2019年7月29、30两日,“五眼联盟”国家高级安全官员在英国伦敦举行“2019年五国部长级会议”(The 2019 Five Country Ministerial),美国、英国、澳大利亚、加拿大以及新西兰的司法、内政、安全和移民部长在内共十位高官参会。本次会议主题是打击虐待儿童和恐怖主义,呼吁科技企业向政府与情报机构提供加密“后门”,引发国际社会广泛关注。自2017年起,“五眼联盟”多次提出要获得加密社交软件的合法“后门”,为开展执法工作扫除障碍。“五眼联盟”力推“后门”合法化背后存在深层次原因、会对全球科技公司产生影响,相关内容具有研究价值。
一、“五眼联盟”敦促科技企业提供加密“后门”
“五眼联盟”是一个以英语国家为主的情报联盟体系,其成员包括美国、英国、澳大利亚、加拿大和新西兰五个国家。五国受“英美协定”(United Kingdom-United States of America Agreement,UKUSA)约束,开展涉及信号情报、军事情报和人工情报等多方面合作。最近几年,“五眼联盟”为扫清执法障碍与获取更多情报资源,多次向科技企业施压,要求提供加密消息应用软件的“后门”权限。从官方表态到煽动声势再到立法举措,掌控加密“后门”或“后门”合法化成为“五眼联盟”近年来关注的重点事项。在此过程中,“五国部长级会议”作为“五眼联盟”高端情报峰会,成为“五眼联盟”国家共同推动战略目标的重要抓手与驱动力。
最新一次的“五国部长级会议”于2019年7月底由英国主办,该国新任内政大臣普丽蒂·帕特尔(Priti Patel)主持会议,其他参会者还有美国司法部长威廉·巴尔(William Barr)、代理国土安全部副部长戴维·佩科斯基(David Pekokse);新西兰贸易与出口增长部长戴维·帕克(David Parke)、司法部长安德鲁·利特尔(Andrew Little);加拿大移民、难民和公民部部长艾哈迈德·胡森(Ahmed Hussen)、公共安全和应急准备部长拉尔夫·古德尔(Ralph Goodale)、司法部副部长弗朗索瓦·戴格尔(Francois Daigle);澳大利亚内务部长彼德·达顿(Peter Dutton);英国总检察长杰弗里·考克斯(Geoffrey Cox)等共十名高官参会。本届会议主题聚焦于“新兴威胁”以及如何更好地应对新技术带来的机遇和风险,还包括打击恐怖主义和虐待儿童的犯罪活动、网络安全、加密和网络危害等其它议题。
(一)“五国部长级会议”是“五眼联盟”共商网络空间情报共享框架的重要机制。自2013年起,“五眼联盟”每年举办一次部长级会议,截至2019年已连续举办七届。“五国部长级会议”是“五眼联盟”情报共享机制衍生的协商制度,近年来规格越来越高、涉密等级稳步提升。“五国部长级会议”公报表明,该会议聚焦五国具有共性的国家安全威胁问题,强调五国协作。迄今为止,“五国部长级会议”在国际事务尤其是网络空间问题上的合作日益深化,取得的成果包括支持建立打击恐怖主义全球互联网论坛、扩大关于边界、移民和安全问题的信息共享,以及打击人口贩运等多个方面。会议机制促使五国在应对恐怖主义、暴力极端主义、网络攻击以及国际局势面前形成更加团结一致的联盟体系。多方信息表明,“五国部长级会议”在“五眼联盟”集体抵御国家安全威胁尤其是网络安全威胁方面发挥着至关重要的作用,同时也将美国、英国、澳大利亚、加拿大和新西兰五个国家更加紧密地结合在一起。2013年以来,打击暴力与恐怖主义几乎每年都被定位为主要议题,五国欲获取端到端加密技术“后门”问题一直是其中话题之一。五国提出此诉求的核心依据是:端到端加密技术阻碍司法机构合法访问加密数据从而严重损害公共安全;端到端加密技术能帮助恐怖分子在网络世界逃离监管,招致更多暴力与恐怖袭击事件。
