Facebook加入
LINE加入
2021/12/25
信息安全測評中心 桂暢旎
2017年2月,美國智庫戰略與國際研究中心(Center for Strategic and International Studies,CSIS)發布報告《加密對合法訪問通信數據的影響》(The Effect of Encryption on Lawful Access to Communications and Data)。該報告由美國網路安全專家、CSIS高級副總裁詹姆斯·劉易斯(James A. Lewis)主筆,聯合CSIS高級研究員、技術和公共政策項目主任鄭安(Denise E. Zheng)和CSIS助理研究員威廉·卡特(William A. Carter)一起,分析加密技術新發展,討論美國關於強加密技術的主要爭議,梳理主要大國的加密舉措。該報告是美國聯邦調查局(FBI)與蘋果加密之爭后關於加密問題較為全面的學術性報告。對於該報告的分析研究不僅有利於管窺當前信息安全的前沿動態,同時將對密碼政策的發展與改進有所啟發。
報告出台背景
報告認為,過時的加密政策、監控行為驅動市場變革、加解密技術的非對稱性發展是主導當前加密技術熱議的主要時代背景。
一是現有加密政策已過時。美國目前存在的加密政策多是針對互聯網產生之前的通信環境,即使在互聯網產生后,美國政府也認為適當的加密技術使用將更有利於維護國家安全,因此採取了一種自由放任的政治姿態,並未對加密技術多加限制。隨著互聯網的普及,各類網路安全問題的產生,特別是網路犯罪團體利用加密技術給國家安全帶來了嚴重威脅,美國執法機構越來越意識到對加密通訊設備數據獲取「無法可依」,這極大地增加了取證難度,影響了執法破案的效率。
二是監控行為驅動市場轉變。斯諾登事件揭露了美國政府對民眾的監控行為,同時也曝光了互聯網企業配合政府共享消費者數據的行為。這不僅增加了公眾對自己隱私泄露的擔憂,同時也嚴重損害了互聯網企業的信譽度及市場利益。在此背景下,互聯網企業為重拾消費者信任,開始大規模地開發與利用加密技術,且這些技術目前已在相關產品與服務生成階段自動植入,而無需用戶手動開啟,這就將解密權全權交給消費者。據統計,目前,全球通信流量的18%是端到端加密的,至2019年該比例將升至22%;在美國,47%的移動通訊設備已使用全磁碟加密。
三是加解密技術的非對稱發展。加密技術自誕生起就一直依託密碼學的發展和應用,而密碼學則主要圍繞兩個分支,即密碼編碼學與密碼分析學。在市場驅動下,各主要互聯網公司採取了一系列強加密技術推動著密碼編碼學的發展,如廣泛使用端對端與全磁碟加密等不可逆的加密技術,提供更嚴格的附帶驗證的加密,或者實行通信內容短暫存儲(類似於「閱后即焚」功能)。可以說,政府監控行為刺激了市場對加密技術的需求,反過來又增加了政府監控的難度。政府機構不得不發展相應的解密技術,但是由於缺乏市場推動力,相應的解密技術則「費時又費力」。因此,加密技術與解密技術運用的鴻溝越來越大,這令本來就落後於技術公司步伐的執法機構不得不退而求其次,要求科技公司為其提供「後門」或「金鑰匙」削弱強加密技術,這使加密技術的爭議更加複雜化。
報告主要內容
報告首先闡述了不可逆加密技術的運用現狀,重點圍繞不可逆加密技術對合法數據訪問的影響進行了分析,並梳理了各國的主要應對舉措。
1. 不可逆加密技術的運用現狀
一是端對端加密廣泛運用於即時通訊。世界上主要的手機通信應用如WhatsApp,Facebook Messenger以及Viber均開始採用端對端加密,且以月活躍用戶量排序的世界前20個通信運用中的三個已經把不可逆端對端加密設置為默認,這使全球超過15億用戶已是端對端加密的使用者。二是全磁碟加密已成為業界標準。全球目前使用全磁碟加密的平均水平是21%,在美國該比例為47%。蘋果是目前提供移動設備全磁碟加密最大的公司,世界上所有移動設備大約有13%都運行著IOS系統,其中超過95%的設備運行著IOS8或者更高的版本,美國本土超過44%的移動設備都運行著IOS系統。蘋果公司稱就連他們自己也無法獲取這些手機的信息。三是虛擬專用網(VPNs)異軍突起。由於虛擬專用網提供了一個安全且難監控的選擇,使用人數逐漸增多。研究發現,世界上互聯網使用者每四個之中就有一個使用虛擬專用網,大約18%的網路使用者至少每周使用一次虛擬專用網,其中6%的人每天都使用。的虛擬專網的使用率是美國的兩倍。
2. 不可逆加密技術給執法帶來的影響
