【51CTO.com快譯】在線商務(wù)、國(guó)際高科技銷售以及證券機(jī)密安全確實(shí)面臨著嚴(yán)重威脅，而且傳統(tǒng)加密機(jī)制在應(yīng)對(duì)犯罪分子的惡意侵襲時(shí)仍能發(fā)揮一定作用——考慮到這兩項(xiàng)重要前提，美國(guó)將于2016年出臺(tái)相關(guān)法令，要求各企業(yè)及供應(yīng)商在相關(guān)方案當(dāng)中添加加密后門，以備執(zhí)行機(jī)關(guān)對(duì)加密通信內(nèi)容進(jìn)行審查。這一消息對(duì)于各企業(yè)而言不啻于一記猛擊，特別是考慮到相關(guān)后門被恐怖分子掌握后可能引發(fā)的暴力行動(dòng)。

[[161528]]

截至目前，抵制這項(xiàng)法律要求的輿論仍占據(jù)上風(fēng)，不過(guò)普通民眾的觀點(diǎn)可能會(huì)對(duì)這一狀況發(fā)生重大改變，特別是考慮最近接連發(fā)生的嚴(yán)重恐怖事件。

面對(duì)此前連續(xù)出現(xiàn)的巴黎恐怖襲擊與加利福尼亞州圣貝納迪諾恐怖事故，國(guó)會(huì)中的立法者們?cè)俅渭榔鹆艘回炑哉?，認(rèn)為應(yīng)該利用加密硬件、軟件與服務(wù)建立起新型方案，并在法官明確下令之后對(duì)加密業(yè)務(wù)內(nèi)容進(jìn)行解密。

如果后門被納入正式硬性法律要求，則意味著各已經(jīng)部署在企業(yè)內(nèi)部的設(shè)備需要進(jìn)行更新或者召回，而由此引發(fā)的潛在財(cái)務(wù)與后勤成本將成為企業(yè)客戶乃至尚未在設(shè)備中添加加密后門之供應(yīng)商的恐怖噩夢(mèng)。這可能會(huì)影響到各類常用VPN及遠(yuǎn)程接入平臺(tái)，外加部分負(fù)責(zé)保護(hù)企業(yè)移動(dòng)設(shè)備內(nèi)敏感信息的加密方案。

不過(guò)由于沒有提供相關(guān)草案，因此我們無(wú)法判斷這項(xiàng)法令的具體約束范圍，只能將其總結(jié)為立法者們希望能夠借此為執(zhí)法部門提供新的調(diào)查工具。

兩位高層執(zhí)法者——美國(guó)聯(lián)邦調(diào)查局局長(zhǎng)James Comey以及紐約曼哈頓地區(qū)檢察官小Cyrus Vance都堅(jiān)持宣稱，這條法令有助于阻止恐怖分子、兒童色情、綁架犯以及其它一些犯罪分子的惡意活動(dòng)。在擁有這類后門程序的情況下，雖然我們?nèi)匀粺o(wú)法直接阻止上述犯罪行為，但卻能夠獲取更多信息從而勾勒出更加詳盡的事件全貌。

由Vance辦公室發(fā)布的一份報(bào)告指出，有證據(jù)證明后門程序確實(shí)有助于利用由智能手機(jī)收集到的信息對(duì)謀殺、強(qiáng)奸以及性交易等違法行為進(jìn)行定罪。這份報(bào)告同時(shí)強(qiáng)調(diào)稱，蘋果及谷歌都表示執(zhí)法機(jī)關(guān)無(wú)法對(duì)犯罪嫌疑人的手機(jī)進(jìn)行訪問(wèn)——只有對(duì)應(yīng)用戶才有能力將其解鎖。“這種將手機(jī)鎖定的能力將使得合法搜查及扣押遭受空前的限制，甚至?xí)o政府方面的執(zhí)法力度造成影響，”Vance辦公室在這份報(bào)告中解釋稱。