(二)加密软件促使“五眼联盟”迫切期盼获取加密“后门”。当前,有不少社交平台为确保用户通信安全,在加密过程中使用端到端加密技术(End-to-end encryption,E2EE)。所谓端到端加密技术,是一个保证只有参与通讯的双方可以读取信息的手段。该技术可防止包括政府、电信和互联网供应商、软件开发者甚至恶意网络攻击者读取私有通讯内容,以避免第三方人员或机构进行信息窃听行动。由于除进行通讯的双方外其他人都无法取得解密密钥,与其它加密技术相比,端到端加密技术具有保护数据免受黑客攻击、确保个人数据具备私有性以及保护个人隐私权等明显优势。因此,采用了端到端加密技术的应用程序被认为极具私密性和安全性。当前,采用端到端加密技术的通讯工具主要包括WhatsApp、Telegram、iMessage、FB Messanger、Viber等,这些均在全球范围内拥有众多用户。所谓加密“后门”(Encryption Backdoor),是一种人为设计的加密缺陷,目的是让第三方可以方便地访问加密数据。随着端到端加密技术与加密软件的使用日益流行,政府部门与科技企业在对加密“后门”问题上的争论越来越多并且陷入僵局:政府以执法挑战为由对掌握加密信息表达出迫切意愿;科技企业和安全专家认为,向政府提供加密“后门”可能产生信息滥用、黑客攻击、用户流失等诸多风险。
(三)“五眼联盟”持续三年关注端到端加密技术。从2017年部长级会议开始,“五眼联盟”连续三年要求科技企业针对使用端到端加密技术的产品提供加密“后门”,以供政府在司法程序中使用合法“后门”访问权限。2017年6月26日,“五国部长级会议”在加拿大渥太华举行。“五眼联盟”在会后发布公报首次联合提及加密技术,明确提出司法机构开展包括恐怖主义在内的犯罪调查时,加密技术会阻碍司法机构访问信息内容,从而严重破坏公共安全。对此,“五眼联盟”建议与科技企业展开合作以挫败恐怖分子加密能力,“维护网络安全与权利自由”。2018年8月28、29日,“五国部长级会议”在澳大利亚黄金海岸举行,其重点议题集中在反恐与网络安全领域。“五眼联盟”在会后发布联合备忘录,要求各大科技企业向政府提供加密产品的“后门”,以供执法部门有能力获得访问权限。根据此份备忘录,如果企业拒绝提供,那么“五眼联盟”国家政府会寻求技术、执法、立法机构或者其它手段进入加密设备或服务。“2019年五国部长级会议”重要内容之一是“如何应对信息加密带来的挑战”。“五眼联盟”在会后发布声明表示,科技公司应该在其加密产品和服务中纳入新机制,允许政府有适当的合法权限,能够以可读和可用的格式获取数据。同时,声明中对“科技公司故意设计系统以排除任何形式的内容访问”表示关切。英国内政部对此表示,需要确保执法、安全和情报机构能获得其所需要信息的合法和例外访问。尽管本次会议的主题被定位为打击虐待儿童和恐怖主义,但“五眼联盟”借此进一步就获得加密消息应用程序的“后门”表明态度,向加密通信企业施压意图明显。由此可见,“五眼联盟”为获取加密“后门”正在不懈努力并且手段不止于此,其在掌控端到端加密技术方面态度日益明确、做法愈发强硬。正如“五眼联盟”曾发布的联合声明中所称“隐私不是绝对的”,“如果受阻于获取信息,可能会采取各种措施来实现合法的访问方案”。
二、“五眼联盟”成员国推进加密“后门”合法化
