32、密码战争 II（1991 - 2002）：数字时代的安全与隐私博弈

密码战争 II（1991 - 2002）：数字时代的安全与隐私博弈

1. E - PRIVACY法案与加密技术的争议

在加密技术的发展历程中，E - PRIVACY法案引发了诸多争议。电子隐私信息中心（EPIC）对该法案中加密技术相关条款表达了强烈担忧。

首先，EPIC认为将加密技术使用刑事化是不合理的。在某些情况下，不能仅仅因为加密可能使犯罪调查变得困难，就将其与打字机相提并论，认为使用加密就应受到怀疑。这种刑事化不仅会向用户和企业传递“矛盾信息”，即一方面鼓励使用加密，另一方面又对其使用表示怀疑；还会赋予检察官过大的调查权力，可能导致只要存在加密数据就被调查，而在数字时代，保护隐私和安全的加密技术广泛应用，不应将其视为犯罪工具。

其次，法案中允许其他联邦机构向NET中心提供“协助”，包括借调人员，这也引发了EPIC的担忧。由于美国国家安全局（NSA）在电子监控和解密方面拥有专业知识，该法案实际上授权了NSA前所未有的国内执法参与，这与半个世纪以来情报机构应严格限制参与国内“警察职能”的共识相悖。

最终，E - PRIVACY法案未能通过，国会的两极分化使其无法在该问题上采取行动。

2. 颠覆外国政府的加密系统：Crypto AG的故事

Crypto AG的故事堪称情报史上的经典案例，展示了美国和德国情报机构在20世纪后半叶对外国政府加密设备的系统性破坏。

故事始于俄罗斯出生的鲍里斯·哈格林（Boris Hagelin），他在纳粹进军欧洲时逃往美国，并设计了加密机器M - 209，美国军队在战争期间购买了14万台，使他成为百万富翁。战后，他开发了新设备CX - 52，美国密码破译者无法破解，担心其扩散到外国政府。1951年，美国陆军信号情报局的威廉·弗里德曼（William Friedman）与哈格林建立友谊，并请求他将Crypto AG最先进设备的销售限制在美国批准的国家名单内，其他国家则获得较旧、安全性较低的设备，哈格林会因销售损失获得高达70万美元的补偿。

到1960年，尽管NSA和CIA内部对该计划存在分歧，但仍与哈格林达成许可协议，支付他85.5万美元续签初始协议，每年7万美元的保留金，以及1万美元的“营销”费用，以确保Crypto AG赢得外国关键合同。

1967年，Crypto AG推出由NSA设计内部工作原理的电子加密设备H - 460。NSA没有插入后门或让设备泄露加密密钥，而是将其设计得足够脆弱，以便超级计算机和密码分析师能够破解，但仍需拦截通信。同时，制造了两种版本的设备，一种为美国盟友提供安全版本，另一种为其他国家提供不安全版本。

1970年，CIA和德国联邦情报局（BND）同意联合收购Crypto AG，列支敦士登的一家律师事务所帮助他们掩盖了向哈格林支付的575万美元的来源。

在后续发展中，Crypto AG面临诸多问题。员工开始产生怀疑，一名员工因修改叙利亚部署的Crypto AG设备导致NSA无法读取通信而被解雇。1979年，为平息工程部门的质疑，瑞典数学教授Kjell - Ove Widman被任命为科学顾问，他与BND和CIA制定了操纵加密算法的原则，确保其难以被检测和掩盖错误。

然而，该行动也遭遇了严重挫折。Crypto AG推销员汉斯·比勒（Hans Buehler）被伊朗逮捕，伊朗对Crypto AG存在疑虑多年，但比勒并不知晓CIA - BND与该公司的关系。9个月后，BND支付100万美元赎金将其赎回，CIA因不支付赎金的政策未参与。

1993年，随着冷战结束，德国政府结束了对该行动的支持，CIA以1700万美元收购了德国的股份。到90年代中期，Crypto AG不再盈利，软件加密逐渐取代加密机器，CIA的资金注入维持着运营。1995年，《巴尔的摩太阳报》的报道导致多个国家放弃该公司，员工也开始离开。

