近期,加密技术的部署又显现出迅速增加的趋势。虽然密码的泛在化应用推动了安全和隐私方面的创新,但这些进步某些程度上与政府数据访问方面的要求并不具有一致性。近几年最典型案例就是美国圣贝纳迪诺案件,再次将加密数据例外访问的争论推到大众视野。实际上,关于加密的争论并不新鲜,从20世纪90年代开始的“密码战争”就备受瞩目,尽管最终以加密技术支持者获胜而暂时告一段落,但核心问题并未真正解决。最近关于加密数据的例外访问再次引发关于密码学的争论就是历史遗留问题的具体表现。此间,关于例外访问的政策再次被提及。要推进加密例外访问的辩论取得实质性进展,无法避开的问题就是要首先了解加密技术应用的三个场景:云中的数据、传输中的数据和终端设备上的数据。厘清三者之间的细微差别,以及仔细评估加密技术、加密的使用以及例外访问加密数据导致的风险,是政策制定者必须要明确的关键事项。
该报告指出,仅从加密需求和执法需求的角度出发都具有主观性和片面性,更优的选择是从风险角度出发,客观分析例外访问带来的可能性风险以及风险等级,以此作为政策依据更具有科学性和说服力。报告第一部分介绍加密技术相关概念与背景,以期形成讨论的框架。第二部分为例外访问的探讨提出了一个新的框架,重点关注例外访问对加密三种实现方式产生的破坏性。第三、四、五部分分别将此框架应用于云中数据、传输中的数据和终端上静止的数据,具体分析每一环境下例外访问带来的破坏性。第六部分基于破坏性分析展望了例外访问辩论将来的可能性结果。
一、什么是加密和例外访问
(一)加密
加密是一种将可读数据(称为“明文”)“扰乱”为不可读密文的方法。“密钥”是实现“置乱”数据。对数据进行加密时,必须确保密钥只与被允许解密该数据的个人共享。对于传输中的数据进行加密,需要通信双方知道一个共享的密钥,以便双方可以对彼此的通信进行加密和解密。这样使用共享密钥对传输中的数据进行加密通常被称为“对称加密”。使用对称加密的主要风险之一就是双方必须拥有安全交换私钥的方法。纵观密码学发展史,要想完全规避第三人的知悉是很难实现的,因此就有了“非对称加密”,即每一方都有一个公钥和一个私钥。
(二)例外访问
例外访问是指允许个人或组织(通常指政府)访问某些加密的数据,一般是通过以下方式实现:密钥托管、密钥生成漏洞、暴力攻击或 “零日”漏洞。对于密钥托管,对通信使用私钥来加密,但密钥存储在托管机构,当政府有需要时可从密钥托管机构获得密钥并对数据进行解密。密钥生成漏洞,是指在密钥生成过程中引入漏洞。密码学中几乎所有的密钥生成都依赖于伪随机数生成器,根据该方案,应当允许政府对随机数生成器进行复制。暴力攻击,是指通过诸如猜测密码的方式,直到获得正确的密钥,从而绕过加密保护,能否成功主要取决于密码的长度和复杂性以及密码系统的设计。零日漏洞,是指尚未暴露或修补的漏洞。在圣贝纳迪诺枪击案中FBI就是通过这种方式访问凶手iPhone。然而,使用零日漏洞可能并不是执法机构和情报部门日常行动的实用性解决方案。例如,上述圣贝纳迪诺案件中的零日漏洞就花费了超过130万美元,且可能无法在不同版本iOS系统或不同硬件的手机上使用。
二、例外访问的进展与尝试
第一次“加密战争”涉及一种名为“Clipper Chip”的设备。1993年,随着加密技术从军事和政府用途过渡到消费者和企业,政府担心会被排除在重要通信之外。为此,美国国家安全局设计了一种小型计算机芯片,其中包含一个政府主密钥,可以在法律允许的情况下访问加密通信。由于担心clipper芯片的安全影响、对密码学创新的影响以及对隐私的影响,这种密钥托管制度遭到了公民自由主义者和技术专家的强烈批评,导致提案最终夭折。
