现在,我们前所未有地依赖安全技术来应对流行病,组织和在街上游行,等等。然而,现在是参议院司法和情报委员会的一些成员选择试图有效地取缔那些技术中的加密的时刻。
本周由参议员格雷厄姆、布莱克本和科顿提出的新的合法访问加密数据法案无视专家共识和公众舆论,不幸的是,这是理所当然的。但与近期许多其他反加密法案相比,该法案实际上更脱离现实。自一月份以来,我们一直在与“赚取IT法案”作斗争,该法案是一项危险的反言论和反安全法案,它将赋予一个由司法部长领导的政府委员会在网上确定“最佳实践”的权力。很容易看出该法案将如何攻击提供加密通信的服务提供商,因为该委员会将由司法部长威廉·巴尔领导,他明确表示了反对加密通信的立场。IT发起人所能获得的最好辩护是,法案本身没有使用“加密”这个词--要求我们相信委员会不会触及加密。
但是,如果盈利IT部门试图避免承认房间里的大象,“合法访问加密数据法案”(Legal Access To Encrypted Data Act)会将其置于一个三环马戏团的中心。新法案没有涉及佣金或最佳实践。取而代之的是,它将赋予司法部能力,要求加密设备和操作系统的制造商、通信提供商和许多其他公司必须有能力根据请求解密数据。换句话说,就是后门。
这项法案的范围很广。它赋予政府在刑事和国家安全案件中要求这些后门的能力,这些后门与刑事和国家安全案件中的一系列监视命令有关,包括爱国者法案第215条,这是一项极具争议的监视法律,以至于国会无法就是否应该重新授权达成一致。
更糟糕的是,该法案要求公司自己弄清楚如何遵守解密指令。他们抗拒的唯一理由是证明这是“技术上不可能的”。虽然这看起来似乎是对专家们长期以来达成的共识的让步,即技术人员根本不能建立只有政府才能使用的“合法访问”机制,但该法案的发起人远不是那么合理的。正如参议员格雷厄姆去年12月主持的一场听证会所证明的那样,许多立法者和执法官员认为,即使任何后门都可能被不良行为者利用,并将数亿普通用户置于危险之中,但这并不意味着“从技术上讲是不可能的”。事实上,即使解密是“不可能的”,因为该系统被设计成对除了持有密钥的用户之外的任何人都是安全的-就像苹果和谷歌设计的全磁盘加密方案一样-这可能也不是防御措施。取而代之的是,政府可以要求重新设计该系统。
该法案不仅无视用户的安全,还允许政府支持其需要一个带有片面秘密证据的后门,任何时候它认为公开法庭诉讼会损害国家安全或“刑法的执行”。正如我们所看到的,政府已经试图秘密扩大监控法的限制,以破坏通信产品的安全。这项法案将使这成为常态。
最后,该法案几乎没有让步,因为它将对人们如何使用技术造成巨大的破坏。它的限制几乎是可笑的:任何存储容量超过1G、年销量超过100万台的设备,如果受到五项授权或其他要求的限制,就必须建立政府要求的后门,任何活跃用户超过100万的操作系统或通信系统都是如此。显然,该法案的作者试图针对iPhone、Android手机、WhatsApp和其他流行技术,但该法案也将覆盖许多专门的操作系统,以及Fitbit、Rokus等消费设备。
它还将设立一种类似于“安全后门”的X奖,奖励那些设法找到“根据法律程序为执法部门提供对加密数据的访问的解决方案”的研究人员。但并不是缺乏资源或适当的货币激励措施未能平衡这一特定的循环。取而代之的是,它无法设计出一个可靠地允许“好人”访问的系统,而不会灾难性地削弱系统的安全性。
这些担忧只是触及了这项法案问题的皮毛。就像赚取IT一样,我们应该抓住每一个机会告诉国会议员,不要去管我们所依赖的安全技术。