端到端加密聊天,最終成為安全逆鱗
在這個月初,澳大利亞政府通過了“獲取援助法案”。這一消息在國內雖然關注的人不多,但在澳大利亞當地以及歐美國家都卻引起了轟動,甚至很多人認為這一法案是澳大利亞互聯網產業發展的倒退。
獲取援助法案主要說了些什么呢?
簡單描述一下就是,澳大利亞政府有權要求科技企業幫助他們破解用戶終端和云服務,獲取一切聊天記錄、圖片、視頻等等數據。根據法案的禁言政策,這一切都將在秘密狀態中進行,如果企業拒絕合作,將會被處以 1000 萬澳元的罰款。
而且澳大利亞即將與加拿大、美國、英國和新西蘭一起成立五眼聯盟,也就是說未來可能出現這種情況:加、美、英、新任何一國想以不合理的方式獲取公民信息,都可以通過澳大利亞向科技企業施壓。
造成如今這種情況的,絕非一日之寒。此前我們就在關于“數字取證”的分析中提到過,由于智能硬件和我們生活之間的聯系越來越緊密,很多時候犯罪分子之間的通信記錄或者其他破案關鍵信息和證據都在智能硬件或云端。由于科技公司大多都有不合作政策,政府常常為此頭痛,因此才有了此前美國一件槍擊案中,FBI 向蘋果施壓要求破解犯罪分子手機,最終找了黑客解決。
尤其是當端到端加密技術出現,問題就愈發嚴重了。
端到端加密:讓你的信息比你想象中更安全
在澳大利亞剛剛宣布通過這一法案時,一家名為 Signal 的企業立刻表明了強烈反對,CEO Fund 聲明,為了保護用戶隱私,他們絕對不會為政府開后門。CEO 還表示,他知道這種行為可能會讓 Signal 在澳大利亞境內被封殺,讓用戶做好使用科學上網方式使用的準備。
而 Signal 這款軟件,就是一款端到端加密聊天軟件。
以文字消息為例,端到端加密聊天軟件大多都基于加密通訊協議 signal protocol。這一通信協議中利用了迪菲-赫爾曼密鑰交換協議,對話的雙方發送信息時,彼此擁有自己的密鑰和對方的公鑰,兩者結合才能揭秘消息。這樣黑客即使通過網絡攔截某一方的公鑰,沒有秘鑰也不能破解。而且在儲存用戶公鑰的服務器中,還設置了三種和用戶身份秘鑰對應的公鑰。
也就是說,在發送一條消息時,要聊天的彼此利用終端和服務器中的五組數據相互對應驗證才能破解。就好比A給B發信息時,B要用口袋里的五把鑰匙分別打開服務器和自己口袋里的若干把鎖,才能獲知信息。
同時這一協議還采取了棘輪算法源源不斷地產生消息秘鑰,讓聊天雙方的每一條消息都有一套獨立的秘鑰,這樣即使被黑客強行破解了,也只能看到一條消息內容。
除了立場鮮明的 Signal,我們熟知的 facebook messenger、iMassage、WhatsApp 和 Skype 等等通信軟件都利用這種算法提供端到端聊天模式——看來我們的通信遠比想象中安全。
當加密聊天成為逆鱗
端到端聊天加密一開始只是以開源的模式,在小眾開發者的圈子里小范圍流傳。但自從棱鏡門時間爆發后,人們開始對自己的通信安全充滿了不信任,這些知名的 App 才開始引入相關技術。
在端對端加密聊天剛剛被大眾熟知時,這一技術通常被應用在一些“小眾”產品里。例如一些主打已婚出軌或小眾性癖的社交平臺,他們告訴用戶這種方式可以幫助他們保存秘密。同時當很多人懷疑通信軟件會抓取聊天數據提供給廣告商時,這種加密模式變得格外受歡迎。
但很快,隨著端到端聊天加密越來越多的進入主流產品中,這種無法追責的通信模式就開始造成難以預計的后果。
最先觸碰到人們神經的,是兒童的安全。