2016年《遵守法院命令法案》(The Compliance with Court Orders Act)要求公司以“可理解的格式”向政府提供“信息或数据”,或提供“获取此类信息或数据所需的技术援助”。由于该法案提案并未区分不同形式的加密,使其规定过于宽泛,因而遭到行业和团体的强烈抵制,最终未能通过。
(一)法律领域的加密
1994年《通信协助执法法》(The Communications Assistance for Law Enforcement Act,CALEA)要求电信运营商确保政府在获得合法授权的情况下可以拦截有线和电子通信。2005年,CALEA扩展到网络电话(VoIP)服务,但同时也明确指出,电信运营商“不负责解密或确保政府有能力解密用户加密的通信,除非加密是由运营商提供的且运营商拥有解密通信所需的信息。”
此后,加密开始注重以网络安全最佳实践为重点的监管框架。虽然对监管框架的要求并非总是明确的,但联邦贸易委员会(FTC)等机构在实践中发现,安全措施不合理的情况下多数是因为缺乏密码利用。此外,州立法机构也将加密视为防止数据泄露的重要保障措施,甚至许多州将“安全港”纳入数据泄露通知要求。再后来,法院承认消费者电子设备上个人信息应当收到保护。然而从实际情况来看,许多未决案件再次表明,当关键证据被加密锁定时执法部门将面临诸多风险。
(二)加密背后的文化之战
在这场争论中,技术界和法律/政策界之间的斗争不容忽视。从根本上讲,这两个群体是从截然不同的角度看待加密和政府对数据的访问。技术专家将技术和创新视为进步的关键,其认为计算机代码应该编写为无漏洞和安全的,加密中的任何漏洞都违背了推动技术前进的基本原则——创新。而例外访问要求技术人员放弃这一进步,让产品的安全性低于当前技术所允许的范围,这是完全没有说服力的。而执法机构和情报部门的态度完全相反,他们理解加密对计算机安全的重要性,但也强调加密技术的持续扩散将导致未来无法获取关键证据和情报,这种担心被称为“走向黑暗”(going dark)。从这个角度来看,这种平衡也是保护社会和国家安全所必需的。对于执法者来说,圣贝纳迪诺案件只是冰山一角,尽管这次有权访问嫌疑人设备上的数据,但越来越多的设备变得无法访问。因此,他们认为加密的理由可能被夸大和误导了,与缺乏证据和情报带来的社会成本增加相比,对数据安全的担忧可能不值一提。
(三)更好的前进道路:三个方面的例外访问
与其试图解决所有加密问题,不如有针对性地提出建议。基于加密三种截然不同的部署环境,政策制定者应该认识到通过实施不同的加密方式可能会带来不同的技术、激励和风险。因此,本文建议将加密例外访问的“破坏性”聚焦于比较云、传输中和终端中例外访问,着眼于不同环境中的特殊性,否则相关提案可能缺乏明确针对性,并产生技术上不可行的结果。
1.加密的使用范围
破坏性的第一个因素考察了特定场景中加密使用的普遍程度,这不仅要注意加密的当前使用情况,还要关注未来的趋势。
2.例外访问的风险
对特定加密环境下例外访问风险进行评估时,有四个关键要素需考量:
(1)在这种情况下,面临哪些威胁?
(2)加密如何应对这些威胁?
(3)例外访问会破坏这些保护吗?
(4)加密的替代方案也能应对威胁吗?