从“2017年五国部长级会议”开始,“五眼联盟”多次提出欲获得加密“后门”权限。在此后的几年时间里,“五眼联盟”国家努力推进加密“后门”合法化操作。
(一)五国以打击恐怖主义为由支持获取加密“后门”。不可否认,“五眼联盟”认为“加密产品给反恐工作带来挑战”具有现实依据。比如,随着强大的加密技术越来越多地应用到电子设备或者社交软件中,恐怖分子正在利用该技术进行安全通信和存储信息,致使恐怖组织利用加密软件逃避情报与执法监管。一方面,借助加密即时通讯软件,用户之间可以发起一对一的端到端加密聊天,并可设置每条消息的有效时间,从而极大保障了通信内容的私密性与安全性。另一方面,端到端加密技术带来的负面影响是无意间协助了恐怖组织“乘虚而入”,Telegram、WhatsApp等端到端加密通信软件被恐怖组织或极端组织认为是“安全”的通信工具,并借此在互联网上大肆宣扬恐怖主义思想、招募新成员、筹集资金、煽动暴力活动甚至策划恐怖袭击。此外,近年一些案例表明,恐怖分子借助端到端加密技术有效逃过执法机构监控与干涉,增强了恐怖主义活动破坏性。以Telegram为例,该应用内的“公共频道”和“私人聊天”功能成为互联网信息传播的“双刃剑”。特有功能虽然为普通用户传输信息提供更多便利与隐私保障,但是也为“伊斯兰国”“基地”等极端组织提供了便捷与隐蔽的沟通渠道。以2015年11月发生在法国的恐怖袭击事件为例,袭击造成至少132人死亡,350多人受伤。根据法国方面的调查显示,此次行动实施者在一定程度上依赖Telegram和WhatsApp来策划与协调恐怖行动。而在过去几年内,从法国到英国或者美国,此类案例还有很多。上述情况表明,通信与科技企业确实无法回避“五眼联盟”借“加密技术阻碍反恐工作”施压。在此背景下,“加密技术是恐怖分子实施恐怖袭击的工具”便成为“五眼联盟”欲获取“后门”权限甚至对此立法的重要托词。然而,“五眼联盟”一直不愿向公众提起但不能忽略的事实却是,即使端到端加密技术被完全禁止,也无法避免恐怖组织或者不法分子寻求其它方式进行犯罪行动。
(二)美国联合铁杆盟友为获加密“后门”积极运作。近年来,美国与其他“五眼联盟”国家就获取加密“后门”积极运作,主要措施包括:第一,美国政府欲以法律手段废除端到端加密功能。一直以来,美国政府从未放弃对加密技术的监管意愿。美国曾多次表现出将对不合作企业采取强制加密信息监管的态度,并欲联合铁杆盟友国家对信息、通信技术、服务提供商采取法律约束措施以协助政府合法访问加密数据与通信内容。早在奥巴马执政时期,就曾公开表示反对运用加密技术,并且鼓励科技企业提供加密信息。近期,英国“路透社”报道指出,特朗普政府正考虑要求国会立法禁止WhatsApp、Telegram等通讯软件使用端到端加密技术。监管加密信息从奥巴马时期延续至特朗普执政,可见,美国政府对加密技术的管控态度从未动摇。第二,从“核心企业”入手向科技企业拓展。早在几年以前,与美国政府有密切往来的美国当地企业被曝早已向政府开设“后门”。比如在2013年,有媒体报道称美国安全服务商在加密算法中为美国国家安全局(NSA)添加“后门”。由此可以看出,美国政府欲从与其有直接利益关系或者紧密联系的“核心企业”入手逐个突破,最终目的是掌握科技企业加密技术的绝对控制权。第三,铁杆盟友率先立法为美国强制管控“后门”做铺垫。目前,“五眼联盟”内已不止美国单方面推进在加密程序中获取“后门”权限。