论文部分内容阅读
2015年年底发生了两起震惊世界的恐怖袭击事件。一起在巴黎市中心,袭击造成至少132人死亡,法国随后宣布进入紧急状态。另一起发生在美国加州圣伯纳迪诺,警方确认至少造成14人死亡,17人受伤。在这两起事件中,对于恐怖分子使用了什么工具进行沟通和密谋的问题,存在很多种说法。
最基本的通信手段是手机短信。美国警方在恐怖分子的手机中找到了109条嫌犯与IS沟通的短信。此外也有报道称,巴黎恐怖袭击的幕后指使阿卜杜勒-哈米德·阿巴乌德是通过加密邮件发号施令的。还有人认为,恐怖分子使用了加密应用软件,因为在现场找到的袭击者的手机里安装有加密应用。巴黎恐袭的调查人员也曾公开表示,有证据证明恐怖分子使用过加密应用,但调查人员并没有公开这些证据。
比利时内政部长甚至提及恐怖分子可能通过索尼PlayStation4进行沟通,因为法国和比利时安全人员在搜捕中均发现了这款游戏机。恐怖分子究竟使用了何种沟通工具,各方说法大多只是捕风捉影。尤其是关于端对端加密的使用,并没有发现任何确凿的证据。
所谓端对端加密(end-to-end encryption),是指唯有通信的发送方和接收方两端才能知晓通信内容的强加密技术。面对政府监控规模逐渐扩大,加密技术的开发者为实现通信保密这一根本目标,设计出连自己也不知道如何解密的通信方式。目前,这类加密技术已经得到一些社交软件的使用,其中包括刚被脸书(Facebook) 收购的WhatsApp、苹果的iMessages、德国的Telegram和日本的LINE等。
2013年斯诺登事件爆发,端对端加密开始得到更多的使用,美英等国政府对此表示强烈反对,并要求废除这类技术。此后在社会舆论的压力下,西方政府逐渐做出妥协,虽然不再要求彻底废除这类技术,但至少要求互联网企业确保满足政府的需求,在政府要求时提供密钥,即为政府开设特定的“后门”。
加密技术自在私领域开始发展起,就一直被视为是情报收集的障碍。但是,数十年间运行良好,这类技术不仅被使用在流行的社交软件上,加密邮件系统实际上已经运行了二十多年,并没有受到政府的强烈反对。
那么,目前的端对端加密是否实质性地促进了恐怖分子的沟通?从巴黎恐怖袭击事件和圣伯纳迪诺袭击事件的调查结果来看,并没有确凿的证据证明端对端加密为恐怖主义提供了任何方便。各国指控这类加密技术,并不是因为存在事实上的因果关系,而仅仅是存在逻辑上的关联。换言之,西方政府只是担心端对端加密技术被恐怖分子以及其他不法分子滥用,有可能使情报部门完全处于信息不对称的状态,使目前反恐不力的境况进一步恶化。
即便没有建立足够的事实关联,但美英两国政府仍将反恐重心放在技术限制上。无论是英国在2015年11月提出的《调查权力法案》,还是此后美国国会两院通过的《网络安全情报共享法案》,都要求互联网公司提供数据和技术支持。这一要求给互联网公司带来多重压力,却帮助政府成功减轻了压力——巧妙地转移了舆论焦点,让公众视线从对恐怖主义的愤慨和政府情报收集不力的失望,转移到对国家安全与基本人权之间平衡的讨论。政府将选择权交给了公民:要么给恐怖主义可乘之机,要么放弃部分人权,二者只能选其一。
2015年底,向来低调的苹果公司CEO蒂姆·库克在哥伦比亚广播公司《60分》节目中公开反对英国正在推动的《调查权力法案》,以及其他类似立法所要求的给加密技术“开后门”的做法。库克说:“今天如果政府拿着法院开出的许可令找到我们,那么我们会根据要求提供相关的信息,因为我们要遵守法律。但当谈论的是加密信息的时候,我们没有什么可以提供的。”实际上,根据端对端加密的特点,在被要求提供iMessages服务所生成的数据时,苹果公司着实无能为力。
那么,是否可以给加密技术“开后门”从而让政府获取信息?政府所提出的方案——既保障加密通信的存在又不妨碍情报机构获取数据——在技术上站得住脚吗?对于这一问题,美国在20年前就给出了答案。
数字社会在发展过程中会越来越需要加密技术的支持。
1990年代,美国政府即发起了所谓“加密战”,主要是为了限制国内私领域,以及国外使用新的加密技术,防止其绕开政府监控。克林顿政府时期,美国国家安全局 (NSA) 发起“Clipper Chip”计划,要求对所有电话和电脑植入芯片,政府有权对加密前的信息进行提取和监控。计划一经出台,就引起美国社会强烈反对,争论的焦点在于“后门”会破坏整个系统的安全性。Clipper Clip计划成立三年之后最终流产。其后,强加密技术在私领域排除了政府干预,得到有效发展。