Comey則于上周向參議院司法委員會(huì)證明稱，恐怖分子當(dāng)然意識(shí)到其所使用的硬件與軟件無(wú)法解密，因此會(huì)定期利用相關(guān)手段組織惡意活動(dòng)。“毫無(wú)疑問(wèn)，使用加密技術(shù)已經(jīng)成為恐怖諜報(bào)行為中的重要組成部分，因?yàn)樗麄円庾R(shí)到我們正面對(duì)問(wèn)題，即法院判決無(wú)法突破他們使用的這些移動(dòng)通信應(yīng)用、特別是端到端加密機(jī)制，”他表示。“我們發(fā)現(xiàn)恐怖分子開始在世界各地使用此類功能進(jìn)行通信，特別是在ISIS的諜報(bào)工作當(dāng)中。”

Vance則寄希望于聯(lián)邦政府進(jìn)行針對(duì)性立法，要求在美國(guó)本土出售的所有智能手機(jī)必須能夠在操作系統(tǒng)層面加入特殊設(shè)計(jì)，從而保證其中的數(shù)據(jù)能夠在特定條件下接受訪問(wèn)。“簡(jiǎn)單來(lái)講，這就要求操作系統(tǒng)的設(shè)計(jì)者及設(shè)備制造商不能將自己的產(chǎn)品打造成堅(jiān)不可摧的壁壘，而應(yīng)當(dāng)接受合法的政府調(diào)查，”他寫道。

除了設(shè)備上保存的加密數(shù)據(jù)，參議員們還討論到了如何對(duì)加密通信內(nèi)容進(jìn)行解讀。

奧巴馬總統(tǒng)在圣貝納迪諾槍擊事件之后的電視講話當(dāng)中指出，在各類技術(shù)方案當(dāng)中添加特殊機(jī)制——也包括后門——有助于打擊恐怖主義活動(dòng)。“這也是我們督促各高科技領(lǐng)導(dǎo)企業(yè)以及立法負(fù)責(zé)人推行這條法令的原因，這會(huì)顯著加大恐怖分子利用技術(shù)手段逃避法律制裁的難度，”他解釋稱。

不過(guò)他所指的并不一定是那些需要被加密的機(jī)密消息——他曾經(jīng)于今年早些時(shí)候拒絕就這方面事務(wù)進(jìn)行立法，但政治環(huán)境的傾向性可能最終迫使他接受現(xiàn)實(shí)。

曾經(jīng)在二十年前——即上世紀(jì)九十年代——在所謂加密戰(zhàn)爭(zhēng)期間成功突破加密后門，從而逆襲政府發(fā)布的不可破解加密訪問(wèn)控制的Phil Zimmermann指出，這條法令相對(duì)于對(duì)歷史的重復(fù)，此次包含的具體作法就有將Clipper Chip引入移動(dòng)手機(jī)以構(gòu)建內(nèi)置加密后門。

他同時(shí)指出，美國(guó)于2001年頒布的愛國(guó)者法案誕生于911恐怖襲擊事件的六周之后，且現(xiàn)已脫離打擊恐怖活動(dòng)范疇而成為一項(xiàng)籠統(tǒng)的通行性法令。“在緊急情況下，這條法令能夠?qū)崿F(xiàn)帶來(lái)很多效果，當(dāng)然有正面的也有負(fù)面的，”他解釋稱。“如果我們接納了后門，其造成的未知影響也會(huì)在未來(lái)很多年一直伴隨著我們的生活。”

RSA總裁Amit Yoran也發(fā)表了類似的觀點(diǎn)。“這無(wú)疑又是一項(xiàng)類似于愛國(guó)者法案的舉措，”他指出，意味著盡管缺乏民眾的普遍支持，但暫時(shí)性的情緒反應(yīng)可能會(huì)占據(jù)上風(fēng)并使其最終得以通過(guò)。“除了聯(lián)邦調(diào)查局，這項(xiàng)政策在各情報(bào)界高層引發(fā)了一致性反感。”