美国盟友早已制定的针对加密技术法律成为美国政府立法前哨:英国的情报法允许政府可强制本国公司破解加密信息;澳大利亚政府于2017年的一份备忘录中呼吁采取法律行动防止不可破解的加密行为,并且于2018年12月9日正式通过《通信和其他法律关于协助和准入的修正案2018》(Telecommunications and Other Legislation Amendment (Assistance and Access)Bill 2018,简称“AA法案”)。“AA法案”允许澳大利亚政府通过“后门”访问的方式获取加密软件通信内容并对其进行监视。第四,联合盟国向科技企业施压在加密应用预留“后门”。2018年8月底,“五眼联盟”联合发布备忘录,督促政府要求科技公司设立加密“后门”,而对于不合作的企业,希望能采取强制措施进行数据访问。2019年10月4日,美国、英国和澳大利亚三国政府采取进一步行动,美国司法部长与代理国土安全部部长、英国内政大臣,以及澳大利亚内政部长共同签署了一封公开信,信中以“优先考虑公共安全”为由就Facebook所采用的端到端加密技术与加密“后门”再次施压。上述情况表明,获取更广泛的加密通信数据以支撑情报体系建设不单是美国的意图。现如今,以美国为主导的“五眼联盟”步伐统一,欲将“加密‘后门’合法化”在整个联盟范围内进行强制推广。
(三)英国网络安全机构提出“幽灵协议”机制监控加密软件。2018年11月,英国信号情报部门政府通信总部(Government Communications Headquarters,GCHQ)密码分析主管克里斯平·罗宾逊(Crispin Robinson)和国家网络安全中心(National Cyber Security Centre,NCSC)技术总监伊恩·利维(Ian Levy)提出“幽灵协议”(ghost protocol)计划。该协议呼吁为加密的消息应用程序添加“幽灵用户”或“默默地将执法参与者添加到群组聊天或通话中”,以此“保护隐私和用户安全”。“幽灵协议”的实质是要求加密消息服务在将消息发送给目标用户的同时转发给第三个接收者,进而帮助本国政府获取加密数据与情报信息。但是,这项监听计划遭到大型科技企业的强烈抵触。包括苹果、微软、谷歌以及WhatsApp等在内的数十家科技企业于2019年上半年签署公开信,联合反对英国情报机构通过“幽灵协议”窃听加密信息、集体谴责该协议是对数字安全和基本人权的“严重威胁”。端到端加密技术的本质是保护用户信息安全、保障通讯双方能够安心传输数据。但是,英国提出的所谓“幽灵协议”严重违背了端到端加密技术提高通讯领域安全性这一初衷。“幽灵协议”令加密数据不再具备便捷性、私密性甚至安全性,令通讯双方被迫遭到监听。如此一来,使用加密聊天软件进行通讯的双方将始终难以摆脱身为“幽灵”一样的别有用心的窃听者。当前,“幽灵协议”在科技企业与英国政府之间挑起极大争议,双方各尽所能的展开博弈,后续情况仍值得关注。
三、“五眼联盟”加密“后门”合法化影响全球网络安全
从全球范围来看,端到端加密技术在防止网络安全威胁方面扮演着越来越重要的角色。因此,若“五眼联盟”获得加密应用软件“后门”权限,将会对全球信息安全产生恶劣影响。
(一)加密“后门”给科技企业发展带来严峻考验。目前,全球范围内使用较为广泛的加密软件多数由美国企业运营和开发。尽管“五眼联盟”各国对在加密软件中开设“后门”表现出浓厚兴趣,但绝大多数美国科技企业公开反对此举。政府与企业间针对加密“后门”权限的博弈被视为是有关公民隐私权利的“战争”,由此引发一系列关于“隐私”与“安全”的辩论。一方面,美西方政府方面以执法为由希望企业提供加密“后门”。在此观点上,部分企业对此表示沉默甚至妥协姿态。以谷歌为例,该公司表示愿意配合相关工作,微软也暗示其对共享解决方案抱有开放态度。