二十多年后引起“加密战”重新升温的,是美国政府的大规模监控项目(“棱镜”)。2013年,当美国前特工爱德华·斯诺登曝出该监控项目的内幕后,不仅美国政府失信于国际社会,涉嫌协助政府实施的互联网公司也遭遇了信任危机。虽然所有互联网公司都矢口否认参与过任何监控,但为了挽回用户的信任,苹果、WhatsApp等公司带头使用了更为安全的端对端加密技术。
反恐局势日趋紧张以及端对端加密技术的逐渐普及使用,引发了美国政府及其同盟英国新一轮的“加密战”。英国首相卡梅伦多次要求要废除这类技术。根据《调查权力法案》,英国政府有权要求获取加密通信的密钥,包括端对端加密。美国作为英国的情报同盟也持类似立场。就在几个月前,奥巴马政府公开表示不对行业施加情报收集的压力,但是在巴黎恐怖袭击发生之后,奥巴马也被迫旧事重提,美国国会新近通过的《网络安全情报共享法案》也有类似的要求。
2015年,十几位网络安全专家发布了一份新的报告——《门垫下的密钥》。这份报告的焦点是:在如今更加复杂的全球信息系统中,政府重新提出所谓“开后门”的诉求会带来什么样的变化。报告认为,20年间,技术可行性的结论并没有改变;改变的是,在今天对强加密技术“开后门”可能造成的损失会比20年前更大。这种做法不仅会带来严重的安全隐患,而且会抑制创新,同时引发人权和国际关系问题。
之所以说“开后门”不具有可行性,是因为这样做会导致系统的复杂性大幅提高。对于系统安全而言,最大的敌人之一就是复杂性,越复杂的系统就越容易形成漏洞。同时,维系这样的系统的运营也需要大量的成本。
在《60分》节目的采访中,库克对美英政府所提出的“安全与隐私/保密性的平衡”问题做出了回应。他说:“安全与隐私的平衡问题是不存在的。如果需要平衡,在20年前‘加密战’时期我们已经得出了答案……因为我们是美国,所以我们二者都要。”
这意味着,在现代法治国家,其底线是对公民基本权利的尊重,而不以牺牲公民基本权利为代价来提高反恐的效率。数字社会在发展过程中会越来越需要加密技术的支持。正是由于加密技术所构建的信任体系,电子商务彻底颠覆了我们的交易方式,重塑了现代商业社会。如今,一旦安全漏洞酿成祸端,我们所要面对的不仅是经济损失,还可能是金融系统的崩溃、国家安全危机,甚至是生命的丧失。这些成本,无论是在法治国家,还是非法治国家,都是无法承受之重。
(本文由本刊与微思客WeThinker合作出品)
最基本的通信手段是手机短信。美国警方在恐怖分子的手机中找到了109条嫌犯与IS沟通的短信。此外也有报道称,巴黎恐怖袭击的幕后指使阿卜杜勒-哈米德·阿巴乌德是通过加密邮件发号施令的。还有人认为,恐怖分子使用了加密应用软件,因为在现场找到的袭击者的手机里安装有加密应用。巴黎恐袭的调查人员也曾公开表示,有证据证明恐怖分子使用过加密应用,但调查人员并没有公开这些证据。
比利时内政部长甚至提及恐怖分子可能通过索尼PlayStation4进行沟通,因为法国和比利时安全人员在搜捕中均发现了这款游戏机。恐怖分子究竟使用了何种沟通工具,各方说法大多只是捕风捉影。尤其是关于端对端加密的使用,并没有发现任何确凿的证据。
“端对端”的祸端
所谓端对端加密(end-to-end encryption),是指唯有通信的发送方和接收方两端才能知晓通信内容的强加密技术。面对政府监控规模逐渐扩大,加密技术的开发者为实现通信保密这一根本目标,设计出连自己也不知道如何解密的通信方式。目前,这类加密技术已经得到一些社交软件的使用,其中包括刚被脸书(Facebook) 收购的WhatsApp、苹果的iMessages、德国的Telegram和日本的LINE等。
2013年斯诺登事件爆发,端对端加密开始得到更多的使用,美英等国政府对此表示强烈反对,并要求废除这类技术。此后在社会舆论的压力下,西方政府逐渐做出妥协,虽然不再要求彻底废除这类技术,但至少要求互联网企业确保满足政府的需求,在政府要求时提供密钥,即为政府开设特定的“后门”。
加密技术自在私领域开始发展起,就一直被视为是情报收集的障碍。但是,数十年间运行良好,这类技术不仅被使用在流行的社交软件上,加密邮件系统实际上已经运行了二十多年,并没有受到政府的强烈反对。
那么,目前的端对端加密是否实质性地促进了恐怖分子的沟通?从巴黎恐怖袭击事件和圣伯纳迪诺袭击事件的调查结果来看,并没有确凿的证据证明端对端加密为恐怖主义提供了任何方便。各国指控这类加密技术,并不是因为存在事实上的因果关系,而仅仅是存在逻辑上的关联。换言之,西方政府只是担心端对端加密技术被恐怖分子以及其他不法分子滥用,有可能使情报部门完全处于信息不对称的状态,使目前反恐不力的境况进一步恶化。
