«
»

iPhone的加密及過往的加密抗戰 -2014-10-15

iPhone的加密及過往的加密抗戰

上星期,Apple宣稱處理iPhone上嚴重的安全性漏洞。這漏洞原本是用來加密保護iPhone上的資料,然而只有Apple自己有能力足以繞過其安全性驗證。

從今以後,所有電話內的資料將受保護,不論罪犯、政府或惡意的員工,都無法存取這些資料。即便是極權主義的政府,也無法要求存取這些資料,iPhone內的資料從現在起更加安全

聽到美國執法部門的回應,你可能會認為Apple的舉動預示了一波無法阻擋的犯罪潮流。而FBI已經透過此漏洞進入大眾的iPhone進行犯罪調查。網路法教授Orin Kerr所說:”一個僅阻擾合法搜索權的法令能帶來如何的公共利益?”

但事實上,你無法建立一個只有好人能通過的後門。加密的保護防止了網路犯罪、產業競爭對手、中國秘密警察,也阻擋了FBI。你不是被他們任何一個竊聽就是阻止所以人的竊聽。

為好人所建立的後門常常也被惡意人士拿來利用。在2005年,一些不知名的組織暗中利用希臘手機系統中合法的攔截能力,同樣的事件也發生於2006年的義大利。

在2010年,中國的駭客顛覆了Google允諾美國政府的監控要求,於Gmail中所加入的攔截系統。我們手機系統中的後門不只為FBI所使用,也同樣的被被不知名的其他人所利用。

但這樣的情況並未阻止FBI與司法部以恐懼威嚇著我們,司法部長Eric Holder以可能成為綁架犯和性侵犯的理由警示著我們。

FBI的前刑事調查部門的負責人做得更超過,其編造同時成為性侵犯及綁架犯之可能性,當然,也包含了恐怖份子。

FBI局長James Comey宣稱Apple的舉動將使人們”把自己置於法律之外”,且呼應了目前以濫用的”兒童綁架者”一詞。芝加哥警察局局長 John J. Escalante甚至發出了最歇斯底里的口號:”Apple將成為戀童癖的首選手機”。

然而,這些都只是嚇唬人的。在2013年確認3576項通訊攔截相關犯罪中,只有一宗與綁架有關。而更重要的是,沒有任何的證據顯示加密嚴重的影響犯罪調查。在2013年加密挫敗了警方9次,2012年則有4次—但這些調查都以其他方式處理。

這也是為何FBI的”恐怖故事”會在公共監督後逐漸消逝的原因。一位FBI的前助理局長曾宣言若FBI沒有解密iPhone的能力,將無法找到遭綁架的人,但在幾個小時後此宣言就被撤回,因這是錯誤的理念。

我們以前曾看過這一類的遊戲。在1990年代的加密戰爭,當時的FBI局長Louis Freeh等人重複地使用歹徒John Gotti的案例描述竊聽電話的重要性。但此一案件的證據是使用room bug而非竊聽電話。而類似的駭人聽聞的刑事案件也是以同樣的方式來比喻。當時將其稱之為Infocalypse的四騎士:戀童癖者、綁匪、毒犯及恐怖分子,至今仍是如此。

強大的加密功能已經存在好幾年。Apple的FileVault及Microsoft的BitLocker都是用來加密電腦硬體中的資料,PGP加密電子郵件,Off-the-Record加密聊天訊息,HTTPS Everywhere加密了所瀏覽的網頁,而Android系統手機則是已內建加密系統。市面上有數以千計的加密產品是沒有設置後門的,這當中更有存在十幾年的產品。即使美國禁止了這些東西,外國的公司也會壟斷此市場,因我們許多人有正當的安全需求。

執法部門抱怨著這十幾年的”黑暗期”。於1990年代,他們嘗試說服國會通過一項法令,讓電話公司保證在數位化後仍可竊聽電話內容。他們嘗試禁止強大的加密及要求留下後門供以後使用,但並沒有成功。在2010年FBI再度嘗試禁止強大的加密,不過還是失敗。現在後斯諾登時代,他們將再次嘗試通過法令。

我們必須與此現象對抗,強大的加密提供了如同盔甲般的保護,使我們免於駭客及罪犯的威脅。它保護了企業免於競爭對手及外來間諜的攻擊、保護人們不受極權政府的逮捕及拘留。這也不是只有我說的,FBI也建議加密你的資料以提升安全。

至於執法方面?政府在近十年來獲得了史無前例的能力能監控我們及存取我們的資料。我們的手機提供給他們詳細的移動紀錄、電話通訊紀錄、電子郵件的歷史資料、好友列表,而Facebook頁面也告知了他們與我們關聯的人,數百家的公司於網路上追蹤我們並告知政府單位我們在想些什麼,隨處可見的照相設備也能捕捉我們的臉孔,而我們大部分的人將iPhone內的資料備份於iCloud, FBI仍可取得相關授權,這無非是一個監督的黃金時代

在思考過此議題後,Orin Kerr重新以一個新的角度去思考,以技術上合法性的權衡重新審視這些事,我認為他的做法是對的。

鑒於政府及部分人士能輕易的打擾我們的私人生活,我們需要同時考慮技術安全與法律限制來重建政府存取與我們安全性/隱私之間的平衡。更多公司應跟隨Apple的領導並將易於使用的加密設為預設值,而在我們默許警方降低安全性的要求之前,我們可以觀察是否有任何危害的實際證據。

此文章已先發於CNN.com

修改日期(10/6):這三篇短文值得一讀。如同所述,在其他方面Apple和政府必須得到你iPhone資料,而一則華盛頓郵報的社論說:
如何解決此問題?警方設置於智慧型手機的”後門”是不好的—壞人亦可利用後門。然而,神奇的事也許會發生,或許哪天Apple和Google能發明出一種安全金鑰,平常是被保存的,唯有法院發出合法搜索令才被使用。
畢竟”安全金鑰”與”後門”是完全不同的。

修改日期(10/7):另一則推薦短文

修改日期(10/9):這這三篇短文值得一讀

修改日期(10/12):另一則推薦短文

本文為【網路管理實驗室】協助翻譯
原文網址:https://www.schneier.com/blog/archives/2014/10/iphone_encrypti_1.html
 

This entry was posted by islab on 2015 年 06 月 17 日 at 03:33:53 under Selected Article. You can leave a response, or trackback from your own site. Follow any responses to this entry through the RSS 2.0 feed.

Leave a Reply