编者按:
在简报第36期“战略与国际研究中心(CSIS)发布报告《加密战争已经结束》”一文发出后,不少读者询问加密战争的具体事件。因此,本期我们组织翻译了2016年埃里克·盖勒(Eric Geller)发表在《The Daily Dot》上的文章《新“加密战争”的完整指南》,帮助读者了解西方加密战争的一个立法历程和相关事件,以飨读者。需要指出的是,下文所表达的观点,并不代表本编辑部观点,仅供参考。
埃里克·盖勒是一名政治记者,主要关注网络安全、监控、加密和隐私问题。盖勒曾是《The Daily Dot》的特约撰稿人,主要负责白宫、司法部、国务院和商务部的政策制定工作的报道。
新“加密战争”的完整指南
埃里克·盖勒
加密终于成为主流。
自上世纪90年代初以来,美国政府官员和技术专家一直在争论是否应该限制加密的强度,以帮助执法部门和情报部门监控嫌疑人的通信。但在2016年初,这场神秘的战斗被降级到学术会议、安全机构的高管层和国会山的密室里。2016年2月中旬,美国总统巴拉克•奥巴马的司法部在调查加州圣贝纳迪诺枪击案的恐怖分子时,要求一名联邦法官迫使苹果公司帮助联邦调查局解锁一名袭击者的iPhone。随之而来的是一场出人意料的敌意和前所未有的公开论战,争论的焦点是政府在寻求保护美国人免受恐怖主义侵害的过程中,应该在多大程度上渗透和削弱商业安全技术。但圣贝纳迪诺的iPhone之争只是一个最明显的迹象,表明一场持续数十年的加密战争尚未结束。这场战争的第二阶段实际上已经进行了多年。精通数字技术的独狼恐怖分子的崛起,加上2013年爱德华·斯诺登的情报泄密事件后硅谷越来越多地采用无法破解的加密技术,加剧了科技行业和政府调查人员之间存在的、不可避免的紧张关系。
有观点认为,加密技术是由苹果等美国科技巨头及其在密码学和隐私领域的盟友所推进的,它神圣不可侵犯;而习惯了能够打开任何保险柜的安全机构对这个想法感到不安。市、州和联邦执法官员开始敦促国会,要求科技公司只使用他们可以破解的加密技术,以防调查人员获取用户数据还需要进一步的法律授权。计算机科学教授、密码学家和数字权利倡导者曾在20世纪90年代抵制过这类要求,他们把这一系列的抵制行为称为“加密战争”,也是这场长期斗争的第一轮,现在是时候开始新的第二轮抵制斗争了。
但是这个新一轮是何时何地开始的呢?确切的时间点可能不确定,但下面的时间线提供了一个相对全面的概述,构成了新的加密战争的不同战斗。
1.2003年1月9日:司法部起草《2003年国内安全加强法案》,又名《爱国者法案II》
2001年9月11日恐怖袭击后,美国国会就《美国爱国者法案》展开辩论,强加密的支持者担心,议员们会利用恐惧和焦虑的气氛,偷偷加入一项针对加密的条款。在爱国者法案没有涉及这个问题,但在该法案生效近两年后,乔治·布什总统的司法部准备了一项后续法案,即2003年的《国内安全加强法案》,该法案确实以一种主要方式解决了加密问题。
2003年1月9日,公共廉洁中心首先获得了该法案的草案,其中包括一项条款,对任何使用加密技术隐藏与其犯罪相关的“有罪通信或信息”的重罪犯,增加至少5年的刑期。
这项被批评人士称为“爱国者法案II”的法案从未成为法律,但它是政府首次涉足加密监管——就像最终苹果和联邦调查局在圣贝纳迪诺案的iPhone之争一样,它发生在强烈的恐怖主义焦虑气氛中。
2.2007年8月:安全研究人员揭露NSA支持的加密协议中的后门
2007年3月,美国国家标准与技术研究所发表了一篇论文描述四种生成伪随机数的方法的文档。随机数生成是密码学的基础;加密通过这个随机过程对数据进行打乱来保护人们的数据,这使得人们无法预测打乱是如何发生的。
五个月后,密码学家丹·舒默和尼尔斯·弗格森在一次安全会议上发表讲话,概述了NIST四种方法中的一种——双椭圆曲线确定性随机比特发生器(Dual_EC_DRBG)的弱点。他们可能是第一批广泛宣传Dual_EC后门的人。在回顾他们的报告时,著名的安全研究员布鲁斯·斯奈尔写道,Dual_EC“包含一个只能被描述为后门的弱点”。从本质上说,Dual_EC的创建是为了有一种方法来预测所谓的随机数字生成过程。任何能够做到这一点的人都可以破译任何用Dual_EC加密的数据。