一方面執法人員查獲的移動加密設備逐漸增加。在聯邦層面,FBI在2016年上半年所繳獲的3000部手機中有大於30%的是有密碼保護的,在這些手機中有13%的手機不可能獲得手機內的數據(大約有120多部)。FBI預計,使用不可逆加密技術的手機數量將會繼續增長。在地方層面,報告列舉了洛杉磯警察局近來共查獲450部無法訪問的電話,紐約政府則搜索了423部。另一方面是恐怖組織不可逆加密技術已起步。曾策劃2015年巴黎恐怖襲擊的「伊斯蘭國」(ISIS)頭目阿卜杜勒·哈米德·阿巴烏德就曾訓練其追隨者利用免費開源硬碟加密軟體True Crypt躲避執法機構追蹤。基地組織甚至自主研發出加密應用軟體Amnal-Mujahid進行內部交流。報告認為,目前加密技術對於執法的影響仍然是有限的,兒童色情、販毒等常規犯罪率與加密技術的出現並未呈現正相關關聯,同時恐怖組織加密運用還處於起步階段,主要恐襲事件的策劃主要還是通過一次性電話等傳統的通訊手段,加密技術也未起到決定性作用。執法機構主要擔憂的是未來大型科技公司會默認設置越來越多的不可逆加密技術。
3. 不可逆加密技術的全球規制
報告認為,在美國關於是否限制加密爭議不可開交之時,世界其他國家已經對加密進行了實際限制,主要存在以下幾種形式:一是立法要求維持加密的可逆性。中俄兩國實行加密許可制度,要求加密提供商在發布產品之前,需提交自身的產品進行評估,且國家安全部門有權要求公司在其系統中安裝相關軟硬體,以便政府監督。法國要求加密服務提供商與政府簽訂協定,使政府部門可隨時訪問其加密數據,否則將會面臨巨額罰款。英國則規定擁有加密數據和解密密鑰的機構和個人有義務協助完成法律上規定的解密需求。印度和巴西則正在嘗試執行更為嚴格的解密管理條例。二是實施關鍵信息披露規定。即如果個人持有加密數據的密鑰,政府可強制其協助解密數據。在澳大利亞,強制解密命令主要針對設備或數據所有者,荷蘭則主要針對服務提供商。三是直接與服務提供商協商。加拿大與國內服務提供商建立了密切關係,這些服務提供商能夠直接向加拿大皇家騎警提供解密密鑰。以色列政府則與服務提供商訂立分類協議來調取數據。報告認為,由於互聯網的全球特性,加密政策的有效性在於其全球認可及實施,因此制定一個加密國際協定非常必要,而美國必須在其中發揮關鍵作用。
報告結論
報告以現狀與影響為基礎,結合專家團隊評估,為美國政府提出以下三點建議:
1. 使用加密技術符合國家安全利益
報告認為,加密技術是互聯網發展的產物,使用和推行加密技術符合國家安全利益,強大的加密對於國家防禦、重要資產保護至關重要,這在美國法律界和情報界已成為共識。目前爭議的關鍵主要集中於加密技術的惡意使用,特別是是否對端對端加密、全磁碟加密等不可逆加密進行法律規制。在美國,加密權越來越由少數公司所掌握,這給執法機構數據獲取增加了障礙。
2. 不可逆加密技術帶來的危害仍可控
報告通過技術分析,認為強加密技術目前對公眾安全帶來的威脅仍處於可控狀態,特別是對執法機構的影響被嚴重誇大,因此暫時並無必要對不可逆加密技術進行法律限制。執法機構可採取政治障礙較少的替代方案,如開展國際合作、使用大數據分析等,提高執法機構訪問能力,建立區域解密實驗室等。
3. 未來加密數據獲取需要相應法律規制
報告表示,市場對加密產品的偏好將會持續增長,因此不可逆加密的技術運用將會越來越廣泛,再加上物聯網的發展,相應的數字證據獲取需求也會越來越頻繁。在平衡個人隱私、網路安全和公共安全的關係下,美國政府需要從長計議,結合多方利益關切,制定出加密數據獲取的規則與政策。
啟示
美國國內關於加密的爭議實質是在「自由」與「安全」上做出價值選擇,正如報告主筆詹姆斯·劉易斯所言,「代碼代表言論自由」的時代已經過去。美國政府越來越傾向於在公民權利與社會利益之間採取一種平衡策略,即不斷完善對加密技術的立法規制,掌握全球加密技術的話語權,維護美國信息優勢和霸權。對此,應提前謀划,妥善應對。
1. 加密運用大勢所趨,應加強重視積極作為
加密技術是信息安全的核心技術,也是體現網路主權的重要手段。在互聯網全球化的背景下,各國均已採取相關政策對加密進行管制,對此,我們必須加強重視加密技術的運用問題,將主動權牢牢控制在自己的手中。
2. 密碼政策與時俱進,滿足社會與管理需求
長期實施的「黨管密碼」政策已取得突出成效,但是一些新情況新問題必須引起我們的重視,特別是互聯網帶來的衝擊以及新技術的運用,要求我們必須平衡好安全與發展的關係,民權與公權的關係。再加上近年來國外越來越關注出台的網路安全政策法規中涉及的密碼保護政策,國內問題在某種程度上已成為國際問題,因此我們必須適時地完善政策法規,實現從過去單純強調管理到更多地面向全球強調治理的轉變。
3. 加強核心技術研發,積極推廣自主產品
密碼政策有效性的根本在於自主掌握的密碼技術,因此加強對密碼演算法的研究和密碼相關產品的自主研發成為當務之急。我們不僅應在國內黨政軍部門推廣使用國產密碼產品,同時還要向全球互聯網市場推廣的密碼產品以及相應的軟硬體。
4. 貫徹政策實施,加強宣傳與國際合作
隨著互聯網的發展,泛自由主義與無政府主義成為其重要衍生品,民粹主義盛行。在此背景下,一個國家的政策是否能夠得到貫徹實施,不僅要做好國內宣傳,同時還應注重國際溝通與協調,讓我們的政策能夠得到更好的理解、支持與執行。(本文刊登於《信息安全》2017年第5期)
更多網路安全專家原創文章
「信息安全」公眾號
熱門推薦
留言回覆
