格雷厄姆,科顿介绍了鱼雷加密的又一次尝试

2020-06-25 18:50:03

周二,南卡罗来纳州参议员林赛·格雷厄姆(Lindsey Graham)、阿肯色州参议员汤姆·科顿(Tom Cotton)和田纳西州参议员玛莎·布莱克本(Marsha Blackburn)。提出了另一项试图在数据加密方面戳穿漏洞的法案,名为“加密数据合法访问法案”(Legal Access To Encrypted Data Act)。这项法案遵循了美国之前削弱加密的努力,包括3月份提出的赚取IT法案,以及美国司法部长威廉·巴尔(William Barr)在2019年国际网络安全会议(International Conference On Cyber Security)上发表的主旨演讲中提出的要求。

由格雷厄姆担任主席的参议院司法委员会(Senate Judiciary Committee)在一份新闻稿中将该法案描述为一个平衡的解决方案,它牢记了宪法赋予所有美国人的权利,同时为执法部门提供了必要的工具,以保护公众免受日常暴力犯罪和对我们国家安全的威胁。该法案继续以粗体和斜体文字强调,该法案只会要求服务提供商在法院签发逮捕令后,为执法部门提供后门。

恐怖分子和犯罪分子经常使用技术,无论是智能手机、应用程序还是其他方式,来协调和沟通[.]。科技公司拒绝遵守(法院命令)并协助执法部门进行调查。我的立场很清楚,执法部门在取得法庭授权后,应该可以取回资料以协助调查。我们的法律尊重和保护守法的美国人的隐私权。

不幸的是,就像这些决议的典型情况一样,格雷厄姆表达的想法并不符合技术现实。为了让服务提供商以格雷厄姆要求的方式尊重和协助执法调查,它必须-而且是致命的-妥协它最初提供的加密。这将适用于提供商服务的每个消费者(美国或其他国家),无论是否签发了搜查证。

提供格雷厄姆和公司一直要求的那种后门,其中包括让服务提供商自己访问加密的数据。反过来,这又会让服务提供商的客户面临服务提供商(或服务提供商的流氓员工)自己侵犯隐私的行为,这反过来又会破坏现代云服务的大部分安全模式。这不仅会严重影响终端消费者隐私,还会严重影响企业业务安全。

近年来,亚马逊、微软和谷歌等大型云提供商在说服大型企业在其数据中心托管越来越机密的业务数据方面做出了巨大而成功的努力。这只有在使用云提供商本身无法访问的密钥进行安全加密的情况下才是可行的。如果没有提供商不透明的加密,这些企业将返回到仅在自我管理和控制的私有数据中心存储严重机密数据,从而增加成本并降低这些企业的可扩展性。

当然,这只触及了这种误导性努力的真正影响的皮毛。安全加密是一项已经广泛使用的技术,它不需要大规模的基础设施来实现。没有理由认为格雷厄姆、科顿和布莱克本引用的恐怖分子不会简单地恢复到没有漏洞的私人管理软件,这是这样一项要通过的法案。

也没有理由认为服务提供商本身将是唯一能够进入莱达所要求的关键漏洞的人。很难想象这样的漏洞不会迅速广为人知,并被普通罪犯、国内外商业间谍单位和外国利用。

最后,像莱达这样的美国法案的通过不会约束外国的服务提供商。这样的法案可能产生的另一个影响是,只需将此类服务转移到离岸的欧洲和亚洲提供商-降低美国的税收和技术知名度,同时将格雷厄姆如此迫切想要获得的数据推到更远的地方。

倡导组织争取未来(Fight For The Future)的副主任埃文·格里尔(Evan Greer)向Ars发表了以下关于Laeda和类似的前身-赚取IT法案-的声明:

不了解技术如何运作的政客需要停止引入这样的立法。在这一点上,这是令人尴尬的。加密保护我们的医院、机场和我们的孩子饮用的水处理设施。安全专家一再警告说,削弱加密或安装后门将使每个人变得更不安全,而不是更安全。到此为止。立法者需要拒绝合法访问加密数据法案以及赚取IT法案。这些法案将允许政府进行大规模监控,而不会让儿童或其他任何人变得更安全。

虽然法案的实际文本似乎还没有公开,但司法委员会的新闻稿概述了几个关键点。司法部长将被禁止发布含有遵守该法案的具体技术步骤的指令-但将被允许发布要求遵守的指令。咨询委员会还将被授权指示服务提供商或设备制造商报告他们遵守规定的能力和实施遵守规定所需漏洞的时间表。

该法案规定,发布此类指令的服务提供商和设备制造商将获得政府资金的补偿,以支付遵守该指令所产生的合理成本。它还设立了一个有奖竞赛,奖励那些在加密环境中创建合法访问解决方案的参与者,同时最大限度地提高隐私和安全性。