压缩包加密后门
“我认为,要求制造硬件和软件的公司构建重复的密钥或后门是错误的,即使您对将要法院下达命令的观念进行套期保值。我也说了很多原因,我已经考虑了很多。”
随着加密访问辩论在美国和国外日益升温 ,上述声明已变得司空见惯。
但这不仅是另一位发表意见的专家。 相反,这是美国前国土安全大臣迈克尔·切尔托夫,前联邦上诉法院法官,美国司法部刑事司前行政长官以及近十年来检察官的有力观察。
切尔托夫在今年夏天的一次会议上发表讲话 ,明确了他认为走这种道路的风险(这很可能会阻止使用某些类型的加密)。 首先,漏洞增加了。 他说:“从根本上讲,这使普通人的安全性降低了。”
其次,在强调其他专家根据其实际经验提出的观点之后,“真正的坏人将找到允许他们无需后门即可加密所有内容的应用程序和工具。” 考虑到我们生活和工作的全球环境,认为政府能够制止这种情况是一个“梦pipe以求的事情。”可能的结果是,“合法行为者将进行不太安全的通信,而坏人仍将无法被解密。”
而且,Chertoff问,当其他国家想要相同的重复密钥或后门访问权限时,您会怎么做? 这是“对我们而言的战略问题”,因为“公司不会有原则性的理由拒绝这样做。”
几天后,切尔托夫(Chertoff)加入了国家安全局前局长迈克·麦康奈尔(Mc McConnell)和前国防部副部长威廉·林恩(William Lynn),他们之间有数十年的国家安全经验,他们在一次会议上阐明了许多相同的观点。 华盛顿邮报舆论片 。
他们回顾了过去的工作,例如Clipper Chip ,并强调了著名计算机安全专家的最新评论(“ 门垫下的钥匙:通过要求政府访问所有数据和通信来强制不安全性 ”),并得出以下结论:
“如今,几乎每个人都随身携带网络设备,无处不在的加密提供了必不可少的安全性。如果执法和情报组织面对未来,而不能确保访问加密的通信,他们将开发满足其合法使命目标的技术和方法。 ”。
我们是否错过了更大的辩论?
加密后门已成为国会最近各种听证会的头条新闻,而该主题已在媒体报道中占主导地位。
在今年夏天参议院司法委员会的联合证词中 ,副检察长萨利·奎因·耶茨(Sally Quinn Yates)和联邦调查局局长詹姆斯·B·科米(James B. Comey)巧妙地传达了一些不同,更广泛的重点:
“在这样一个世界上,用户可以完全控制对其设备和通信的访问,因此可以轻松地阻止所有合法授权的对其数据的访问……从理论上讲,其他类型证据的使用也不会有任何区别……核心问题是:一旦法律和宪法的所有要求和保障措施都得到满足,我们是否对可能导致获取犯罪证据的障碍的技术设计决定感到满意?”
他们回顾了1968年《综合犯罪控制和安全街法》(通常称为“标题III”或“窃听法”)和《 1978年外国情报监视法》(FISA)的第三章的历史,发现:
“总的来说,这些法规反映了国会在一个独立的司法机构的监督下作出的一致努力,以核实我们《宪法》所载的原则,并平衡一些有时竞争但同样合法的社会利益:隐私,公共安全,国家安全和有效司法。如今,技术的发展和运行导致了威胁这一古老方法的最新趋势,简而言之,同样的独创性以多种方式改善了我们的生活,也导致了产品和服务的泛滥,而提供商则不再协助执法部门执行手令。”
使我特别注意的是他们在作证时所花的时间,它们着重强调了两个法规所规定的“强制性技术援助”。 他们特别指出,1994年通过的《通信执法协助法》(CALEA)如何“确保执法能够可靠地从新兴的电信网络中获取证据”,二十年前,当时“电信行业正在经历重大的转变,政府也面临类似的问题。”
对于不熟悉该法规的人,CALEA要求电信运营商在其网络中开发和部署拦截解决方案,以确保政府在合法授权的情况下能够拦截电子通信,尽管它不需要运营商解密由客户,除非承运人提供了加密并拥有解密所需的信息。
具体来说,正如副总检察长叶兹(Yates)和联邦调查局局长Comey指出的那样,“ [CALEA]要求承运人能够隔离和传递特定的通信,但不包括其他通信,并能够传递有关始发和终止的信息通讯……[并]规范了被涵盖实体必须具备的能力,”并补充说“不影响政府为了获得法院命令以收集通讯或相关数据而必须达到的程序或法律标准”。
