欧洲想要密码后门是怎么回事？

奥地利媒体昨天的一篇报道似乎暗示将禁止端到端加密，标题将其与该国最近发生的一起恐怖袭击联系在一起。事实上，成员国之间关于加密问题--以及是否/如何对其进行监管--的讨论已经持续了好几年。

这份报告是基于欧洲联盟理事会11月6日的一项决议草案。根据该草案，最终文本将于11月19日提交理事会通过，其中可能包括进一步的修订。

欧盟决策机构由成员国政府代表组成。欧盟负责为欧盟设定政治方向，而欧盟委员会则负责起草立法。因此，这绝不是“欧盟立法草案”。

我们采访的一位参与网络安全战略的欧盟委员会内部人士表示，这项决议是一种“政治姿态”--而且很可能是一种空洞的姿态。

它首先断言欧盟完全支持“开发、实施和使用高度加密”--如果你也打算禁止E2EE，这将是一个非常奇怪的立场。

然后，它讨论了犯罪分子容易获得用于保护重要公民基础设施的相同技术给公共安全带来的“挑战”--暗示犯罪分子可以利用E2EE让“合法”访问他们的通信“极具挑战性”或“几乎不可能”。

当然，这是安全圈子里非常熟悉的讨论--“五只眼”国家争取更大监控权的努力经常推动这一讨论--由于通信技术的发展，这种讨论在科技行业中反复出现。但请注意，欧盟并没有说获取加密数据实际上是不可能的。

相反，决议接着呼吁讨论如何确保主管安全和刑事司法机构的权力得以保留，同时确保充分尊重正当法律程序以及欧盟的权利和自由，例如(特别是尊重私人生活和通信的权利；以及保护个人数据的权利)。

该文件建议，应在这些相互冲突的利益之间建立“更好”的平衡。它是这样表述的：“通过加密实现安全的原则，以及在加密的情况下仍保持安全的原则，必须得到全面的维护。”

具体的号召是“政府、工业、研究和学术界的…”。共同努力，从战略上创造这种平衡。“。

事实上，部长会议特别写到[强调我们的]：“主管当局必须能够以合法和有针对性的方式获取数据，充分尊重基本权利和数据保护制度，同时维护网络安全。获取加密数据的技术解决方案必须符合合法性、透明度、必要性和相称性原则。“。

因此，这方面的努力--除了让外界认为他们在做一些有利于安全的事情之外--是为了改善数据获取的针对性，同时也是为了尊重与基本权利(如通信隐私)相关的欧盟关键原则。

部长会议希望委员会对相关的现有法规进行审查，以确保所有法规都朝着同一方向发展，从而有助于执法部门能够尽可能有效地运作。

在这一点上，提到了“潜在的技术解决方案”--但重点仍然是支持在符合欧盟法律的国内框架内使用其调查权的任何此类执法辅助手段--并进一步强调“维护基本权利和保留加密的优势”。信息安全是文档中前面讨论的加密的一个重要优势，因此它本质上是在呼吁保护安全性，而不是字面上详细说明这一点。

文件草案的这一部分有几条删除线，因此看起来最有可能会出现措辞上的变化。但对于未来发展方向的信号，有一点改动强调，如果与通信服务提供商合作开发任何“解决方案”，就有必要提高透明度。(而且，每个人都被告知的后门显然不是后门。)。

草案中的另一项建议要求提高相关部门的技能，以提高他们的技术和操作专长-也就是为警察提供更多的网络培训。

在最后一节中，欧盟委员会再次强调，共同努力改善整个欧盟的相关协调和专业知识是增强当局调查能力的关键。

还有人谈到要开发“针对新技术的创新方法”--但结论明确指出：“不应有单一的规定技术解决方案来提供对加密数据的访问”。又名无金钥匙/万能后门。

嗯，欧盟委员会可能会在这个问题上感受到一些压力，因为它正在制定新的网络战略，以便在具体的政策想法上获得一些政治推动-尽管在明年之前，我们不太可能在这方面看到太多东西。欧盟目前还没有提出任何政策想法。它充其量是在寻求帮助制定一些建议。