该框架为不同场景下的加密提供了通用的分析思路,如果有加密的替代方案可以提供类似水平的保护,那么例外访问造成的破坏性可能就是有限的。
(四)破坏性的含义
“破坏性”是一个宽泛的衡量标准,可以理解为加密在特定环境中的使用程度,以及在该环境中与例外访问相关的风险。在对破坏性有了清晰认识后,破坏性会带来什么影响就是下一步需要考虑的问题。一般来说,破坏性必须与三种加密环境中对例外访问的需求相平衡。
破坏性可以分为低中高三个等级。在例外访问具有高度破坏性的情况下,例外访问造成的成本(金钱、安全、公众认知、隐私等)可能会超过产生的益处,因此应谨慎实施例外访问;在破坏性较低或中等的情况下,既能实现执法目的,同时还能保护计算机系统安全,因此更有可能达成妥协。
三、云中加密
对于云来说,加密技术的采用是有限的,但至少可以有效地保护云系统。因此,该环境下例外访问造成的破坏性介于低和中等之间。
(一)云技术和部署模型
根据美国NIST的定义,云计算是一种基于互联网的服务,用户可以访问软件、资源,以及存储在其他地方并由其他人管理的信息。然而,云的确切技术实现取决于云服务提供商的部署模型,具体包括四类:私有云、社区云、公共云和混合云。除了公共云模型之外,其他模型都可以允许云服务的用户管理自己的服务器,因此用户能够控制密钥。然而实际情况是,许多云服务依赖于第三方服务器,数据的控制权在云服务提供商而非用户自己。
(二)加密在云中的有限使用
云计算在加密技术应用方面进展缓慢,这可能是基于在没有备份密钥的情况下对数据进行加密具有一定风险,因为如果云服务提供商在没有例外访问协议的情况下对数据进行加密,一旦用户忘记密码,则用户将无法访问数据。此外,对于云上数据访问带来的价值也可能限制加密技术的部署。然而,随着云服务提供商网络安全措施的日益增强,这些担忧逐渐被打消。
1.云商业模式解密加密
许多云服务(特别是免费的服务)都会将用户数据货币化,而这种货币化基本要求就是企业能够访问存储在其服务器上的数据,这就可能会抑制加密的使用。SkyHigh Networks 2015年7月的一项研究分析了12000家云服务提供商,其中只有9.4%的数据在服务器上被加密,未实施加密的公司包括Facebook、Twitter、LinkedIn、Gmail、PayPal和eBay。在云中使用加密的另一个障碍是数据的创建者在搜索和使用加密数据时面临的困难,即当数据被加密时,搜索和索引数据的难度显著增加。
2.安全和监管激励措施可能刺激加密部署
数据泄露除了对隐私造成威胁外,还带来了巨大的经济成本。一项研究显示,2016年美国数据泄露的平均综合总成本为701万美元,为此企业也开始将加密视为限制风险的一种手段。一方面,对于数据窃取者而言,窃取加密数据的难度要高于非加密数据;另一方面,即使加密数据被盗,个人信息被泄露的可能性也较低。因此,监管部门鼓励企业对存储在服务器上的数据进行加密。另外,美国大多数州都有特定的数据泄露通知规定,要求企业向数据泄露涉及的利益各方发送通知,但几乎所有州和地区都有加密安全港的规定,因此,已经适当加密被盗数据的公司可能不受该通知要求的约束。
(三)互联网风险加剧
由于云系统往往高度互联且复杂,导致存储在云中的数据会受到更大的安全风险和攻击。
1.外部攻击在大型攻击面加持下产生的风险
云服务的连接和复杂程度越高,潜在漏洞出现和被利用的途径就越多,这些攻击途径被称为系统的“攻击面”。由于云系统不断与大量设备通信,在各种服务器上存储和分析信息,并依赖大量外部设备和系统进行分析和数据管理,因此这些系统的攻击面可能是巨大的。
2.加密保护可以避免某些外部威胁
