寰球密码简报(第36期)丨战略与国际研究中心(CSIS)发布报告《加密战争已经结束》
政府当然支持使用加密进行数据保护,争论在于应该允许什么样的加密,或者说在什么条件下政府机构可以访问加密的数据,是“端到端”加密还是“可恢复”加密。可恢复加密是指不用获得用户的知情,第三方可以为加密的数据(明文)提供访问。端到端加密是指只有发送方和接收方才能访问被传输的数据。很显然,虽然执法机构对端到端加密的获得可以做到,即使它更加困难和昂贵,但执法机构仍反对使用端到端加密,因为它削弱了执法机构进行电子监控的能力。执法机构更喜欢可恢复加密,这样在取得法院同意后就可以要求网络运营商、服务商或制造商等第三方提供数据明文。其实许多大公司已经在使用可恢复加密,这样他们就可以看到员工在做什么,并确保其遵守法规,但越来越多的人在使用端到端加密。
后门可以追溯到上世纪90年代,为推进互联网技术应用,克林顿政府鼓励豁免供应商的责任,同时美国政府放松了对加密方式的限制。关于加密的争论在互联网早期是不存在的,虽然加密可以为数据提供保护,但大多数人并不使用加密,当时所有人都低估了网络带来的风险。然而,现在我们知道,互联网在给人类带来便利的同时也带来了最严重的危害行为。早期,联邦调查局(FBI)想要的是能协助执法的数据通信技术,而不是后门,因为更加担心俄罗斯也会采用加密技术来规避窃听,于是国家安全局和联邦调查局提出了加密芯片的办法,这将允许他们能够“合法的访问”,后门从此打开。随着加密技术的发展以及智能手机的普及,人们能够容易使用端到端加密技术,以更好地保护数据安全。端到端加密使传统的通信监控措施很难奏效,虽然可以采用其他办法来获得数据,但更加昂贵和困难。为解决执法和加密之间的矛盾,最近SolarWinds提供了一个在设备和端到端加密之间的进行平衡的解决方案。
三、隐私与人权
端到端加密存在的争议之一是其为罪犯、恐怖分子及儿童色情信息的隐私提供了保护。抛开加密是否能保护隐私的争论,即使你的智能手机等移动设备使用了端到端加密,在服务商提供服务的条款中,诸如定位等服务如果你没有关闭,一些私人机构依然能够轻易的获取相关隐私,因此,提倡自由使用端到端加密并不是真正为了保护隐私,而是反对政府监控。端到端加密其实是上世纪70年代民权运动的遗留观念,即使现在因为保护公众利益的需要允许合法监视,但大多数人并不相信政府。隐私一词并没有出现在美国宪法,但宪法保护公民免受不合理的信息搜索的人权,除非依照国会通过的法律和法院批准。经验表明,加密并不能保护人权,因为如果警察不讲人权,即使加密后无法读取你的信息,但可以暴力执法、可以在你的房屋或汽车安装窃听设备等。问题的核心是法治,我们的目标是建立一个民主的国家,用法治保护基本权利,公共机构能够执行法律,公众能够监督和控制公共机构,不负责任的自由主义和犬儒主义只会让人权面临更大风险。
四、没有人能得到他想要的一切
替代技术为解决端到端加密的争议提供了一个潜在的解决方案。例如在圣贝纳迪诺恐怖袭击案中,执法机构对袭击案中使用加密的手机进行数据恢复,但开发的科技公司并不愿提供技术帮助,科技公司常担心与美国执法机构合作会提高海外客户的担忧,也不愿承担向执法机构提供合作的费用。在圣贝纳迪诺恐怖袭击案中,美国联邦调查局(FBI)最终变成了一家科技公司,专门从事在没有制造商的援助下破解加密和访问加密的数据。这种解密服务被呼吁禁止使用,但使用解密服务要经过法院批准。因此,禁止使用解密服务没有意义。要求加密服务者协助执法与执法保障和监督之间的妥协法案在国会通过的可能性很低,有些人担心可能存在风险。最坏的情况下,可能会禁止端到端加密,或者至少能够获得端到端加密的数据。没有人能够替代政府保护公民,即使每个人都有使用加密的权利,但是真正保护公民自由的方式是维护执法机构对犯罪、恐怖主义、或煽动叛乱的执法能力。选择一个合理限制的加密是生活在一个数字世界的自然状态,虽然主张使用加密是一个神圣的权利,但不允许执法追索权意味着个人自由应该优先于公共利益,这不是制宪者的立法本意,而是应该创造一个合理的、在权利和责任之间的平衡。
(注:本文所表达的观点,并不代表本编辑部观点,仅供参考)
本期作者:李元元,马 宁
关于“寰球密码法律政策发展动态简报”
为深入研讨我国密码法相关制度与现实挑战,凝聚国内外密码与网络安全精英,合力推动我国密码产业发展,苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报,供政府、产业及学术同仁参考。以期联合政产学研力量,为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会、编辑部采取开放组织形式,欢迎各界同仁予以各种方式积极参与和支持,踊跃投稿!
