最安全的加密软件:端到端加密聊天工具触犯了国家安全单位

2018-12-23 17:12

导读: 在这个月初,澳大利亚政府通过了「技术援助请求」。这一消息在虽然关注的人不多,但在澳大利亚当地以及欧美国家都却引起了轰动,甚至很多人认为这一法案是澳大利亚网路产业发展的倒退。 技术援助请求法案主要说了些什么呢?简单描述一下就是,澳大利亚政府有

在这个月初,澳大利亚政府通过了「技术援助请求」。这一消息在虽然关注的人不多,但在澳大利亚当地以及欧美国家都却引起了轰动,甚至很多人认为这一法案是澳大利亚网路产业发展的倒退。

技术援助请求法案主要说了些什么呢?简单描述一下就是,澳大利亚政府有权要求科技企业帮助他们破解使用者终端和云服务,获取一切聊天记录、图片、影片等等资料。根据法案的禁言政策,这一切都将在秘密状态中进行,如果企业拒绝合作,将会被处以1000万澳元的罚款。

 

而且澳大利亚即将与加拿大、美国、英国和新西兰一起成立「五眼联盟」(英美协定下组成的国际情报分享团体),也就是说未来可能出现这种情况:加、美、英、新任何一国想以不合理的方式获取公民讯息,都可以透过澳大利亚向科技企业施压。

 

造成如今这种情况的,绝非一日之寒。此前我们就在关于「数位取证」的分析中提到过,由于智慧型硬体和我们生活之间的联系越来越紧密,很多时候犯罪分子之间的通讯记录或者其他破案关键讯息和证据都在智慧型硬体或云端。由于科技公司大多都有不合作政策,政府常常为此头痛,因此才有了此前美国一件枪击案中,FBI向苹果施压要求破解犯罪分子手机,最终找了骇客解决。

 

尤其是当端到端(End-to-End)加密技术出现,问题就愈发严重了。

 

端到端加密:让你的讯息比你想像中更安全

 

在澳大利亚刚刚宣布通过这一法案时,一家名为Signal的企业立刻表明了强烈反对,CEO Fund声明,为了保护使用者隐私,他们绝对不会为政府开后门。 CEO还表示,他知道这种行为可能会让Signal在澳大利亚境内被封杀,让使用者做好使用科学上网方式使用的准备。

 

而Signal这款软体,就是一款端到端加密聊天软体。

 

以文字消息为例,端到端加密聊天软体大多都基于加密通讯协议signal protocol。这一通讯协议中利用了迪菲-赫尔曼密钥交换协议,对话的双方发送讯息时,彼此拥有自己的密钥和对方的公钥,两者结合才能揭秘消息。这样骇客即使透过网路拦截某一方的公钥,没有秘钥也不能破解。而且在储存使用者公钥的伺服器中,还设置了三种和使用者身份秘钥对应的公钥。也就是说,在发送一条讯息时,要聊天的彼此利用终端和伺服器中的五组资料相互对应验证才能破解。就好比A给B发讯息时,B要用口袋里的五把钥匙分别打开伺服器和自己口袋里的若干把锁,才能获知讯息。

 

后门战争:端到端加密聊天触犯了国家安全单位?

 

同时这一协议还采取了棘轮(ratchets)演算法源源不断地产生消息秘钥,让聊天双方的每一条消息都有一套独立的秘钥,这样即使被骇客强行破解了,也只能看到一条消息内容。

 

除了立场鲜明的Signal,我们熟知的facebook messenger、iMassage、WhatsApp和Skype等等通讯软体都利用这种演算法提供端到端聊天模式——看来我们的通讯远比想像中安全。

 

从恋童到恐袭,当加密聊天成为逆鳞

 

端到端聊天加密一开始只是以开源的模式,在小众开发者的圈子里小范围流传。但自从稜鏡门时间爆发后,人们开始对自己的通讯安全充满了不信任,这些知名的App才开始引入相关技术。

 

在端对端加密聊天刚刚被大众熟知时,这一技术通常被应用在一些「小众」产品里。例如一些主打已婚出轨或小众性癖的社群平台,他们告诉使用者这种方式可以帮助他们保存秘密。同时当很多人怀疑通讯软体会抓取聊天资料提供给广告商时,这种加密模式变得格外受欢迎。