加密不一定会减少攻击者能够利用的攻击面,也不能从根本上阻止攻击的发生,但可以大大降低数据盗窃带来的风险。但这也并非一定安全,一方面,以加密格式存储数据,攻击者也可以通过一些方法访问未加密的数据;另一方面,即使数据被加密,但内部人员实施的数据盗窃也不可能被完全阻止。
3.例外访问侵蚀安全和信任
在云环境中对加密的例外访问很大程度上破坏了加密提供的安全保护,因为例外访问需要以政府能够访问的方式存储密钥,因此外部攻击者也可以访问密钥。例外访问还可能对云的信任产生极大的负面影响,如果用户和公司意识到这些例外访问可能带来的安全风险,可能会避开在云中存储私人信息。
4.尚不清楚是否存在有效的加密替代方案
作为替代方案之一的入侵检测系统(监控进出服务器流量的系统)可以监视可疑行为并抵御外部威胁,但这些系统在检测恶意行为和防止攻击方面并不是100%有效。
(四)低至中等破坏性
基于这些考虑,云中的例外访问可能会产生低到中等程度的破坏性影响。加密是减少数据泄露影响的最有效方案之一,然而,加密技术本身可能与云数据提供商的商业利益相悖(如前所述,云数据提供商希望快速且高效地访问数据并将其货币化)。就目前现状而言,由于加密尚未得到广泛部署,货币化的利益趋势似乎正在战胜云安全。
四、传输中数据的加密
对于传输中的数据而言,加密的广泛使用造成攻击风险越来越大,最终导致了高度的破坏性。
(一)数据传输技术
在实践中,传输中数据的最常见加密形式是SSL/TLS。SSL使用Diffie-Hellman密钥交换协议的变体,为双方提供用于通信的共享私钥,允许通信方建立加密通信线路。SSL还包括各种协议,足以确保通过使用证书进行身份验证。基于部署在HTTPS协议中的SSL,网站可以对从服务器发送到互联网浏览器的数据进行加密。
(二)跨平台加密的广泛使用
加密允许各方通过互联网进行安全通信,鉴于互联网的开放结构,加密就显得更为重要。目前,对于广泛部署的传输数据进行加密已经有大量的激励措施。除了加密自身的安全优势外,法规和标准也要求公司对传输中的数据进行加密,例如,Gramm-Leach-Bliley法案对银行和金融服务业提出了保护消费者数据的要求,为此公司有义务“尊重消费者的隐私”,并“保护消费者非公开个人信息的安全性和机密性”。
(三)在没有可行替代方案情况下风险的增加
传输中的数据极有可能会被拦截,加密就是为了防止拦截。而且,除了加密之外,几乎没有什么可靠的替代方案可以应对拦截风险。
1.中间人攻击给数据安全带来风险
SSL/TLS加密中的漏洞已显示出潜在的危害。例如,“心脏出血”漏洞影响了在web服务器上操作的SSL/TLS的OpenSSL实现,导致消费者的信任受到了侵蚀。2014年的一项研究表明,在心脏出血漏洞后39%的受访者通过更改密码或取消账户等方式来保护自己的账户和信息,29%的受访者认为他们的个人信息因该漏洞而面临风险。
2.加密在降低风险方面是有效的
加密如果实施得当,可以有效地防止中间人的攻击。当数据被加密时,任何窃听者都无法读取该数据的内容,从而保护了通信的机密性。如果长会话密钥是保密的,并且加密算法足够强大,那么攻击者要想从传输中的加密数据中获得明文在理论上是不可行的。
3.例外访问可能会削弱加密的有效性并阻碍创新
如果要对SSL/TLS等现有技术进行例外访问,就要对传输中数据加密的基础技术进行根本性的更改。密钥交换协议旨在保护密钥的机密性,如果协议必须允许例外访问,则密钥交换协议中必须存在漏洞,这就存在攻击者能够访问密钥的可能性,或者持有“主密钥”进行解密。而上述任何一种要求都会从根本上破坏现有SSL/TLS框架的安全性。