2013年9月,《纽约时报》报道称,美国国家安全局“积极推动”NIST和国际标准化组织采用Dual_EC作为密码标准。前情报人员爱德华·斯诺登提供给《纽约时报》的一份文件写道:“最终,美国国家安全局成为标准的唯一编辑”。
2013年12月,有消息称美国国家安全局曾向知名安全公司RSA付费1000万美元,将Dual_EC添加到其产品中。当时,RSA的决定鼓励了行业内的许多其他人采用该代码。RSA的首席技术专家后来告诉路透社,该公司“本可以对美国国家安全局的意图更加怀疑”。
2014年4月,NIST正式撤回了对Dual_EC的推荐。NIST无意中在削弱全球安全方面的助力做法,严重损害了其作为安全行业可靠的政府合作伙伴的声誉。
3.2008年1月:联邦调查局开始向立法者通报加密威胁
2008年初,联邦调查局第一次使用因加密而闻名的名字来掩盖犯罪分子的通信——“变暗”(“going dark”)。据电子前沿基金会称,2008年1月,时任联邦调查局局长的罗伯特·穆勒在国会参众两院作证,并在他的简报簿中加入了“变暗”一页。该基金会通过《信息自由法》获得了这些文件。
联邦调查局高级官员继续与主要议员和委员会工作人员会面,讨论“熄火”问题。联邦调查局负责科技事务的执行助理局长克里·海恩斯对国会议员说,“联邦调查局通过使用科技收集情报和进行调查的能力正在日益减弱。”
电子前沿基金会的《信息自由法》文件中有一页来自联邦调查局内部维基,描述了合法拦截能力存在的问题,内容如下:面对越来越多样化和复杂的通信服务和技术,包括各种协议、专有压缩技术、加密和其他技术因素的快速增长,执法部门现在面临着几个特别令人生畏的合法拦截挑战。
4.2011年2月17日:联邦调查局首席律师让公众注意到“变暗”
联邦调查局总法律顾问瓦莱丽•卡普罗尼在2011年2月举行的众议院司法委员会的一个小组委员会上首次对“变暗”的问题做出了长篇解释。
当时,卡普罗尼淡化了加密本身所带来的威胁。“解决变暗的问题并不需要对加密技术进行根本性的改变,”她告诉议员们。“我们知道,在某些情况下,加密需要执法部门制定个性化的解决方案。”
然而,这种态度不会持续太久。
5.2012年5月4日:联邦调查局推动立法,以确保一个便于窃听的网络
虽然卡普罗尼公开承诺联邦调查局不会寻求“加密技术的根本性改变”,但她的办公室准备了立法草案,迫使电子邮件提供商、VoIP服务运营商、IM客户端和社交网络修改他们的服务,以确保他们的服务有利于窃听。这项法案将修改自美国1994年通过的《通信协助执法法案》。该法案要求电话和互联网提供商在设计设备时允许执法部门进行窃听。
联邦调查局为这项立法草案工作了多年,到了2012年中期,该草案已准备就绪。然而,尽管司法部签署了该法案,但奥巴马政府拒绝在国会山推动该法案。最终,这项立法未出台。
6.2013年6月6日:第二份斯诺登文件揭露了一个大规模的网络监控项目
多年来,美国国家安全局和联邦调查局在没有授权的情况下直接访问美国科技公司的服务器,获取用户的数据。通过这个代号为“棱镜”的项目,这些机构可以绕过授权要求,完全不用告诉这些公司。
美国国家安全局前合同工爱德华•斯诺登披露的棱镜门文件引发了硅谷的愤怒。几个月后,更多斯诺登的文件显示,美国国家安全局已经渗透了谷歌和雅虎全球数据中心之间的链接。
棱镜门事件和数据中心泄密事件加速了强加密的趋势,最终给执法人员带来新的问题。2014年3月,谷歌宣布对其数据中心之间传输的所有Gmail数据进行加密,这在一定程度上是对泄密事件的回应。几周后,雅虎也紧随其后。
7.2013年9月5日:斯诺登文件揭露了美国国家安全局试图破解加密的行动
《纽约时报》证实了斯诺登有关美国国家安全局参与Dual_EC的消息,还揭露了一个名为布尔润(Bullrun)的大规模反加密行动。
《纽约时报》报道称:“在20世纪90年代,美国国家安全局曾试图在所有加密系统中插入自己的‘后门’,但在这场公开战斗中失败后,它开始通过秘密行动实现同样的目标。”
布尔润项目包括“定制、超高速计算机来破解密码”,并与美国和外国技术公司合作,“为他们的产品建立入口点”。