另一方面,反对提供加密“后门”的企业或个人认为加密技术有助于保护数字信息。此类群体认为,在加密通信中开放所谓的“后门”可能导致用户安全和隐私受到侵害。尤其自2013年斯诺登事件发生后,部分科技企业表现出阻止政府取得用户数据的鲜明态度,其中采用的端到端加密技术在一定程度上保障了用户的信息安全。然而从现实情况来看,澳大利亚强力通过“AA法案”表明,无论科技企业在“后门”问题上支持与否,其最终选择折中甚至妥协的结局难以避免,“五眼联盟”国家有足够的方法和手段强制索取加密“后门”。如此,如何向美西方政府提供加密信息、提供的范围和权限有多大、怎样避免加密“后门”被攻击者利用等等一系列问题,将成为科技企业在未来不得不面临的严峻考验。值得注意的是,随着加密技术的使用和复杂程度越来越高,各国均需面对严重犯罪和国家安全威胁的挑战。如何在不损害用户隐私与通信安全性的前提下防范加密技术助长恐怖主义气焰、避免加密技术被犯罪分子滥用、权衡公共安全与数据隐私之间的关系等等一系列问题,都是加密通讯企业必须要面对与审慎思考的。
(二)加密“后门”可被恶意攻击者与政府部门滥用。最近几年,美西方国家的执法机构一直在游说科技企业削弱自己的安全协议,然而尚未取得理想效果。因为在提供“后门”权限一事上,众多科技企业仍有很疑虑:提供“后门”后,用户对产品的信任度将降低并且任何产品的预留“后门”都有可能成为黑客恶意攻击的目标。从技术角度看,“五眼联盟”国家所称的以国家安全为由遏制加密通讯,非但难以成功打击犯罪与恐怖分子,反而危及到所有依靠加密来保证网络安全的群体。除此之外,也几乎没有证据表明美国政府或情报机构在对加密信息进行大规模监控的条件下能够阻止该国恐怖主义。相反,加密“后门”可能使众多加密软件用户面临网络攻击的风险,互联网信息窃取、监听、篡改等信息安全隐患都将随之而产生。一方面,对于恶意攻击者来说,加密“后门”不单单是科技企业为政府开启的一项特权,它也可能成为黑客的攻击目标。削弱加密服务只会让普通用户面临风险,但在阻止网络犯罪分子方面收效甚微。另一方面,黑客并不是加密“后门”的唯一威胁,政府也可能利用加密“后门”对公众进行数据收集、内容监听甚至情报窃取,斯诺登曝光的美国“棱镜”(PRISM)计划就是对这一说法的最好证明。因此,由“五眼联盟”国家立法者和政府当局积极呼吁加密通信企业向执法部门提供的“后门”,极有可能成为恶意攻击者或者政府滥用的工具。
(三)加密“后门”合法化可能招致后续跟进措施。当前,以美国为首的“五眼联盟”国家将获得加密“后门”视作便利执法与完善其情报共享体系的重点发展方向。但是,强制包括中国科技产品在内的域外科技公司产品预留“后门”可能成为美国政府迫切获取加密“后门”的下一步打算。对于“五眼联盟”积极获取科技企业加密“后门”权限,全球各国政府都应保持足够警惕,既要意识到“五眼联盟”通过端到端加密社交软件获得他国公民数据将威胁到一国政治与经济安全,也要预见到监管端到端加密技术可能只是美国政府以及其盟友要求科技企业为政府预留“后门”的起点,后续将有更多科技企业与产品、服务类型被纳入“五眼联盟”国家政府获取“后门”的考量范围。根据“五国部长级会议”上联盟针对加密“后门”的强硬表态以及各国当前进展,“五眼联盟”强力推进“后门”合法化可能会招致一系列跟进措施,进而对全球网络信息安全产生深远影响。(刘晴)
(本文刊登于中国信息安全杂志社2019年第11期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。