TechCrunch采访了欧洲的独立网络安全研究员和顾问Lukasz Olejnik博士，以了解他对这项决议草案的看法。他同意草案中没有对E2EE的猛烈抨击，也没有任何近期立法的前景。事实上，他暗示，欧盟似乎不知道该做什么--因此向学术界和产业界的外部专家寻求帮助。

“首先，没有关于走后门的说法。这条信息清楚地说明了加密对网络安全和隐私的重要性。“他告诉我们。“至于这份文件的议题，目前还处于探索阶段，是一个长期的过程。找出问题和想法。任何事情都不会立即发生。

“它离禁止E2EE还差得远。他们似乎不知道该怎么做。因此，其中一个想法可能是成立一个“高级别专家组”--该文件谈到了让“学术界”参与进来。这一过程有时是由委员会发起的，目的是确定哪些“建议”可能在政策过程中使用，也可能不在政策过程中使用。然后，它将围绕谁将被允许进入这样一个团体展开，这一点差别很大。

“例如，人工智能小组被认为是相当合理的，而另一个专门针对虚假信息的小组实际上是针对欧盟媒体人物的，而不是研究人员或具体的专业知识。”我们不知道这一切会把我们引向何方。“。

鉴于所涉及的复杂性，奥列伊尼克对委员会能否在这种情况下自行推动立法表示怀疑。他说：“现在谈论任何立法还为时过早。”“欧盟的立法过程可能相当复杂，但欧盟理事会无法独自解决如此复杂的问题。”

新的战略方针：尽管加密，但安全政策术语同时融合了安全、技术和非技术两种含义，表明可逆加密系统是保证安全的手段。Pic.twitter.com/CcEZHVIAzZ。

但他确实强调，欧盟创造了“尽管加密仍安全”这一短语，这是一个值得注意的发展--这表明，这一小说框架在政策方面可能会导致什么情况还不清楚。因此，与以往一样，围绕加密的安全辩论需要密切关注。

他说：“我发现最重要的是创造了‘尽管加密仍安全’这一术语。”这既是不幸的，也是巧妙的。但这个技术政策术语的问题在于，它可能会有意识地将政策理解混为一谈(物理？)。安全与技术安全，就像今天由加密保证的那样。这让两人处于直接对立的境地，“他说，并补充道：”后果会如何，谁都说不准。“。我认为这一过程远未结束。“。

但难道不能推动在整个欧盟引入某种“合法拦截机制”吗？

考虑到任何机制都需要尊重的所有欧盟法律原则和权利，这一步将面临巨大挑战。

欧盟的决议草案多次重申这一点--例如，强调安全活动需要尊重通信隐私等基本权利以及合法、透明、必要和相称的原则。

最近，几个欧盟成员国的国内监控法也被欧洲最高法院发现在这方面存在不足--因此，有一条明确的途径可以在法庭上挑战任何安全越权。

这意味着，即使某种拦截机制能够通过欧盟立法程序，通过足够的政治意愿来推动，它无疑也将面临激烈的法律挑战，并有可能被法院撤销。

当被问及对决议草案中提出的在安全和隐私之间寻求“更好”平衡的想法有何看法时，奥列伊尼克告诉我们：“破坏加密是一个棘手的领域，因为现代技术正朝着更安全、而不是更低的方向发展，因为现代技术正朝着更安全、而不是更低的方向发展。”GCHQ近年来倡导的“幽灵协议”是一种“特殊访问机制”(但批评者认为，这种协议既会破坏用户的信任，也会带来几乎等同于后门的全面安全风险)。在现代安全生态系统中，很难想象电信基础设施具有合法的拦截功能。对于私营企业来说，这也是一个信任问题。个人用户是否可以进一步自由地将他们的社交互动转移到网上？这是一个以数十亿美元衡量的问题。“