《纽约时报》透露:“在某些情况下,一些公司表示,他们在政府的胁迫下,交出了主密钥或设置了后门。”“该机构利用其作为世界上最有经验的代码编写者的影响力,秘密地在全球硬件和软件开发者遵循的加密标准中引入弱点。”
《纽约时报》的报道引起了轩然大波。NIST宣称它“不会故意这样做来削弱密码标准”,并解释说,法律要求它就密码工作与美国国家安全局协商。安全研究员、约翰霍普金斯大学教授马修·格林告诉《纽约时报》,“NIST的一些人感觉被国安局的同事背叛了。”
8.2014年9月:苹果和谷歌在他们的移动操作系统中增加了全磁盘加密
2014年9月17日,苹果公司宣布,刚刚发布的移动操作系统升级版iOS 8包含了防止公司解密用户数据的加密功能,此举向各地的警方发出了警告。
iOS新推出的全磁盘加密功能将iOS设备的安全功能与用户的密码绑定在一起,从而将苹果拒之门外。因为只有用户知道自己的密码,其他人无法逆转设备的加密。
谷歌的Android操作系统已经提供了全磁盘加密功能,但该公司在苹果发布iOS 8系统两天后宣布,这一功能将很快成为默认功能。它后来改变了这一立场——与苹果不同的是,谷歌不生产安卓手机,而且那些公司确实担心全磁盘加密带来的性能问题——但在2015年底又恢复了这一立场。
9.2015年1月12日:英国首相提议禁止端到端加密应用
英国首相卡梅伦在推动政府计划中的监控法案时表示,不具备解密能力的信息服务应该被禁止。
“在我们国家,我们想要允许一种我们完全不懂的人与人之间的交流方式吗?”卡梅伦问道。
如果卡梅伦的提议成为法律,Facebook的WhatsApp、苹果的iMessage和Telegram等热门服务将不得不关闭。这些应用程序使用端到端加密技术,即使它们的创建者也无法破解。
就在卡梅伦发表演讲的5天前,两名恐怖分子袭击了法国讽刺报纸《查理周刊》,造成11人死亡,11人受伤。这是接下来几年的几起恐怖袭击中的第一起,官员们借此来推动扩大政府监控权力。
10.2015年10月10日:奥巴马政府表示不会寻求加密后门立法
尽管有美国联邦调查局局长科米等官员的游说,奥巴马政府还是决定不要求国会立法强制获取加密数据。
《纽约时报》指出,白宫科技政策办公室和联邦调查局在内部就这一决定产生了分歧。与此同时,拥有强大秘密工具的美国国家安全局和其他情报机构则“不那么直言不讳”。
在这之前,《华盛顿邮报》就获得了一份国家安全委员会的备忘录,其中概述了保证访问加密数据的可能方法,包括一种分密钥方式,政府持有部分密钥;要求公司在其代码中增加后门;并且要求他们建立一个只能通过执法工具访问的特殊的硬件端口。
11.2015年10月20日:苹果公司表示,不应强制其解锁纽约毒品嫌疑人的iPhone
苹果向曼哈顿地区法院提交了一份不为人知的文件,强烈反对政府要求苹果帮助警方解锁一名犯罪嫌疑人的手机。这份文件预示着一场全球新闻事件的爆发。
苹果公司指出,1789年通过的《所有令状法案》(the All Writs Act)不适用,而且遵守该命令将为其他类型的要求确立先例。苹果公司表示,如果地方法官发布该命令,它将反对该命令。
12.2015年10月27日:白宫请愿奥巴马拒绝后门的签名超过了10万人
在科米这样的官员继续鼓吹加密后门的同时,一些主要的公民自由组织发起的一场请愿活动表明,公众可能会反对这种后门行动。
白宫网站上的请愿书敦促奥巴马公开反对强制访问加密数据。10月27日,请愿书的签名超过了10万人,因此有权得到政府的正式回应。
在一个多月后的最初回应中,白宫回避了这个实质性问题,只是承诺会见发起竞选活动的活动人士。
几天后,那次会议的与会者告诉记者,白宫准备在未来几周发表更多言论。一名高级政府官员承诺“很快会有更令人作呕的回应”,但截至本文撰写之时,这一回应尚未兑现。
13.2015年11月4日:英国政府出台《调查权力法案》
当美国人与他们的政府就加密政策展开辩论时,英国执政的保守党寻求扩大反恐力量,此举引发了争议,为英国的后门授权打开了大门。
《调查权力法案》在加密问题上的含糊其辞立即招致了苹果和其他科技公司的嘲笑。几个议会委员会还建议内政部澄清它对科技公司的期望。
在互联网日报3月31日的一份声明中,内政部发言人拒绝了该法案设立后门的说法,声明写到:“它维护了现有的电信公司协助执行搜查令的义务,这一搜查令只能在必要和适当的时候发出”。