 

但很快,随着端到端聊天加密越来越多的进入主流产品中,这种无法追责的通讯模式就开始造成难以预计的后果。

 

最先触碰到人们神经的,是儿童的安全。

 

很多欧美家庭都会选择让儿童和家人共用一个云端ID,借此在不接触终端的前提下对儿童使用平板电脑、手机等产品进行一些监管。但端对端加密让讯息停留在单一终端上,无法在云端用家长模式进行监管。而且此前在印尼发生的妈妈卧底WhatsApp恋童癖群组事件,同样也是因为恋童癖们使用端到端加密模式,最终让整个事件不了了之。

 

后门战争:端到端加密聊天触犯了国家安全单位?

 

同时,开始有越来越多的极端组织借助这种技术的加密特性来传播极端的思想。

 

在一款名为Telegram的端对端加密聊天软体中,一直有极端分子在公共广播中宣传恐怖主义思想。在2015年,Telegram对于这些公共频道进行了封禁。可在2017年印尼清真寺袭击警员事件发生后,经调查发现涉世恐怖组织仍然在利用Telegram的群组功能宣传恐怖思想,但由于端对端加密的匿名性,他们无法透过调查挖掘更多的相关讯息。

 

而最可怕的是,那些恐怖分子真的在利用这种端对端加密聊天来联络行事。

 

2016年德国和法国遭受了一系列恐怖袭击,在法国诺曼第一教堂中发生的袭击事件的攻击者就是通过端到端加密聊天进行的联系,当时的法国内政部长就表示,这类软体要对恐怖袭击事件负主要责任,如果这些产品能够给政府「留后门」,或许可以阻止这类事件的发生。

 

可话又说回来了,对于普通民众来说,他们没有犯罪的心思,却要被随时可能会被政府获取私人通讯记录这种不安全感所围绕,确实让人难以忍受。可在当权者看来,这是一道选择题:要隐私就没有安全。

 

从Clipper到后门,老大哥只有了一点小进步

 

那么技术援助请求法案真的能够顺利实施吗?或许我们可以参照Clipper晶片的案例。

 

政府对网路讯息破解的渴求,其实从上个世界90年代就开始了。上个世纪现代密码学得以发展,公开密钥密码体系得以横空出世。这种原本应用于间谍体系的技术最终成为了网际网路的基石,也让政府开始感到紧张。

 

后门战争:端到端加密聊天触犯了国家安全单位?

 

于是美国国家安全局和FBI联手设计了一套名为Clipper的晶片,安装在电脑中,就可以礻这两个部门提供一套后门秘钥,方便他们获取讯息。在FBI原本的设想中,美国生产出售的每一款电脑都要搭载这款晶片。

 

答案显而易见,根本没有一家厂商搭理这种无理要求,Clipper计画最终也不了了之。到如今澳洲政府通过技术援助请求法案,老大哥只能说有了一点小进步。

 

同样,针对端对端加密聊天也存在很多无解的问题。

 

端到端加密演算法有其特殊性,即使是研发者也做不到「破解」并且获取资料,顶多停止这种加密方式。

目前大多数产品的市场都涉及全球,为某一国家安全机构打开后门,必然是为其他国家所反感的,很可能使其在一些国家市场中遭受限制。

在Facebook讯息泄露事件发生不久的如今,人们对讯息安全正在处于高度敏感之中,科技企业也都在忙着洗清嫌疑。这时强制执行「开后门」,其实很容易引起大众反感。

不过想要获取通讯软体中的违法讯息,开后门绝不是唯一选择。从终端进行讯息脱敏和分析,或像德国政府那样尝试在犯罪分子通讯过程中对讯息进行拦截和破解,都是可行之道。只不过从当前技术发展状况来说,「开后门」是最偷懒也是最高效的方法。

 

其实,把加密通讯和犯罪行为挂上钩本来就是一件很模糊的事。在此前几次关于恐袭的调查中,涉事端对端加密聊天软体都声称自己与这件事无关。何况加密聊天并不能导致犯罪,顶多是加大了犯罪调查的难度。没有加密聊天他们也可以找到其他沟通方式:讲方言、说黑话……