主 编:马民虎
副 主 编:黄道丽 朱莉欣
责任编辑:原浩 赵丽莉 马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯
联系电话:0512—69562805,13771998064(同微信)
投稿邮箱:xieyonghong2015@xjtu.edu.cn
编委会及首届成员简介
2021年5月25日,寰球密码法律政策发展动态编委会在苏州正式成立。编委会为创新学术团体,设立主任一名,委员若干名,每届任期两年。目前,编委会正式聘任委员共24名,分别来自科研机构、高等院校和大型互联网企业等。编委会的职责定位于联合政产学研力量,发挥学术优势,提升我国密码产业发展,为国家密码管理部门提供战略性立法建议和决策咨询,为密码产业、行业安全发展提供合规指引。当下,编委会的常态化工作之一是编撰“寰球密码法律政策发展动态”简报(周刊),供政府、产业及学术同仁参考。
注:委员名单按姓氏笔画排序,排名不分先后。
往期简报回顾
第1期丨欧盟通过《加密保障安全和加密的安全问题决议》及各方反响 第2期丨加密:在隐私、安全和合法数据访问之间寻求平衡 第3期丨法国2004-575号法令2020年修订版中的密码规则 第4期丨SolarWinds攻击事件后美国国会议员致信NSA“质询”加密后门问题 第5期丨2020年度美国NSA网络安全的密码工作评述 第6期丨美国联邦公钥基础设施指南 第7期丨美CRS报告聚焦区块链应用实践、局限性和监管考量 第8期丨加密货币犯罪与反洗钱报告(上) 第9期丨加密货币犯罪与反洗钱报告(中) 第10期丨加密货币犯罪与反洗钱报告(下) 第11期丨全面推进密码法治建设 不断加强网络安全保护 第12期丨美CRS聚焦加密常识—就大众关心问题发布专题报告 第13期丨美国“加密工作组”发布新版《印度加密政策争议》报告 第14期丨欧盟“保障数字绿色证书合理使用”提议及其评价 第15期丨美国BIS调整密码出口管控规则 减轻密码物项报告和通知义务 第16期丨香港SFC确立加密货币交易监管标准 第17期丨全面推进密码法治建设 筑牢网络空间密码防线 第18期丨商用密码认证规则及实践 第19期丨苏州新闻广播-红色密语专题节目“密码与网络安全” 第20期丨NIST发布《向后量子密码迁移》简报 第21期丨英国推出密码使用新安全标准(SS-007) 第22期丨美NSA发布解密文件—探讨美70年代后期公众密码学的争议问题 第23期丨英国发布2020年度网络安全报告——让英国成为最安全的在线生活和工作场所 第24期丨NIST SP800-175A:美国联邦政府使用密码相关法律指引概述 第25期丨对限制进口高于256位加密的加密软件相关问题的分析 第26期丨密码技术在《个人信息保护法》中的基石地位和实现 第27期丨后斯诺登时代的NIST密码标准和指南制定流程 第28期丨英国发布《国防和安全产业战略》:强调加密在保障国防和安全产业方面的重要角色 第29期 丨《全面与进步跨太平洋伙伴关系协定》(CPTPP) 密码管理规定 第30期 | 美国联邦政府的“密码机制”:SP800-175B概述 第31期 | CDC与BBA发布马萨诸塞州服务区块链技术立法者指引 第32期 | DEPA协定中的密码管理规定 第33期丨美国人口普查局报告总结爱因斯坦计划执行效果并部署新的加密系统 第34期丨美国国防部“移动计算设备和可移动存储介质上静态敏感非机密数据”备忘录 第35期丨德国:新政府计划实施“加密权”
“苏州信息安全法学所”