当然,为了遵守针对加密数据的搜查令,公司需要设计加密来促进合规——这就相当于为无法破解的加密设置了一个后门。
14.2015年11月13日:恐怖分子在巴黎杀害了130人
巴黎及其附近郊区的一个体育场、一家餐馆、一家剧院发生了连环自杀式爆炸和枪击事件,法国进入了国家紧急状态,政府自二战以来首次发布了宵禁。随着伊斯兰国宣布对这一2004年马德里火车爆炸案以来欧盟最致命的袭击负责,西方国家准备在国内迎接伊斯兰国激发的新一波极端主义。
美国官员几乎立刻就开始提议赋予新的监视权力,包括加密后门,以帮助在极端分子发动袭击之前抓住他们。前情报机构负责人和众议院国土安全委员会负责人认为,无法破解的加密技术增加了攻击成功的可能性。
在接下来的几个月里,加密恐慌有时掩盖了事实。许多媒体报道了一款名为“阿拉维”的伊斯兰国加密通讯应用,牢不可破的加密为科米和其他反对者提出的说法提供了素材。但互联网日报报道称,这款应用是假的;而声称要发送和接收加密信息的Android应用程序文件却并未这样做。
15.2015年11月17日:国会开始考虑加密
在巴黎袭击事件发生四天后,美国委员会主席首次承诺对加密技术进行检查。
北卡罗来纳州共和党人、参议院情报委员会主席理查德·伯尔和参议院军事委员会主席、亚利桑那州共和党人约翰·麦凯恩都承诺研究这个问题。麦凯恩称,企业提供无法破解的加密服务的能力是“不可接受的”。
六天后,众议院国土安全与情报委员会的负责人也承诺,将调查无法破解的加密技术是否构成国家安全威胁。
16.2015年12月2日:圣贝纳迪诺枪击案
这是10年来美联邦遭受的最致命的恐怖袭击,当时两名受ISIS启发的圣战份子在加州圣贝纳迪诺一家医疗中心开枪打死14人,这是自2001年9月11日以来美国本土遭受的最致命的恐怖袭击。
七天后,在参议院情报委员会与主要情报机构负责人举行的听证会上,科米透露,联邦调查局无法访问现已死亡的枪手之一赛义德·里兹万·法鲁克使用的iPhone。
17.2015年12月9日:参议院情报委员会领导人宣布了秘密法案的计划
就在科米首次公开提到法鲁克那部iPhone的几个小时前,参议院情报委员会民主党领袖、加利福尼亚州民主党参议员黛安·范斯坦宣布,她和委员会主席伯尔正在起草一项法案,以确保调查人员能够读取加密数据。
“今天的信息系统通常设计成公司自己的开发者无法获取加密内容——令人担忧的是,即使是在法庭命令的逼迫下,他们也无法获取加密内容,”伯尔在12月23日的《华尔街日报》专栏中写道,“是时候更新法律了。”
18.2015年12月17日:防火墙制造商在其代码中披露了可能的后门
在NIST要求各公司停止使用Dual_EC随机数生成器加密将近两年后,瞻博网络宣布在其运行在NetScreen防火墙上的ScreenOS软件的几个版本中发现了“未经授权的代码”。
几天后,安全研究人员透露,该代码是基于Dual_EC的,这是NIST的伪随机数生成器,美国国家安全局通过一个后门秘密破坏了它。
2013年,瞻博网络为其继续使用Dual_EC的决定进行了辩护——尽管它的弱点被揭露——称它已经将Dual_EC在防火墙软件中与一个更强大的数字生成器配对。但研究人员发现,在漏洞公开曝光一年多后,瞻博网络实际上已经将Dual_EC添加到代码中。
2016年1月,瞻博网络删除了Dual_EC并升级了ScreenOS的安全系统,但该事件的后果为加密漏洞的危险性提供了一个研究案例。众议院监督委员会开始调查是否所有联邦机构都使用过瞻博网络的防火墙,这增加了一种可能性,即国安局通过其加密后门将联邦政府暴露在黑客手中。
19.2015年12月23日:中国称其新加密政策是参照美国法律制定的
中国最近通过的反恐法也因此招致了强烈批评,但北京强调,它只是在跟随美国的做法。中国外交部发言人洪磊对路透社表示,政府的法律部分借鉴了美国的《通信协助执法法案》,该法律规定对互联网和电话供应商网络进行窃听。“在制定这部法律时,”洪磊说,“我们参考了包括美国在内的其他国家的法律。”
中国政府以这种方式进一步巩固对科技公司的控制,反映了加密和技术决策的全球性,以及美国政府未来破坏加密的行动可能会扩散到海外的可能性。
