記者在雙方通訊之前在電腦上安裝 PGP 以保證通訊安全。為了讓記者安裝 PGP,斯諾登甚至向記者發送了視頻,一步一步告訴記者應該如何安裝使用 PGP。當時記者還不清楚斯諾登將要曝光的事情會產生多大的影響,對于安裝 PGP 十分不情愿。直到三月末,被電視制片人 Laura Poitras 警告提醒斯諾登泄密的重大意義之后,也就是幾乎兩個月時間之后,記者才安裝了 PGP。
隨大流
普林斯頓大學的計算機科學家 Ed Felten 認為加密服務普及的另一大障礙是這個問題:只有當你知道其他用戶也在使用加密服務之時,加密才有意義。即使你克服了極大困難安裝、使用 PGP 來進行端到端通訊,如果你的通訊對象沒有安裝使用 PGP,那么你還是只能采用普通的方式來進行通訊,否則對方便無法接收、解密你的通訊內容。即使你安裝使用加密通訊應用 Redphone,因為大多數人用的是 Skype,最終你的大多數電話也不得不選擇使用 Skype。
密歇根大學計算機科學教授 Halderman 對于加密服務的普及持悲觀態度。近年來,幾大網頁瀏覽器加強了他們的加密能力,使得具有更高安全性的在線服務成為可能。然而從更大范圍來看,用戶正在將其數據從本地硬盤轉移到云端。顯而易見的是,云端保存的數據比本地保存的數據更加脆弱,更加容易被政府獲取。
對于想要保證通訊安全的人,強加密軟件不難獲取。告密者、持不同政見者、罪犯和政府每天都在使用它們。但短期內,這些強加密軟件對于我們大多數人來說仍然太過復雜難用。大多數人并不愿意在阻止政府監控上耗費太多時間和精力。因此,對于大多數人來說,比起自行使用技術來保護自己,在線隱私保護更多依賴于法律保護。
賽博朋克曾經夢想過這樣一種未來,技術能夠保護人們不受政府監控。但如果人們不能理解端到端加密的原理和重要性,人們便不會去使用它,技術便無從保護人們的隱私。而對于偉大的谷歌和 Facebook,人們不用去理解它們的工作原理便可以輕松使用。
