URL:https://www.wired.com/story/australia-encryption-law-global-impact
published:12/8/2018 1:45:18 PM
image
12月6日,澳大利亚议会通过了一项争议性立法,允许该国情报机构和司法机关要求访问端到端加密数字通信。这意味着澳大利亚当局可强迫Facebook、苹果等科技公司在其安全消息平台(包括WhatsApp和iMessage)中设置后门。一直以来出于公共安全和人权立场坚定反对加密后门的密码学家和隐私倡导者警告称,该立法带来了重大风险,其真正的影响远不止法案司法权辖下的那片土地。
几个月来,该法案遭到了诸多批评,包括过于宽泛、言辞模糊、有潜在威胁等。科技产业毕竟是全球性的;只要澳大利亚强迫科技公司为司法机构弱化其产品的安全性,植入的后门会存在于全球用户的产品中,澳大利亚之外的罪犯和政府都能利用。另外,一旦科技公司为澳大利亚司法机构制作了访问工具,其他国家必然跟进索要类似的功能。
“该澳洲法案过于宽泛和模糊,会树立极其不好的范例。”——Greg Nojeim,民主与技术中心
新立法还允许官方对特定人员而不是公司本身提出此类要求,比如某公司的关键员工。实际操作中,他们可以强迫负责审查和推送产品更新的工程师或IT管理员执行这些暗中破坏产品安全性的动作。某些情况下,政府甚至可以迫使个人或团队秘密执行此类操作。澳洲的这项新立法之下,不遵从这些命令的公司将面临高达730万美元的罚款。拒绝执行的个人则会面临牢狱之灾。
但澳洲立法者却为此项立法大唱赞歌,称其可大大推进有组织犯罪和反恐调查。甚至议会中最初呼吁对草案进行重大修订的反对者,最终也在12月6日作出了让步。
反对党工党领袖 Bill Shorten 向媒体透露:“虽然存在不足,但我们会通过这项法案,以便能为我们的安全机构提供某些他们声称需要的工具。”
全球影响
尽管澳大利亚会成为试验场,但技术专家和隐私倡导者警告称,该法案将很快影响全世界的政策制定。澳大利亚的所有情报同盟——美国、英国、加拿大、新西兰,也就是所谓的“五眼同盟”,几十年来都在游说此类机制。
安全及隐私研究员,W3C技术架构组成员 Lukasz Olejnik 表示:“围绕加密通信合法访问简化的讨论,承载着监管蔓延到其他国家的巨大风险。一旦这种功能存在,将会有多方人士对类似访问权限大感兴趣。这种机制会迅速蔓延。”
就在上周,美国副总检察长 Rod Rosenstein 就在华盛顿的一个研讨会上鼓吹他所谓的“负责任加密”。而英国已经在2016年年末通过了《调查权法案》(常被称为“偷窥宪章”),试图设立强迫公司企业向调查人员交出用户加密通信访问权的框架。英国法律历来受到司法权的困扰,不允许政府对个人提出类似澳大利亚的那种要求。但为此类监视要求制定法律框架的工作一直在继续,且有不断扩张的趋势。
隐私倡导者指出,五眼联盟愈加使用“负责任加密”之类的委婉用语来暗示某种平衡。比如说,澳大利亚新法案中有一章“限制”就称:“指定通信供应商不应被要求实现或建立系统性弱点或系统性漏洞。”
“这种事太令人震惊了。”——Danny O'Brien,电子前沿基金会
理论上听起来很不错。但其定义暗藏机锋。该项澳洲新法中称:“系统性漏洞指的是影响一整类技术的漏洞,但不包含有意引入到与特定人员相关的某种或某几种技术中的漏洞。”换句话说,有意用同一后门削弱每个消息平台的做法不合法,但开发针对单个消息平台的后门是允许的,比如单独针对WhatsApp或iMessage的定制后门。
情报机构和司法机关似乎越来越想让科技公司能够将政府官员秘密接入疑犯的加密通信中。举个例子。你以为的和朋友的iMessage私聊,可能实际上是加入了看不见的调查人员的群聊。聊天消息本身依然是端到端加密的,只不过,是在你、你朋友和调查人员三方之间,而不仅仅是你和你朋友之间。
密码学家和隐私倡导者迅速反应,指出:此类机制也会被罪犯和其他对手找出加以利用的方法,造成更大的公共安全问题,甚至可能危害到最初要求此类机制的机构的行动。
电子前沿基金会国际总监 Danny O'Brien 说道:“他们说,‘我们同意不设置后门或削弱加密,但我们保留迫使公司企业协助我们获得所有数据的权利’。技术领域的人对这种说辞都有点迷惑,因为迫使人们交出明文和创建后门之间实在没有太多空间。这就是在说要设置后门。”
密码学家几十年来都在表达对后门的坚定反对,包括2015年那篇有重大影响的《门垫下的钥匙》论文。但最近澳洲新法之类立法上的升温,激起了新一轮的驳斥。比如说,电气与电子工程师协会(IEEE)就在6月的立场声明中称:“特殊访问机制会带来风险。限制强加密或在消费产品中引入密钥托管方案,会对隐私、安全及民权造成长期负面影响。”
隐私倡导者称,澳洲新法还有其他问题,尤其是其在调查人员提出数据请求的频度和时机方面的语焉不详。这可能会导致执法过度,特别是该法案还限制了哪些公司在某些情况下可以披露自己收到的此类请求的数量。
民主与技术中心“自由、安全与技术”项目总监 Greg Nojeim 表示:“一个国家对全球提供商或全球设备制造商提出数据请求,可能会影响到他们的全球运营。其他国家也会通过类似的法律迫使公司企业在加密通信中安放后门。澳大利亚的立法相当宽泛而模糊,将成为一个极坏的案例。”
另一只靴子
争论双方如今的问题是:澳大利亚新法这样的法律实际上会如何操作,科技公司是遵从还是抗拒加密弱化指令?苹果公司在英国《调查权法案》和澳大利亚新法通过前就发出了反对声明。2015年的美国圣贝纳迪诺枪击案中,苹果公司也拒绝帮助FBI解锁嫌犯手机,明确了其支持隐私保护的立场。
不过,随着越来越多的法案被通过,尤其是澳大利亚一旦成功针对个人施行此项法案之后,公司企业能否有效抵制仍是未知数。澳大利亚议会将在明年考虑修订该法,但隐私倡导者和技术专家称情况并不乐观。“澳大利亚发生的事情太令人震惊了。另一只靴子即将落下。”
罚款,尤其是判刑,已经是拒绝或未能破坏数字产品安全的严厉惩罚了。但澳大利亚新法及后门友好立法广泛铺开的更深层次危险还在于其逻辑上的极端性:各国将会简单粗暴地封锁能提供健壮加密和用户安全保护的技术。五眼同盟距此不远了。
网友评论