近年加密通讯逐渐普及,不少通讯服务均增设加密功能,其中全球最多人使用的WhatsApp更于两年多前把全部通讯改用「点对点加密」(end-to-end encryption),只有收发双方能够读取通讯内容,第三方包括WhatsApp的伺服器仅取得已加密的讯息。
加密通讯能够让对话内较不容易外洩,保障私隐。与此同时,各国执法部门在查案时更难截取通讯,多国政府都有官员曾提出,要求科技公司在其通讯服务加入俗称「后门」、让政府可绕过加密技术截取通讯的机制,以便执法部门有需要时获得调查对象的通讯内容。
但不少资讯安全专家已多次回应,指出根本没有专为好人而设的「后门」,一但让政府能监控用户对话,黑客亦有机会做到相同事情,有关倡议只会削弱加密通讯的安全,受影响的远远不只民众私隐。例如其他政府资助的黑客可以盗取政府官员通讯内容,影响;加密技术本身是互联网经济的基础,资讯安全危机亦会带来难以估计的经济损失。
「五眼」针对加密发声明
由英国、、加拿大、澳洲及纽西兰组成的情报联盟「五眼」(The Five Eyes)上星期低调发出联合声明,暗示或会立法规定科技公司让有关「合法存取」用户加密通讯的内容。
五国的国土安全、公共安全及移民部长于8月28至29日在澳洲举行部长级会议,讨论如何就共同的保安挑战合作,涉及网络、恐怖主义、移民、外国干预等议题。会后澳洲内政事务部网站上刊登三篇声明,其中一篇跟「取得证据与加密的原则」有关。
这份声明就加密及执法时取得证据的问题上订立三项原则,第一项是「共同责任」,指无法合法取得数据并非单单是政府要面对的问题,其他机构——如科技与通讯公司——均有责任,因为这些公司都受法律限制,而法律包括要求协助合法取得数据,包括通讯内容。
声明中第二项原则为「法治及正当程序至为重要」,强调法治及正当程序对维持民主社会价值的重要,应只能在遵从法例的情况下取得公民的私人资讯,而且这个过程一定要受独立机构或司法覆核监察。
最后一项原则为「合法解决方案的选择自由」,指五国政府鼓励有关公司自愿在其产品、服务中加入合法取得资讯(此处指经加密渠道传送之通讯内容)的解决方案。该原则又列明政府不应偏好个别技术,应由服务供应商设计符合其系统架构的方法,满足政府截取通讯的要求。
开了后门还算点对点加密吗?
值得注意的是,声明指「政府应意识到,加密的本质会导致有些情况下不可能取得相关资讯,虽然这些情况应该罕见」,暗示在大部分情况下,政府应该取得经加密渠道传送的通讯内容。然而这个说法似乎避开了争议中最重要的一点︰点对点加密技术不应让第三方读取内容。
简单来说,加密过程中需要用到一组称为「密钥」(encryption keys)的资讯,透过加密演算法将原本讯息转换成看似杂乱无章的字串——后者称为「密文」(ciphertext);而把密文还原成可读的讯息,同样需要密钥。
而在点对点加密法中,密钥只储存在通讯双方的装置内,因此其他人只能够看到密文,即使伺服器留下记录再交给执法部门,也仅可以交出通讯时间、收发双方身分等资讯,以及一般情况下难以破解的密文。
虽然通讯软件的设计可能有个别漏洞,以致加密讯息有机会外洩,但点对点加密通讯机制本身不应该让第三方能读取讯息。即使五国表明「无意削弱加密机制」,声明的要求事实上将削弱有关通讯软件的安全。
《纽约时报》指拥有WhatsApp的Facebook未有直接回应这份声明,但把问题转介至今年5月该公司一篇解释其加密政策的网誌,文章亦解释了Facebook为何不会为加密通讯设置后门——因为任何后门都可能被其他人发现及利用。
或强制开后门
声明最后更提到︰「若政府在合法索取保护公民和我们所必要之资讯时持续遇到阻碍,我们或寻求技术、执法、立法或其他措施,以实现合法取得资讯的解决方案」,暗示如科技公司不合作,或会以立法等方式强制执行。
过去数年英国、等政府已多次有官员表示,希望科技公司能协助政府解除加密限制,或为加密通讯软件设置后门。
2014年,时任FBI高铭(James Comey)指政府应考虑要求科技公司为执法机关提供后门,受到科技公司、人权组织及资讯保安专家联署反对,其后白宫及高铭回应指政府暂时不会就此立法。而现任FBI雷伊(Christopher Wray)曾多次表明反对「无法破解的加密」。
前英国内政大臣卢绮婷(Amber Rudd)于去年表示,警方无法读取WhatsApp加密讯息「不可接受」。英国首相文翠珊(Theresa May)今年初在世界经济论坛演讲时,同样要求提供加密通讯的平台为政府开后门。
联邦调查局(FBI)及苹果曾为解锁一部iPhone而对簿公堂,最终FBI因能够自行解锁而撤销诉讼。8月中《路透社》引匿名消息报道,政府入稟法院要求Facebook协助监控一个帮派,其中削弱其通讯应用程式Messenger的加密功能,以便窃听调查对象的语音对话。
英国在2016年通过《调查权力法案》,容许多个情报部门获得极大的监控权力,更有权取得通讯数据,被指可要求科技公司移除通讯软件中的加密,但目前尚未清楚在点对点加密的问题上如何处理。
假如五国最终强制加密通讯软件设置后门,WhatsApp等使用加密技术的通讯软件或要妥协,否则会像Telegram在俄罗斯般被封锁,其他亦可能效法加入规管。
相关文章︰
假如政府能迫使FB为Messenger「开后门」,会有甚么后果? 不用数学,一张图了解公钥加密法原理 为捉恐怖份子应削弱加密通讯? 电脑安全专家︰「我们有那么蠢吗?」 在加密通讯软件开「后门」让政府截听,就像把大门钥匙藏在地毯下
资料来源︰
Five Country Ministerial 2018 Statement of Principles on Access to Evidence and Encryption Five Eyes governments get even tougher on encryption (ZDNet) ‘Five Eyes’ Nations Quietly Demand Government Access to Encrypted Data (The New York Times) US and intelligence allies take aim at tech companies over encryption (CNET) US and UK governments seek mandatory ‘backdoors’ in chat apps (The Telegraph) Five Eyes threatens to force encryption backdoors, says ‘privacy is not absolute’ (CSO Online) FBI chief calls unbreakable encryption ‘urgent public safety issue’ (Reuters) FBI again calls for magical solution to break into encrypted phones (Ars Technica) FBI director: Unbreakable encryption is a “huge, huge problem” (Ars Technica) Here we go again… UK Prime Minister urges nerds to come up with magic crypto backdoors (The Register) Hard Questions: Why Does Facebook Enable End-to-End Encryption? (Facebook Newsroom)