但他们指出,“尽管CALEA旨在跟上技术变革的步伐,但其重点是提供传统电话和移动电话服务的电信运营商,而不是基于Internet的通信服务。” 在过去的十年中:
“ ...通过联邦通信委员会(FCC)对法规的解释,CALEA的范围已扩大到包括基于设施的宽带Internet访问和与公众交换所完全互连的Internet协议语音(VoIP)服务电话网络... CALEA不涵盖流行的基于Internet的通信服务,例如电子邮件,Internet消息传递,社交网站或对等服务。”
他们的叙述中缺少的是CALEA的通过是有争议的,预示了十年后的“加密战争”。 它规定电信运营商有义务确保允许客户或订户“发起,终止或直接通信”的设备,设施或服务,使执法人员能够根据法院命令或其他合法授权进行电子监视, 根据FCC网站的说法 。 “ CALEA旨在通过要求电信运营商和电信设备制造商设计并修改其设备,设施和服务,以确保随着通信网络技术的发展,它们具有必要的监视能力,从而保持执法机构进行电子监视的能力。 ”。 具体实现基于运营商根据CALEA中的性能要求制定的行业标准。
耶茨和科米在证词中表示,“尽管尚未就提案进行立法的决定,但近年来仍在频频出现 。” 但他们明确指出:“由于近年来通讯技术的革命性转变,政府在针对CALEA未涵盖的通讯执行法院命令方面已经失去了基础...我们必须努力...拟定一种方法,解决了众多辩论中一直关注的所有多个相互竞争的合法问题。”
重新开放CALEA:维护安全性的挑战
关于更新CALEA的辩论的范围远不止有关加密后门的讨论。 它可能会引起更广泛的Internet和网络安全问题,而不仅限于访问可能在最终用户设备上加密的电子邮件,视频和图片。
回想起来,CALEA是对当时的窃听法规的更新,正如Yates和Comey指出的那样,发生在“基于Internet的通信处于发展的初期阶段”。 分布式网络世界的概念仍处于起步阶段。
因此, 安全专家已经研究了重新开放CALEA的含义, 确定了可能仅涉及复杂性的特定风险 :
“安全是通信系统的基本要求。商业,政府和人际关系都依赖于安全的通信。但是,我们知道,当今的通信系统受到攻击,特别是端点系统。政府信息和通信系统,包括执法和国家安全系统以及公司系统(包括通信服务提供商的系统)已经成为攻击目标,在这种情况下,我们引起了我们的关注:通俗地说,对通信工具进行窃听设计授权是更多的剥削。” [省略了脚注]
有趣的是(也许不是巧合的),在联合证词发布后的短短数周内,消费者保护部门介入了。联邦贸易委员会(FTC)专员Terrell McSweeny 在《赫芬顿邮报 》 上写道:“如果消费者不能信任其设备的安全性,我们可以终止在这种环境下,决策者应仔细权衡可能削弱消费者隐私和安全保护的任何提议的潜在影响。” 专员麦克斯威尼继续指出,“许多人可以而且应该做更多的工作来防止违规”,引用了今年早些时候发布的FTC报告,该报告指出了物联网(IoT)产品的不同安全实践。
同时,FTC首席技术官Ashkan Soltani在博客中报道了自己最近在笔记本电脑被盗方面的经历。 幸运的是,对他来说,他使用了固件密码和强大的磁盘加密功能,从而防止了小偷访问笔记本电脑。 (显然,小偷试图在Apple Genius Bar寻求帮助,这帮助Soltani取回了他的计算机。)
我们才刚刚进入辩论的最新篇章,这将包括对执法机构在多大程度上面临真正的黑暗威胁的深入探讨。 Peter Swire教授主持了10年前重新开放窃听法规的审查, 并在7月的同一场听证会上作证 。 “执法可能会遇到与Comey主任所说的担忧相符的一小部分情况:锁定设备或端到端加密-“参与者只能访问对话”。 然而,从事实的角度来看,我们应该对这种“泛滥成灾”的普遍性保持高度警惕。
本届国会极不可能就此进行立法,但是辩论正在成熟。 并且随着它的继续,问题变得复杂,不仅涉及我们的个人隐私,而且也关系到我们日益依赖的基本网络和系统的安全性。
翻译自: https://opensource.com/government/15/9/encryption-back-doors-debate
压缩包加密后门
2358
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