即便没有建立足够的事实关联,但美英两国政府仍将反恐重心放在技术限制上。无论是英国在2015年11月提出的《调查权力法案》,还是此后美国国会两院通过的《网络安全情报共享法案》,都要求互联网公司提供数据和技术支持。这一要求给互联网公司带来多重压力,却帮助政府成功减轻了压力——巧妙地转移了舆论焦点,让公众视线从对恐怖主义的愤慨和政府情报收集不力的失望,转移到对国家安全与基本人权之间平衡的讨论。政府将选择权交给了公民:要么给恐怖主义可乘之机,要么放弃部分人权,二者只能选其一。
争议“后门”
2015年底,向来低调的苹果公司CEO蒂姆·库克在哥伦比亚广播公司《60分》节目中公开反对英国正在推动的《调查权力法案》,以及其他类似立法所要求的给加密技术“开后门”的做法。库克说:“今天如果政府拿着法院开出的许可令找到我们,那么我们会根据要求提供相关的信息,因为我们要遵守法律。但当谈论的是加密信息的时候,我们没有什么可以提供的。”实际上,根据端对端加密的特点,在被要求提供iMessages服务所生成的数据时,苹果公司着实无能为力。
那么,是否可以给加密技术“开后门”从而让政府获取信息?政府所提出的方案——既保障加密通信的存在又不妨碍情报机构获取数据——在技术上站得住脚吗?对于这一问题,美国在20年前就给出了答案。
1990年代,美国政府即发起了所谓“加密战”,主要是为了限制国内私领域,以及国外使用新的加密技术,防止其绕开政府监控。克林顿政府时期,美国国家安全局 (NSA) 发起“Clipper Chip”计划,要求对所有电话和电脑植入芯片,政府有权对加密前的信息进行提取和监控。计划一经出台,就引起美国社会强烈反对,争论的焦点在于“后门”会破坏整个系统的安全性。Clipper Clip计划成立三年之后最终流产。其后,强加密技术在私领域排除了政府干预,得到有效发展。
二十多年后引起“加密战”重新升温的,是美国政府的大规模监控项目(“棱镜”)。2013年,当美国前特工爱德华·斯诺登曝出该监控项目的内幕后,不仅美国政府失信于国际社会,涉嫌协助政府实施的互联网公司也遭遇了信任危机。虽然所有互联网公司都矢口否认参与过任何监控,但为了挽回用户的信任,苹果、WhatsApp等公司带头使用了更为安全的端对端加密技术。
反恐局势日趋紧张以及端对端加密技术的逐渐普及使用,引发了美国政府及其同盟英国新一轮的“加密战”。英国首相卡梅伦多次要求要废除这类技术。根据《调查权力法案》,英国政府有权要求获取加密通信的密钥,包括端对端加密。美国作为英国的情报同盟也持类似立场。就在几个月前,奥巴马政府公开表示不对行业施加情报收集的压力,但是在巴黎恐怖袭击发生之后,奥巴马也被迫旧事重提,美国国会新近通过的《网络安全情报共享法案》也有类似的要求。
2015年,十几位网络安全专家发布了一份新的报告——《门垫下的密钥》。这份报告的焦点是:在如今更加复杂的全球信息系统中,政府重新提出所谓“开后门”的诉求会带来什么样的变化。报告认为,20年间,技术可行性的结论并没有改变;改变的是,在今天对强加密技术“开后门”可能造成的损失会比20年前更大。这种做法不仅会带来严重的安全隐患,而且会抑制创新,同时引发人权和国际关系问题。
之所以说“开后门”不具有可行性,是因为这样做会导致系统的复杂性大幅提高。对于系统安全而言,最大的敌人之一就是复杂性,越复杂的系统就越容易形成漏洞。同时,维系这样的系统的运营也需要大量的成本。
在《60分》节目的采访中,库克对美英政府所提出的“安全与隐私/保密性的平衡”问题做出了回应。他说:“安全与隐私的平衡问题是不存在的。如果需要平衡,在20年前‘加密战’时期我们已经得出了答案……因为我们是美国,所以我们二者都要。”
这意味着,在现代法治国家,其底线是对公民基本权利的尊重,而不以牺牲公民基本权利为代价来提高反恐的效率。数字社会在发展过程中会越来越需要加密技术的支持。正是由于加密技术所构建的信任体系,电子商务彻底颠覆了我们的交易方式,重塑了现代商业社会。如今,一旦安全漏洞酿成祸端,我们所要面对的不仅是经济损失,还可能是金融系统的崩溃、国家安全危机,甚至是生命的丧失。这些成本,无论是在法治国家,还是非法治国家,都是无法承受之重。
(本文由本刊与微思客WeThinker合作出品)