NSA 的阴云笼罩国际加密 —— 网络安全标准化会议在中国举行令人五味杂陈
专家告诉 WikiTribune,美国国家安全局增加“物联网”全球加密标准化的计划被领导机构拒绝,对美国国家安全局(NSA)的怀疑阻碍了重要密码领域的合作。
4月24日,国际标准化组织(ISO)的代表们在中国武汉召开闭门会议,并投票结束了采用 NSA 倡导的两种加密方式的计划。由于代表们对该机构的怀疑。
本次会议由全国信息安全标准化技术委员会和武汉市政府共同承办,从16日至24日,吸引了来自中国、德国、美国、俄罗斯、英国、澳大利亚、法国、日本、韩国等 30 多个国家成员体的 280 位国际专家和 70 位中国专家参会。
中国官媒对此的宣传充满了民族主义腔调,称「“中国声音”更加响亮,一批网络安全“中国标准”从武汉走向世界」。
这就是为什么五味杂陈。
NSA 曾被记录试图将安全漏洞或后门安装到安全工具中(来自 Atlas Obscura),包括加密形式的工具。NSA 提出的两族轻量级分组密码算法 Simon 和 Speck 依旧充满争议,本次会议的态度表明,该机构(NSA)仍缺乏包括美国盟友在内的许多国家的信任。(这东西被用在包括家用设备 如智能扬声器、冰箱、照明和供热系统中,进行窃听监视)
NSA 技术总监 Neal Ziring 表示:“Simon 和 Speck 都在 NSA 内部进行了几年的详细密码分析,并且自2014年以来一直受到全球研究人员的学术分析,很好的分组密码具有稳固的安全性和出色的功率和空间特性……”。好吧,可是你已经失信了。
在网络安全中规则是不同的
“在网络空间中,联盟与传统的战略空间完全不同,”巴黎战略研究基金会的 Nicolas Mazzucchi 博士说。“在传统军事领域,联盟首先共享优势。在网络空间中则恰恰相反,联盟是在共享漏洞方面形成的 —— 盟军机构测试彼此的漏洞并分享解决方案。甚至有时在相互信任的基础上测试盟友安全的优势,并认识到,一个盟友的弱点将使所有人都可能遭受伤害。
Mazzucchi 说,根据 Edward Snowden 的泄露,对国家安全局窃听包括德国总理 Angela Merkel 和当时的法国总统 Francois Hollande 在内的35位世界领导人的电话的指控,破坏了建立这种关系的诚意。
Mazzucchi 说:“他们(那些国家)对美国国家安全局管理的 ISO 计划的不信任可以被视为一种探索其他方式来实现满意的网络安全水平的意愿,从而避免被美国情报机构有系统地拦截通信的风险。
美国国家安全局仍然生活在自己制造的阴云之下
“如果这些设计不是来自国家安全局,可能不会受到如此高的关注”,向丹麦代表团咨询 ISO 的 Stefan Kölbl 说。
他解释说,这种怀疑并非完全归咎于 Snowden, “强大的密码学和国家安全局的广泛应用之间存在着长期的冲突,虽然泄密确实将这个问题带给了更广泛的受众,同时也向我们展示了国安局是如何努力颠覆安全系统的。”
比利时鲁汶大学的 Tomer Ashur 博士是该计划中最热心的反对者。“是的,国家安全局的黑暗历史像阴云一样笼罩着我们,但我不认为这是(关闭该计划的)主要因素“,他说。
“ISO 内部和外部的许多加密专家都担心算法的安全性,”Ashur说,“国家安全局试图保持他们所做的某些设计决定和参数选择的模糊性。由于这与密码设计的最佳实践不符,让包括我自己在内的一些代表感到震惊。”
Ashur 说,对于更详细信息的具体要求被混淆了,“我不能为其他代表发言,但我相信是这些担忧以及国家安全局的对抗性和侵略性行为最终导致大家支持取消该项目”。
没有国家安全局,ISO 加密程序将继续发展
Kölbl 说,标准化物联网加密是完全可以实现的,但是与 NSA 的争端让很多开发者相信他们的使命可能不符合政府情报机构的目标。“总的来说,对任何情报机构提供的加密算法都要非常小心这是原则,因为经常存在某种利益冲突。这样一个组织内部的一个小组可能对提供强大的加密算法有普遍兴趣,但其他组织成员也有将漏洞插入加密系统的目标。”
“我认为最终整个争议将有利于 ISO 的标准化进程,”他说,“这表明,我们需要制定更加明确的规则,在我们将它们用于标准化之前,它们会强化密码算法设计者的透明度,并且已经有很多讨论,关于如何改进这个过程。“
Ashur 说他表示希望 ISO 的学者能够更加开放。
本网正在陆续发布相关主题文章《监视之恶》,其中不得不说到美国。正如上述 Stefan Kölbl 所言,这不能完全归咎于 Snowden,事实上恰恰相反,必需感谢美国正义的勇士 Edward Snowden,他真正捍卫了民主之根基:公民的知情权。
相比继续隐瞒,揭露才是正途。公开真相是一切邪恶的解毒剂(吸血鬼会见光死,这个传统故事不是没道理的),因为政权在阴暗的环境下会变得肆无忌惮,公开就是还回公民的监督权,强大的制约力量将成为促使政权收敛的希望。