20.2015年12月27日:立法者公布了关于加密委员会的两党提案
随着新年的临近,美参议员马克·华纳(弗吉尼亚州民主党)和众议员迈克尔·麦考尔(德克萨斯州共和党)在《华盛顿邮报》发表了一篇专栏文章,宣布他们打算成立一个委员会来研究加密等数字安全问题。
2月29日公布的授权法案提议由16名成员组成,该委员会包括来自八个领域各一名共和党和一名民主党的任命人员。
当华纳和麦考尔开始宣布共同赞助他们的努力时,公民自由主义者谴责该委员会是一个骗局,不太可能产生一个技术上严肃或政治上有风险的解决方案,比如禁止后门。
21.2016年1月4日:荷兰成为第一个正式拒绝后门的国家
“政府认为,目前在荷兰采取法律措施反对加密技术的发展、可用性和使用是不可取的。”
荷兰首相马克•吕特领导的政府是第一个反对加密后门的国家政府。
22.2016年1月12日:法国议员考虑后门提案
法国立法机构曾一度考虑给政府广泛的反恐权力增加一项后门授权。保守派代表莫里塞和他的17名支持者在法国“数字共和国”法案上增加了一项修正案,要求科技公司在设计自己的系统时,能够以可读的形式提供加密数据。
两天后,当法国国务卿将后门描述为“故意设计的脆弱性”、“不恰当的”和“不是正确的解决方案”时,这一努力以失败告终。
23.2016年1月21日:美国州议员提议禁止不可破解的加密
加利福尼亚和纽约是最先考虑使用后门的两个州,当这两州立法者提出法案禁止不可破解的加密时。纽约的提案将恐怖主义列为需要立法予以应对的威胁,而加州的提案则提到了人口贩运。
24.2016年1月28日:资深共和党参议员认为后门是错误的方法
参议院国土安全委员会主席罗恩·约翰逊(威斯康辛州共和党人)在批评“后门”使用与公民自由主义者和密码学家相同的论点时,打破了党内的正统观念。约翰逊指出,美国的法律会将犯罪分子推到外国制造的平台上,他建议,在恐怖袭击后,美国人应警惕立法部门“匆忙做出判断”。更引人注目的是,他表示,对“后门”的支持来自于“不了解问题的复杂性”。
25.2016年2月1日:研究问题“变暗”的程度
哈佛大学伯克曼互联网与社会中心的计算机安全专家进行了一项研究,解释了人们对加密革命的担忧被夸大的原因,从而削弱了联邦调查局“变暗”的说法。他们的发现包括:无法破解的加密技术不太可能成为常态;元数据不加密;不断增长的物联网一直在产生新的未加密的行为和生物数据池。
26.2016年2月1日:马萨诸塞州法官秘密命令苹果公司帮助警察访问iPhone
地方法官玛丽安·鲍勒要求苹果公司帮助马萨诸塞州警方获取一项指控的数据,这一意见直到4月8日才公开,即通过提供“合理的技术援助”来获取黑帮成员的iPhone。该命令没有要求苹果解锁设备或解密任何加密数据。
在发布的裁判文书中,此案的大部分细节仍不为人知,因为许多法庭文件仍处于密封状态。
27.2016年2月10日:众议院议员提出了一项法案,以防止国家加密禁令
作为对加州和纽约努力的回应,加州民主党众议员刘云平提出了一项法案,禁止各州对公司可以使用的加密方式进行监管。该法案称,任何一个州都不能要求一家公司“有能力解密,或以其他方式呈现其被加密产品或服务,或以其他方式呈现无法了解的信息”。
28.2016年2月11日:研究对禁止不可破解加密的能力提出了质疑
反对加密后门的人经常声称,美国法律——或者任何国家或地区的法律——只会把罪犯和恐怖分子推向其他地方创造的产品和服务。安全专家布鲁斯·施奈尔和另外两名研究人员发表了一篇题为“全球加密产品调查”的论文,为这一论点提供了学术可信性。该论文确定了546种在美国以外生产的加密产品。
该研究警告称,美国政府无法仅凭一己之力控制全球加密环境。
29.2016年2月16日:圣贝纳迪诺iPhone法庭之争爆发
在2月的一个星期二傍晚,加州河滨市的一名法官命令苹果公司编写一个定制版的iOS移动操作系统,该系统将禁用运行iOS 9的iPhone 5c的几个安全功能。
这是圣贝纳迪诺枪击案凶手赛义德·里兹万·法鲁克手机的硬件和软件配置,科米的特工无法访问的那部手机。
联邦调查局想让人们猜测手机的密码,当他们找到正确的密码时,手机就会被解锁。但要做到这一点,苹果需要推翻自动删除功能,其中包括猜测10次错误密码后自动删除iPhone的功能。