很多歐美家庭都會選擇讓兒童和家人共用一個云端 ID,借此在不接觸終端的前提下對兒童使用平板電腦、手機等產品進行一些監管。但端對端加密讓信息停留在單一終端上,無法在云端用家長模式進行監管。而且此前在印尼發生的媽媽臥底 WhatsApp 戀童癖群組事件,同樣也是因為戀童癖們使用端到端加密模式,最終讓整個事件不了了之。
同時,開始有越來越多的極端組織借助這種技術的加密特性來傳播極端的思想。
在一款名為 Telegram 的端對端加密聊天軟件中,一直有極端分子在公共廣播中宣傳恐怖主義思想。在 2015 年,Telegram 對于這些公共頻道進行了封禁。可在 2017 年印尼清真寺襲擊警員事件發生后,經調查發現涉世恐怖組織仍然在利用 Telegram 的群組功能宣傳恐怖思想,但由于端對端加密的匿名性,他們無法通過調查挖掘更多的相關信息。
而最可怕的是,那些恐怖分子真的在利用這種端對端加密聊天來聯絡行事。
2016 年德國和法國遭受了一系列恐怖襲擊,在法國諾曼第一教堂中發生的襲擊事件的攻擊者就是通過端到端加密聊天進行的聯系,時任法國內長就表示,這類軟件要對恐怖襲擊事件負主要責任,如果這些產品能夠給政府“留后門”,或許可以阻止這類事件的發生。
可話又說回來了,對于普通民眾來說,他們沒有犯罪的心思,卻要被隨時可能會被政府獲取私人通信記錄這種不安全感所圍繞,確實讓人難以忍受。可在當權者看來,這是一道選擇題:要隱私就沒有安全。
從 Clipper 到后門,老大哥只有了一點小進步
那么獲取援助法案真的能夠順利實施嗎?或許我們可以參照 Clipper 芯片的案例。
政府對互聯網信息破解的渴求,其實從上個世界 90 年代就開始了。上個世紀現代密碼學得以發展,公開密鑰密碼體系得以橫空出世。這種原本應用于間諜體系的技術最終成為了互聯網的基石,也讓政府開始感到緊張。
于是美國國家安全局和 FBI 聯手設計了一套名為 Clipper 的芯片,安裝在電腦中,就可以給這兩個部門提供一套后門秘鑰,方便他們獲取信息(現在我們知道彭博社關于中國間諜芯片的“靈感”來自哪里了)。在 FBI 原本的設想中,美國生產出售的每一款電腦都要搭載這款芯片。
答案顯而易見,根本沒有一家廠商搭理這種無理要求,Clipper 計劃最終也不了了之。到如今澳洲政府通過獲取援助法案,老大哥只能說有了一點小進步。
同樣,針對端對端加密聊天也存在很多無解的問題。
1、端到端加密算法有其特殊性,即使是研發者也做不到“破解”并且獲取數據,頂多停止這種加密方式。
2、目前大多數產品的市場都涉及全球,為某一國家安全機構打開后門,必然是為其他國家所反感的,很可能使其在一些國家市場中遭受限制。
3、在 Facebook 信息泄露事件發生不久的如今,人們對信息安全正在處于高度敏感之中,科技企業也都在忙著洗清嫌疑。這時強制執行“開后門”,其實很容易引起大眾反感。
不過想要獲取通訊軟件中的違法信息,開后門絕不是唯一選擇。從終端進行信息脫敏和分析,或像德國政府那樣嘗試在犯罪分子通訊過程中對信息進行攔截和破解,都是可行之道。只不過從當前技術發展狀況來說,“開后門”是最偷懶也是最高效的方法。
其實,把加密通訊和犯罪行為掛上鉤本來就是一件很模糊的事。在此前幾次關于恐襲的調查中,涉事端對端加密聊天軟件都聲稱自己與這件事無關。何況加密聊天并不能導致犯罪,頂多是加大了犯罪調查的難度。沒有加密聊天他們也可以找到其他溝通方式:講方言、說黑話……
在海外很多科技媒體也表示,澳大利亞的援助法案僅僅提出了自己的要求,卻沒有明確權力的范圍——這種不設限才是企業和民眾們最擔心的。或許當有一天我們打造出了一個合適的籠子,才能讓這種權力發揮正向作用。