然而也无法否认,中国那样的国家正在利用 NSA 的丑闻宣扬自己的“优势”。必需强调的是,这种“优势”是建立在对“机密”这一概念疯狂滥用的基础之上的,没有被揭露并不意味着没有丑闻,恰恰相反,对中国这样的严格封锁一切信息的国家之警惕必需更高。
全球最广泛的监控网络 —— 美国的三大优势
设备的联网带来了完全不同的时代。在过去,俄罗斯电子产品、收音机和计算机通常使用俄罗斯的技术,而现在,全球人都在使用微软的操作系统、思科的路由器、以及相同的商业安全产品,在大多数国家都能买到 iPhone 手机,这意味着一个国家拥有能闯入敌国甚至盟国网络的技术能力。
一些欧洲的异议朋友不赞同媒体对“网络空间战 cyberwarfare”的宣传性描述,但不得不承认,它已经成为新冷战的焦点战术之一。无疑,谁能监视的范围最大、最深入,谁就将获得这场战争的胜利。
成为全球最广泛的监控网络,美国有基础性的三大优势:1、与其他国家相比,美国拥有更丰厚的情报预算;2、互联网的物理线路布局导致世界上许多网络通路、甚至是两个国家之间的网络通路都跨越美国边界;3、大多数世界上最大最流行的硬件软件和互联网服务公司都位于美国境内,并遵从美国的法律规定。这就确立了美国在互联网世界的霸主地位。
正因为上述决定性优势,理论上别国无法竞争,但近年来中国正在民族主义鸡血的促动下试图从这张监视网络中分一杯羹(是啊,好的不学专门学恶)。观察家们已经将早年对硅谷的唠叨变成了如今点名 FATBAG(Facebook Amazon Tencent Baidu Alibaba Google),这个美中均分的布局意味深长。
NSA 的目标已在曝光文件中被充分显示,即:搜集一切、掌握一切、利用一切。Snowden 披露了该机构的一份名为“BlackBudget 黑色预算”的绝密级文件,显示 2013 年的总预算额是 530 亿美元,估计美国每年花在情报方面的费用高达 720 亿美元。这一大手笔令上述三个“一切”之实现基本无悬念。
但是,它合法吗?如果对比美国宪法,显然是不合法的,但它具备三方面授权:1、1981年,里根签署的《12333 号行政命令》,允许国家安全局在海外进行更广泛的监视,并允许更广泛地搜集、分析和保留美国公民的信息;2、2001 年颁布的《爱国者法案 PATRIOT Act》第 215 条,允许国安局搜集任何人而不只是外国人的“任何有型资产”,并解释称“包括电话元数据”;3、2008 年修订的《外国情报监视法案 FISA》第 702 条,扩大了国安局搜集外国人数据的职权范围,使之对美国公民的保护最小化。国安局利用这项授权监视本国互联网中枢连接、采集本国和外国公民的信息。
本网在博客中记录过一个早年披露的情报机构针对智能电视发起攻击的案例:根据日期为 2014 年 6 月的文件,代号为“Weeping Angel”的三星 F8000 系列智能电视受到损害。文件描述了假关机模式,旨在欺骗用户相信他们的屏幕已被关闭。受感染的电视机被隐藏录制音频,一旦电视机完全切换回来,将通过互联网传送数据到 CIA 的计算机服务器。
中央情报局中一个专门单位的工作是瞄准 iPhone 和 iPad,允许该机构看到目标对象的地理位置、激活他们的设备的摄像头和麦克风,并阅读文字通信。该部门还利用 GCHQ,NSA 和 FBI 获得的进一步 iOS “零日漏洞”。
侵犯一直在深入
IoT 正在飞速发展,智能牙刷、智能灯泡、智能音箱、智能药瓶、智能城市……接踵而来,目前为止联网设备已经超过 100 亿台,比全球人口还多。预计到 2020 年将超过 300 亿。我们很可能不知道这些东西里究竟哪个有用哪个没用,但必需知道,它会产生海量的数据将我们身边的日常用品变成监视之眼。
这种连通性对人类隐私的影响前所未有的深远,这就是为什么我们需要加密,需要基于全世界网民和用户利益的加密标准化,尽可能排斥所有政府和情报部门对标准的影响;我们需要支持开源自由软件,打破 FATBAG 的禁锢。虽然很不幸,他们是立法者,寡头就站在他们背后。此次会议在中国召开尤其令人焦虑。
最遗憾的莫过于作为民主典范和民主传统角色的美国,无比尴尬地退缩了,这不仅是民主的遗憾,更给了威权国家以上升的空间。
在互联网出现之初,很多人都认为其潜力无限,网络通过将政治进程实现民主化、调整强者和弱者的竞技场,可以使亿万民众获得解放,可以不必受到机构的约束、不受社会和政府的控制,即互联网自由对实现这些美好展望至关重要。
将互联网变成监视系统已经从根本上破坏了它最核心的潜质。更糟糕的是,它将互联网变成了一种压迫性工具,威胁会产生人类史上最极端最暴虐的政府入侵武器。
这就是 Snowden 必需站出来说实话的原因。这不是美国,也不是其他某个国家的问题,而是全世界的问题,要让所有人看到,我们正身处极富历史意义的十字路口。
鉴于互联网独特的魅力,数字化时代是否将开启个人解放和政治自由?抑或它将带来无所不在的监视和控制,其力度和范围远远超过以往最残暴的独裁者的梦想?我们所采取的行动将决定我们最终身处何处。