澳大利亚政府:好人用的“后门”不叫“后门”
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全7月9日讯 澳大利亚联邦政府已经改变了加密辩论的立场,目前正围绕“后门”的定义展开辩论。
何为“后门”(Backdoor)?
后门指绕过软件的正常验证或加密方法等安全机制,从较隐秘的通道获取对程序或系统访问权的方法,通常被用来远程访问计算机,或获得加密系统中的明文数据等。
后门可能表现为一个程序的隐藏部分、单独的程序(例如Back Orifice可能会通过Rootkit颠覆系统)、硬件固件中的代码、部分操作系统,例如Microsoft Windows。虽然通常会隐秘安装,但后门在某些情况下是故意所为或广为人知的。这些类型的后门可能具有“合法”用途,例如为厂商提供途径恢复用户密码。又或者在软件开发时,设置后门可以方便修改和测试程序中的缺陷,但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。
技术人员的理解是,任何影响加密的程序均代表某类“后门”,包括NSA漏洞囤积、密钥托管,以及密码学家在应用程序中植入“神奇的密钥”。
澳大利亚政府的想法是,如果将“后门”的定义限定于NSA入侵或故意计设计的漏洞,那么就能说服大众政府并非在寻找后门。
ABC国家广播电台的乔纳森格林采访了澳大利亚总理的网络安全顾问阿拉斯泰尔·马克吉本。加密辩论中,马克吉本在解释政府的目标方面表现出色,即无论行为发生在线上或线下,澳大利亚人应该会期望由同样的法律来约束。
马克吉本向格林举例指出,当谈及加密通信,设备或软件制造商了解如何访问软件或软件信息,因为他们是产品的制造者。
苹果、WhatsApp或Signal可能知道如何破解加密通信,因为他们制造了设备或软件,但是如果警方需要进入受保护的“安全区”,他们或许不会配合。但澳大利亚明确表示这种不是后门。
马克吉本还讨论了一个事实:厂商不断为智能手机或笔记本电脑推出软件更新。也就是说企业知道产品存在漏洞,或有些功能无法正常运行,因此才需要更新。为什么政府不能对这些企业说“我们不是要求你们做任何特别的事,不是要求你们植入漏洞、后门”。
马克吉本希望企业帮助政府利用他们了解的漏洞。他表示,如果知道这些企业有办法帮到政府,而手机就在恐怖分子手中,
如今 政府能合法获取恐怖分子的手机,企业会帮助政府吗?但,这不是后门。
总理特恩布尔的“和谐后门”
在本周的G20峰会召开之前,澳大利亚总理特恩布尔向ABC表示,“网络世界必须普及法律”。
基于互联网的通讯服务日益实现端对端加密,不仅无法在传输中解密短信,甚至连服务运营商也无法解密。
如果警察获得打开档案柜的搜查令(Warrant),他表示,应该能查看加密信息,警方有能力获得命令…但是,如果不能解密通信,就完全起不到帮助作用。企业必须能解密。
他在德国汉堡表示,互联网上不应存在不受管制的空间。政府需要更多帮助,确保更高水平的加密不能被用来隐藏恐怖分子和犯罪分子。但它不是后门。
大多数不懂的人不会对语义模棱两可感到大惊小怪,因为加密很复杂,难以解释。
在政府看来,“后门”指的是NSA所做的事,所有政府希望通常合法程序破解加密,加密特别适用于通讯平台,例如WhatsApp、Signal或Telegram)。换句话讲,民众可能不知道通讯应用程序和平台(例如Facebook、Twitter或Google)与网银一致使用同样的端对端加密。
民众也不理解手机或笔记本厂商没有实现SSL/TLS协议,在链接开头使用HTTPS,即攻击SSL/TLS就能攻击使用SSL/TLS的其它任何服务。
为什么公民需要了解这些?为了防止恶意攻击,开发人员花20多年时间让加密为人人所用。
而政府通过自己对“后门”的定义绕过加密,这似乎有些说不通。
E安全推荐文章
官网:www.easyaq.com
2017年7月