除了传输中例外访问数据造成的技术风险外,公众对安全通信渠道的信任也有可能产生寒蝉效应。如果消费者知道加密协议中集成了安全漏洞,那么对在线通信安全性本已有限的信任可能会进一步削弱,还可能限制对传输中数据加密技术的创新。
4.目前没有可行的替代方案
在没有SSL/TLS加密的情况下,中间人攻击就很难被检测到。在SSL中创建漏洞通常会阻碍诸如身份验证等功能的实现。而当前许多攻击检测方案都依赖于查找伪造的SSL证书,如果不使用SSL,则这些攻击检测方案将无法正常运行。
(四)高破坏性
对传输中的数据进行例外访问可能会破坏金融交易、VPN、关键基础设施系统的远程管理、个人通信、健康通信和登录信息的安全,而消费者对这些通信的信任可能也会(理所当然地)削弱。此外,这种类型的加密已然被广泛采用,并且还没有可行的安全方案来替代。考虑到这些因素,强制要求例外访问似乎是一个极具破坏性的提议。
随着联邦贸易委员会等机构推动企业更好地保护数据安全并实施基于加密的安全措施,如若实施例外访问将带来新的风险,因此,对例外访问的强制要求与加密的主流监管发展趋势也不一致。
五、终端加密
对于终端加密而言,尽管加密的使用非常有限,但有许多替代方案可以充分保护存储在终端设备上的数据。
(一)终端加密技术
终端数据可以在设备层面或文件层面进行加密,加密的方式也会影响加密的强度,并有效限制暴力攻击。
1.设备与文件的加密
终端加密可以加密整个硬盘(全磁盘加密),也可以加密硬盘中的单个文件或文件夹(部分磁盘加密),其加密的基本原理都是相同的,但不同的加密使用方法会导致例外访问所需的方法不同。当设备被锁定或断电时,可以应用全磁盘加密,或者可以在使用设备时实时操作。当设备在锁定时被加密时,可以使用硬件机制来加密驱动器。还有软件加密,即设备在锁定或启动时运行一个程序,允许对设备上的数据进行加密/解密。
2.限制暴力攻击的有效性
基于硬件的加密部署有效,这样就可以有效防止攻击者将设备中的数据提取到功能更强大的计算机上破解。例如,较新版本iPhone搭载一个名为“Secure Enclave”的集成密码处理器,该密码处理器包含一个与设备绑定的唯一编号(称为“唯一标识符”(UID)),与用户的密码相结合生成加密或解密iPhone数据的密钥。而该UID在Secure Enclave之外无法访问,这意味着任何派生加密密钥的尝试都必须通过Secure Enclave完成。由于所有的密码猜测尝试都必须通过Secure Enclave,因此在连续的错误猜测之后,苹果能够将各种延迟功能集成到Secure Enclave中,并可以在某个时间点擦除手机数据。
(二)发展潜力的有限性
虽然目前加密在终端设备上没有得到充分利用,但技术创新正在为大众带来新的加密尝试。
1.消费类设备制造商正在使加密变得可能
企业正在通过让所有人都可以获取的设备级加密来应对日益增长的隐私需求。iPhone和Android手机都允许用户将加密集成到设备上现有的密码保护中。微软和苹果还将设备加密集成到了某些版本的计算机操作系统中。除了主要软件和硬件开发商提供的全磁盘加密外,许多程序还允许用户轻松实现对设备上特定文件和文件夹的加密。
2.依然有许多终端设备没有加密保护
2014年的一项研究现实,只有47%的智能手机用户使用PIN、密码或解锁模式设置了屏幕锁定。如果用户无法在他们的设备上实现加密,那么这与例外访问几乎没有什么区别。除此之外,企业的加密使用率也很低。2015年一项针对全球1700名IT决策者的调查显示,只有60%的组织用加密技术加密了笔记本电脑,只有29%的组织加密了智能手机或平板电脑。令人欣慰的是,90%的组织表示计划通过加密优化其数据保护方法,69%的组织计划在未来一到两年付诸实践。
(三)替代解决方案可以缓和例外访问风险