地方法官雪莉·皮姆的判决是基于《所有令状法案》做出的。苹果公司已经表示,《所有令状法案》不适用于纽约的毒品案。然而,与她在曼哈顿的同事不同的是,皮姆很快就接受了司法部在这起备受指责的恐怖主义调查中的论点,并批准了司法部提出的《所有令状法》命令的请求。
苹果首席执行官蒂姆·库克在一封致客户的信中承诺,苹果公司将反对这一命令,苹果的律师很快提交了一份措辞严厉的简报,敦促皮姆撤销她的命令。但甚至在苹果公司提交诉状之前,司法部罕见地以库克的信件为基础,抢先提出了一项动议,要求维持对苹果公司的裁决。战斗开始了。
法庭之争开始后几周的民意调查结果喜忧参半,两项调查支持苹果,一项支持联邦调查局。其中一项调查显示,苹果获得了更大的支持,55%的受访者表示,他们认为政府是在寻求“监视iPhone用户”的法律先例。的确,在美国各地,苹果公司就解锁iPhone的问题打了至少九场官司。
30.2016年2月29日:纽约法官否认政府要求解锁iPhone的请求
随着圣贝纳迪诺之战进入第二周,纽约毒品案的地方法官詹姆斯·奥伦斯坦否决了司法部提出的《所有令状法》命令的动议。
奥伦斯坦在解释他的理由时写道:“国会已经考虑过能达到(与请求的命令)相同结果的立法,但还没有采纳。”这指的是两件事:一是1994年的《通信协助执法法案》豁免了苹果等公司提供政府要求的那种援助;事实上,议员们最近就后门授权进行了辩论,但拒绝进一步推进。
政府就奥伦斯坦的判决向他所在的地方法院的另一名法官提出上诉,截至撰写此文时,上诉仍在进行。
31.2016年3月1日:苹果对圣贝纳迪诺法院命令提起上诉
苹果正式对皮姆法官的裁决提出上诉,并要求她所在地区法院的另一名法官进行复审。司法部很快以另一份简报回应,敦促法院不要这样做。然后,就在双方准备在皮姆的法庭上作证的前一周,苹果在最后一份简报中重申了自己的立场,并指责政府的做法是“一厢情愿的做法,而非法律解释”。
苹果用了几个理由来支持自己对该命令的否决:《通信协助执法法案》对苹果等公司的豁免表明,国会不想强迫它设计有利于窃听的加密;编写所要求的软件将构成重大的技术和后勤负担;强迫工程师破坏他们自己的代码违反了第一修正案;要求公司协助执行搜查令的法律不包括编写新代码;而具有里程碑意义的《所有令状法案》案所建立的测试,在本案中并没有恰当地涵盖苹果。
该公司还警告法庭,如果它被迫编写这段代码,就会创造一个先例,允许法庭其他地方的另一名法官强制编写更阴险的代码,比如远程激活Mac网络摄像头的监视恶意软件。
32.2016年3月1日:圣贝纳迪诺之战成为国会的焦点
苹果和联邦调查局的争斗一经爆发,议员们就开始发表意见,但直到3月1日众议院司法委员会举行听证会时,国会才请科米和苹果首席律师就此事进行了马拉松式的证词。
议员们时而就圣贝纳迪诺案的令人不安的后果盘问科米,时而赞扬他根据意识形态倾向和技术专长,处理了一家顽固的、圣洁的科技公司。
与此同时,国会两名最热心的隐私倡导者,参议员罗恩·怀登(来自俄勒冈州)和众议员佐伊·洛夫格伦(来自加利福尼亚州)承诺将利用这次法律对决的机会,向其他议员传授加密技术。
33.2016年3月3日:硅谷在圣贝纳迪诺法庭上支持苹果,但也支持其他科技公司保持沉默
在与圣贝纳迪诺法院命令的斗争中,苹果召集了一个多元化的支持者联盟,其中包括Facebook和Twitter等社交媒体公司;代表谷歌和微软等硅谷巨头的团体;还有一些公民自由组织。但苹果在智能手机和电脑领域的硬件竞争对手保持沉默。互联网日报联系了这些行业的所有主要参与者,但他们都没有就这个问题发表评论。
34.2016年3月3日:执法团体在圣贝纳迪诺法庭上支持政府
在科技公司争相拥抱苹果的时候,批评苹果的人并没有袖手旁观。随着法庭之友陈述的最后期限临近,联邦执法官员协会和国家治安官协会等主要国家执法组织提交了支持司法部的陈述。
在纽约市,曼哈顿地区检察官和纽约警察局副局长抨击苹果拒绝提供帮助。地方检察官赛勒斯万斯曾多次批评该公司在他的案件中没有帮助纽约警方解锁手机,称他持有100多部无法访问的此类手机。
一些圣贝纳迪诺枪击案遇难者的亲属——但不是全部——也站在政府一边。
35.2016年3月13日:圣贝纳迪诺iPhone论战《上周今夜秀》
