最近,关于加密服务中的“后门”话题再次引起了人们的关注。据报道,英国政府正在寻求迫使苹果公司开放iCloud的端到端加密(E2EE)设备备份服务。官员们要求苹果公司在服务中创建一个“后门”,以允许政府机构访问数据。
自2016年更新了国家监视权力以来,英国拥有广泛的权力来限制科技公司使用强大的加密技术。据《华盛顿邮报》报道,英国官员已经使用《调查权力法》(IPA)向苹果公司提出要求——寻求对iCloud高级数据保护(ADP)服务设计用来防止第三方访问的数据进行“全面”访问。
苹果公司的ADP服务的技术架构设计得非常巧妙,以至于即使是这家科技巨头也无法持有加密密钥——得益于端到端加密(E2EE)的应用,苹果公司可以承诺它对用户数据“零知识”。
所谓“后门”,通常是指在代码中故意插入的秘密漏洞,以绕过或削弱安全措施,从而让第三方能够访问。在iCloud案例中,这一命令允许英国情报人员或执法机构获取用户加密数据的访问权限。
尽管英国政府通常不会确认或否认根据《调查权力法》发出的通知报告,但安全专家警告称,如果被迫削弱为所有用户提供保护的安全措施,这可能会在全球范围内产生影响。这包括那些位于英国之外的用户。
一旦软件中存在漏洞,就存在被其他类型的行为者利用的风险——比如黑客和其他不良行为者为了非法目的获取访问权限——例如身份盗窃、窃取和出售敏感数据或部署勒索软件。
这可能解释了为什么在国家驱动的试图访问E2EE时经常使用这种视觉抽象的“后门”概念;故意在代码中添加漏洞使权衡更加明显。
举个例子:当涉及到建筑物、墙壁等物理门时,并不能保证只有财产的所有者或钥匙持有者才能独占使用该入口点。
一旦有了入口,就有可能被其他人利用——例如复制钥匙或强行闯入。
总之:不存在完美的选择性通道只能让特定的人通过。如果有人可以进入,那么逻辑上意味着其他人也可能使用这个门。
同样的访问风险原则适用于软件(或硬件)中添加的漏洞。
过去曾有人提出过“NOBUS”(只有我们)后门的概念。这种特定类型的后门基于他们能够利用特定漏洞的技术能力优于所有其他人的评估——本质上是一个更安全的后门,只能被自己的人员独家访问。
但技术能力和技术能力本质上是可变的。评估未知他人的技术能力并不是一门精确科学。“NOBUS”概念建立在已经可疑的假设之上;任何第三方访问都增加了攻击向量的风险,例如针对拥有授权访问的人的社会工程攻击手段。
毫不意外地,许多安全专家认为“NOBUS”是一个根本错误的概念。简单地说:任何访问都会带来风险;因此推动后门与强大的安全性背道而驰。
然而,在这些明显的安全担忧面前,政府仍然坚持要求设置后门。这就是为什么我们总是在讨论这个问题的原因。
“后门”一词还暗示这样的请求可以是秘密的而不是公开的——就像后门不是面向公众的入口一样。在苹果公司的iCloud案例中,在英国《调查权力法》下发出的要求破坏加密的通知(通过技术能力通知TCN实现)不能由接收方合法披露。该法律意图使任何这样的后门都是秘密设计的。(向媒体泄露TCN细节是一种绕过信息封锁机制的方法,但重要的是要指出苹果公司尚未对此报道发表任何公开声明。)
据电子前沿基金会表示,“后门”一词可追溯到1980年代,“后门”和“陷阱门”最初用来指创建秘密账户和/或密码以允许某人未知地进入系统的情况。但随着时间推移,“后门”一词被用来描述各种试图削弱、绕过或破坏由加密提供的数据安全的努力。
虽然由于英国针对苹果公司加密iCloud备份的服务再次引起关注,“数据访问需求”的历史可以追溯到几十年前。
例如,在1990年代初,美国国家安全局(NSA)开发了一种带有内置后门的加密硬件来处理语音和数据消息——目的是允许安全部队拦截加密通信。“Clipper Chip”就是这一概念的具体体现,并采用了密钥托管系统——这意味着政府机构会创建并存储一个密钥以在必要时提供对加密数据的访问权限。
NASA试图推销带有内置后门芯片的努力因缺乏采用而失败,并引发了安全和隐私方面的反弹。不过,“Clipper Chip”的确帮助激发了密码学家努力开发和传播强大的加密软件以抵御政府过度干预的需求。
“Clipper Chip”的另一个例子是公共强制系统接入尝试的一个实例。值得注意的是,并非所有后门都必须是秘密的。(在英国iCloud案例中,政府显然希望不被Apple用户知晓的情况下获得访问权限)。
此外,政府经常利用情感化的宣传来争取公众支持或将压力施加给服务提供商遵守其要求——例如通过声称需要E2EE来打击儿童色情、恐怖主义或其他恶劣犯罪。
但事实上,“后门”有时也会反噬其创造者。例如,在去年秋天发生的事件中,支持中国政府黑客入侵了联邦强制监听系统,并通过一项30年前要求提供回溯性接入权限的联邦法律获得了美国电信运营商和ISP用户的部分数据接入权限。