对于丢失或被盗的终端设备而言,加密可能不是确保数据安全的唯一方法,替代解决方案可能会在一定程度上限制例外访问带来的风险。
1.丢失或被盗的设备构成严重风险
2013年,140万部智能手机丢失,310万部被盗,由此可以看出,例外访问政策可能会对消费者数据的安全产生深远且广泛的影响。虽然例外访问方案的设计可能是为了最大限度地降低“主密钥”被释放的风险,但实际上没有办法确保例外访问只适用于合法的一方,并且无法保证永远不被第三方不当使用。这种风险可能会导致消费者对其设备的信任受到侵蚀。
2.加密可以将此风险降至最低
设备级加密会阻止对设备上所有数据的访问(除非用户自行输入密码)。除了保护数据外,这种强大的安全性还可以阻止设备被盗,因为如果盗窃者知道某个设备将被锁定且无法访问,那么窃取该设备几乎无利可图,因此,广泛部署的加密可以降低设备盗窃的可能性。
3.例外访问可能会降低安全性和使用效率
由于终端加密主要用于防止设备丢失或被盗,因此例外访问可能会损害丢失或被盗设备上数据的安全性。无论是通过某种“主密钥”还是通过规避设备加密保护的方法,例外访问都可能使窃取者访问本应安全的数据。莱利法院指出,“现代手机不仅仅一种技术便捷,其所包含和承载的一切,保留了许多美国人的生活秘密”。因此,例外访问可能会“永远改变”技术提供商和用户之间的关系。例外访问有可能还会对人们对待数据的方式产生寒蝉效应,即用户可能不愿意将个人信息存储在他们认为不安全的设备上。
4.加密的替代方案也可以缓解一些风险
虽然加密是保护终端设备的强大工具,但它并不是确保设备数据安全的唯一方法。例如,“查找我的iPhone”或“Android设备管理器”功能都允许用户远程查找、锁定和擦除连接到互联网的设备,而不需要加密的使用。此外,这些系统都是基于用户的Apple ID或Google帐户,而设备制造商也是可以访问这些帐户的(因此政府也具有合法访问权限)。但这些非加密系统要求设备必须连接到互联网才能有效运行,因此这些替代方案并不能完全取代加密为终端设备提供的安全优势。
(四)中等破坏性
综上所述,对终端设备的例外访问可能出现中等破坏性。无论例外访问可能在多大程度上产生新的漏洞,以及这些漏洞被积极利用的程度如何,强制对终端设备进行例外访问会存在风险这一点毋庸置疑。例外访问会在加密中产生新的漏洞,损害网络安全和公众对设备安全的感知,即使对数据实施加密也可能面临例外访问,因此丢失或被盗设备导致的数据盗窃可能会增加。
另一方面,加密的利用欠缺和加密替代品的存在有助于抵消例外访问带来的风险。加密保护的许多问题可以通过使用不妨碍政府访问数据的方法来减轻。尽管如今加密比以往任何时候都更容易部署,但消费者和企业仍然没有大规模使用加密,一些人或许会认为这恰好表明消费者和企业的安全措施和方案足以应对现在问题,并且更符合他们的要求,例如可以便利地访问员工数据。
六、我们该何去何从?
上述内容只是如何使用破坏性分析框架的一个例子,具体如何操作还需要对破坏性因素进行更深入的分析,以充分理解在每一种情况下例外访问可能产生的所有破坏性。
由于加密的争议由来已久,因此就例外访问达成共识或许依旧是一场艰苦的战斗。世界观和文化上的根本分歧使技术人员与政府产生分歧,然而,公众舆论可能会迫使政策制定者做出决定。为了进一步推进加密讨论,引入破坏性框架可以比较这些风险,从而判断哪里可能取得进展,哪里风险过高。最重要的是,对这些问题进行细致而有技术头脑的讨论是确保加密政策深思熟虑地评估风险并平衡美国奋斗目标——从网络安全到国家安全——的唯一途径。(冯潇洒)
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