如今,对一个问题的主流影响力的检验是它是否能在约翰·奥利弗的HBO深夜秀《上周今夜秀》中占据主要部分。
在紧张气氛高涨、错误信息泛滥的情况下,这位《每日秀》的前主持人对这场激烈的辩论点头表示同意,用他标志性的幽默方式对加密进行了处理,并在最后配上了一则虚假的苹果广告,广告中,工程师们拼命试图阻止不断刺穿他们软件防御系统的攻击者。
36.2016年3月21日:司法部表示,第三方已经可能一步解锁圣贝纳迪诺的iPhone
前一天,政府和苹果在加州法庭就圣贝纳迪诺案件涉及的iPhone对质,奥巴马政府的律师告诉法官,第三方已经向他们提出另一个解锁的方法,可能呈现请求争议,需要推迟听证会。
当联邦调查局特工测试这种方法时,安全专家猜测它可能涉及的内容:NAND闪存镜像,即设备的闪存被复制到外部源上,这样每次10 次错误的密码猜测触发设备擦除时,闪存就可以重新加载。
37.2016年3月28日:司法部访问了圣贝纳迪诺的iPhone,并放弃了对法院命令的要求
在披露第三方技术存在的一周后,在获得初步法庭命令的41天后,司法部告诉法庭,它已经进入了圣贝纳迪诺枪击案凶手的iPhone,并要求法官撤销她的命令。美国历史上最著名的加密司法之争在法庭上就结束了。
38.2016年3月28日:美国联邦调查局在圣贝纳迪诺事件后首次收到当地警方请求解锁一部iPhone手机的请求
就在司法部放弃与苹果公司法庭之战的同一天,阿肯色州警方请求联邦调查局帮助访问两名因涉嫌双重谋杀而被捕的青少年使用的一部iPhone和一部iPad。
而科米后来透露,第三方技术的使用限制在iPhone 5c的范围,这提醒人们,当地警方经常请联邦政府的同事帮助解锁设备,这让圣贝纳迪诺事件变成了一种新的安全对话。
39.2016年3月31日:辩论转向漏洞披露
随着圣贝纳迪诺之战尘埃落定,安全工程师——尤其是无限循环的安全工程师——开始处理一个令人不安的事实:有人向美国政府提供了一个此前不为人知的iPhone漏洞。现在的问题是,政府会告诉苹果公司这个问题,让公司去解决它吗?
有几个因素对这一结果不利。首先,据路透社报道,政府并不拥有这项技术——它只是购买了使用这项技术的能力——所以它不能将该漏洞提交给白宫——协调披露审查程序。另一个问题是联邦调查局已经将其设计的漏洞用于手机的工具分类,限制了政府公开谈论它的能力。
安全专家和技术专家立即呼吁披露这一漏洞,称修复苹果这一可能危及大量客户的漏洞所带来的利益,超过了保留该漏洞以便政府能开展偶尔调查所带来的利益。
40.2016年4月5日:拥有10亿用户的WhatsApp部署端到端加密
Facebook广受欢迎的即时通讯服务WhatsApp在4月初通过端到端加密锁定了所有用户的通信。这一功能之前只适用于Android设备之间的通信。
莫西·马林斯派克帮助WhatsApp完成了这一过程,他曾帮助开发了爱德华·斯诺登批准的即时通讯应用Signal。
国会的反应很快,国家安全鹰派参议员汤姆·科顿(阿肯色州共和党)称此举是“公开邀请恐怖分子、毒贩和性犯罪者使用WhatsApp的服务来危害美国人民”。
41.2016年4月13日:参议员正式公布了强制削弱加密的法案
经过数月的猜测和几天对一份泄露草案的分析,参议员理查德·伯尔(北卡罗来纳州共和党)和黛安·范斯坦(加州民主党)正式提出了他们的法案,要求公司以“可理解”的格式向当局提供加密的用户数据,或者提供任何必要的帮助使其可读。
安全专家立即对该法案进行了抨击,称其为《2016年遵守法院命令法案》。宾夕法尼亚大学教授马特•布雷兹表示,这种芯片比美国国家安全局的后门设备Clipper芯片更糟糕。他在上世纪90年代曝光了Clipper芯片的重大缺陷,导致克林顿政府终止了在消费科技领域强制使用该芯片的计划。
科技公司仍对该法案保持沉默,但代表它们的贸易团体没有退缩。互联网协会表示,这将“危害国家安全,并将美国人置于危险之中。”“政府监督改革”——其成员包括苹果、Facebook、微软和twitter——在一封致伯尔和范斯坦的信上签了名,警告其“意想不到的负面后果”。
与此同时,主要的执法团体迅速通过了该法案,对参议员们为保护当局获取证据所做的努力表示赞赏。
42.2016年4月19日:圣贝纳迪诺iPhone搜索引擎上线