國(guó)家安全委員會(huì)今年秋季起草了一份面向奧巴馬總統(tǒng)的報(bào)告，其中指出“這種作法會(huì)降低網(wǎng)絡(luò)安全水平。”

而且一旦得以通過(guò)，這項(xiàng)法令會(huì)給企業(yè)造成巨大影響，IP Architects公司總裁John Pironti指出——這家企業(yè)一直致力于幫助企業(yè)了解如何保護(hù)自己的網(wǎng)絡(luò)與數(shù)據(jù)。相關(guān)影響甚至?xí)鲋行⌒推髽I(yè)的資源承受能力，并導(dǎo)致其不得不依賴于服務(wù)供應(yīng)商及加密廠商以調(diào)整或者更換現(xiàn)有加密基礎(chǔ)設(shè)施。

而從供應(yīng)商的角度來(lái)看，這意味著其需要建立并維護(hù)相關(guān)安全基礎(chǔ)設(shè)施以容納這些用于在產(chǎn)品中訪問(wèn)后門的密鑰。“維護(hù)這類方案的成本是非?？捎^的，”Pironti表示。“這絕對(duì)是那種不花大錢實(shí)現(xiàn)不了的任務(wù)。”

Yoran指出，即使要求強(qiáng)制植入后門的法律得到通過(guò)，RSA也“絕對(duì)不會(huì)執(zhí)行”。RSA已經(jīng)逐步退出加密業(yè)務(wù)，因?yàn)?ldquo;其不是我們未來(lái)發(fā)展愿景的組成部分，”他表示。另外，各企業(yè)客戶是否會(huì)對(duì)已經(jīng)購(gòu)買的加密產(chǎn)品進(jìn)行調(diào)整或者替換也是個(gè)懸而未決的問(wèn)題。

Pironti表示他也不會(huì)遵循添加后門的要求。“我不打算與客戶合作以損害加密技術(shù)的方式設(shè)置后門，”他指出。“畢竟客戶需要依賴乃至信賴供應(yīng)商。”

這種對(duì)加密消息進(jìn)行解密的手段在設(shè)計(jì)層面上會(huì)給加密安全保障體系帶來(lái)薄弱點(diǎn)，Zimmermann表示，意味著整套系統(tǒng)會(huì)更容易受到未授權(quán)方的侵?jǐn)_。

Pironti則表示，對(duì)相關(guān)加密密鑰進(jìn)行保護(hù)的任務(wù)也很難實(shí)現(xiàn)。“在某種程度上，這部分密鑰絕對(duì)不能以惡意方式或者惡意人士用于實(shí)現(xiàn)惡意目的。但具體該怎樣加以保護(hù)?”他提出質(zhì)疑。

而拒絕設(shè)立加密后門的一大主要原因在于，各類惡意人士——即那些已經(jīng)屬于犯罪分子的群體——將在美國(guó)法律約束不到的區(qū)域創(chuàng)建自己的技術(shù)手段，Pironti表示; 這意味著該法令根本無(wú)法限制真正需要監(jiān)控的對(duì)象。

喬治亞技術(shù)學(xué)院在勒商學(xué)院教授Peter Swire則向參議院司法委員會(huì)證實(shí)稱，這項(xiàng)法令將造成廣泛的負(fù)面影響。

“由政府強(qiáng)制規(guī)定的這類安全漏洞將嚴(yán)重威脅甚至危害網(wǎng)絡(luò)安全、隱私、人權(quán)以及美國(guó)的技術(shù)領(lǐng)先地位，而無(wú)法有效對(duì)抗對(duì)消息進(jìn)行加密的敵人，”Swire指出。

原文標(biāo)題：Acts of terrorism could push Congress toward encryption backdoors in 2016

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】