有官员告诉CNN,联邦调查局特工在搜查赛义德·里兹万·法鲁克的iPhone时,没有发现任何证据表明他在之前无法解释的18分钟内与其他恐怖分子有过联系。
官员们称,这个虎头蛇尾的结果证明,他们想要接触这部手机的愿望是正确的,并表示,他们现在可以考虑涉及未知第三方的情况,这些情况他们以前无法排除。
据美国有线电视新闻网报道,这款手机确实包含了其他以前无法获取的数据,这些数据“仍在分析中”。
43.2016年4月19日:执法官员努力掌握加密技术的现实
众议院能源和商业委员会的加密听证会是一项对比研究。技术专家描述了加密技术的基本数学现实,以及削弱加密技术的尝试是徒劳和不明智的,而代表警方的证人则笨手笨脚地用奇怪和令人担忧的技术类比来证明自己的观点。
一名目击者对削弱加密的安全影响不以为然,他表示,科技公司仍然可以通过“防火墙”保护用户的数据。他后来表示,企业能够以安全的方式从单个设备上移除加密,因为它们是在自己的防火墙内进行的,他把这比作在锁上银行的门后打开保险箱。
这些所有有关的争论让那些观看并出席听证会的密码学家们感到困惑。曾帮助击败克林顿政府的Clipper芯片的宾夕法尼亚大学教授马特•布拉泽表示,有关防火墙的评论让他“困惑”。
44.2016年4月20日:英国执法官员证实了新的间谍法案将允许警察强制公司解密数据
英国国家犯罪署署长克里·法里蒙德证实了技术人员最担心的情况。他告诉国会议员,《调查权力法案》的一部分可能会被用来强制解密用户数据。该法案仍在辩论中。
根据该法案的第217和218条,收到“技术能力通知”的公司必须遵守这些通知,其中包括取消“应用于通信或数据的电子保护”的指令。
英国政府此前对《互联网日报》表示,“该法案并没有设置后门”,而是“维持了电信公司协助执行的现有义务”。
但是,考虑到遵守解密数据的要求等同于不使用不可破解的加密,该法案实际上会将不可破解的加密视为非法,产生与后门命令相同的效果。
45.2016年4月22日:第三方向司法部提交iPhone密码终结了又一场法律纠纷
在有人向当局提供了纽约毒品嫌疑人iPhone的密码后,美国政府放弃了对《所有令状法案》下达命令的请求。司法部不愿透露提供密码的个人身份。
政府于上周五晚间出人意料地提出上诉时,美国地方法院的一名法官正在复审政府对地方法官驳回其请求的裁决提出的上诉。
46.2016年4月25日:美国国家情报总监表示,斯诺登泄露的信息加速了对强大加密的采用
国家情报总监詹姆斯·克拉珀负责监督这17名成员,他说,对于那些负责拦截外国对手通讯的间谍来说,加密技术“不是一件好事”。
克拉珀在《基督教科学箴言报》的一次早餐会上表示:“斯诺登爆料的结果是,商业加密技术的出现加快了7年。”
克拉珀将这一发现归因于美国国家安全局的分析。
斯诺登是强力加密的坚定拥护者,他在推特上回应说:“在我被指控的所有事情中,这是我最自豪的一件。”
47.2016年4月27日:联邦调查局表示不会提交圣贝纳迪诺iPhone漏洞给政府审查委员会
美国联邦调查局宣布,它不会向白宫管理的审查程序提交能够访问赛义德·里兹万·法鲁克iPhone的工具,因为它对该工具的工作原理了解不够。
美国联邦调查局的科技、行政助理主任艾米·赫斯在一份声明中说,联邦调查局已经能够使用工具而不是购买“技术细节”。
隐私维权人士和技术专家一直在敦促美国联邦调查局将该工具提交给政府的漏洞公平裁决程序(Vulnerability Equities Process,简称为VEP)。该程序正在权衡是否向科技公司通报警方和间谍用来侵入其产品的漏洞。
许多观察人士认为,漏洞公平裁决程序审查存在缺陷,因为它们对国家安全专业人士反对信息披露的论点给予了压倒性的支持。但这些观察人士仍希望,这个过程可能会让政府告知苹果圣贝纳迪诺技术存在的缺陷。
联邦调查局的结论是,它缺乏进行彻底的VEP审查所必需的信息,这意味着苹果可能永远也不会知道是什么软件或硬件缺陷让该机构能够渗透法鲁克iPhone设备的安全。
这一时间表将随着新的加密战争的进展而更新。
本期作者:李元元,朱莉欣
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