尽管存在诸多问题，但Crypto AG在情报获取方面取得了显著成果。例如，在福克兰战争期间，美国向英国传递情报；两伊战争期间，80 - 90%的伊朗通信可被读取；证实了利比亚对1986年德国一家美国士兵常去的俱乐部爆炸案的责任。

Crypto AG的发展历程可以用以下流程图表示：

graph LR
    A[哈格林设计M - 209] --> B[开发CX - 52]
    B --> C[弗里德曼请求限制销售]
    C --> D[达成许可协议]
    D --> E[推出H - 460]
    E --> F[CIA和BND联合收购]
    F --> G[发展壮大]
    G --> H[员工产生怀疑]
    H --> I[Widman入职]
    I --> J[比勒被捕]
    J --> K[德国退出]
    K --> L[媒体报道致业务下滑]
    L --> M[公司出售资产]

以下是Crypto AG不同阶段的关键事件和特点总结表格：
|时间|事件|特点|
| ---- | ---- | ---- |
|1951年|弗里德曼请求哈格林限制销售|补偿哈格林销售损失，确保美国对先进设备的控制|
|1960年|达成许可协议|支付费用维持合作，确保Crypto AG市场优势|
|1967年|推出H - 460|NSA设计，制造两种版本设备|
|1970年|CIA和BND联合收购|掩盖收购资金来源|
|1979年|Widman入职|制定算法操纵原则，平息质疑|
|1993年|德国退出|冷战结束，CIA收购德国股份|
|1995年|媒体报道|多个国家和员工放弃Crypto AG|
|2017 - 2018年|出售总部和资产|公司走向衰落|

密码战争 II（1991 - 2002）：数字时代的安全与隐私博弈

3. “9·11”事件后的加密技术困境

2001年9月11日，恐怖袭击事件震惊了整个西方世界。正如巴拉克·奥巴马所描述的，那原本晴朗的九月天被美国历史上最严重的袭击所笼罩，双子塔的倒塌、五角大楼的浓烟等画面深深烙印在美国人的记忆中。这场袭击造成了数千人死亡，美国自珍珠港事件以来建立的安全感瞬间崩塌。

随着灾难的发生，恐惧、愤怒和焦虑笼罩着美国社会。公众开始寻找替罪羊，一些美国人将怒火指向了密码学家，认为数字加密技术的使用可能是情报机构未能截获劫机者通信的原因之一。PGP（Pretty Good Privacy）的创造者菲尔·齐默尔曼（Phil Zimmermann）因此受到了审查。尽管没有证据表明恐怖分子使用了PGP或其他加密技术，但齐默尔曼收到了大量仇恨邮件，有人指责他双手沾满了5000人的鲜血，认为PGP是一种“战争武器”。

然而，齐默尔曼坚定地认为，强加密技术对民主社会的益处大于危害，即使它可能被恐怖分子利用。他在反思后表示，开发PGP并不后悔，并且强调在情绪化的时期，密码学界需要捍卫自己的技术，防止政治家出于好意但错误的努力对强加密技术的使用施加新的规定。他警告说，在当前的情绪压力下，匆忙做出逆转加密决策的决定只会导致严重的错误，不仅会损害民主，还会增加国家信息基础设施的脆弱性。

“9·11”事件三天后，美国总统乔治·W·布什宣布国家进入紧急状态。他的父亲、前总统乔治·H·布什建议要“解放情报系统，使其摆脱一些限制”，加密技术很快成为被审查的限制之一。

民意调查显示，美国人的恐惧情绪高涨。2002年对2519名美国人的调查发现，“9·11”事件前有39%的人强烈认同自己感到安全，而事件后这一比例降至17%。78%的人愿意为了安全放弃某些自由，30%的人支持让政府更容易访问私人通信。普林斯顿调查研究协会的一项民意调查发现，54%的美国人支持“减少通信加密，以便联邦调查局和中央情报局更容易监控疑似恐怖分子的活动”，即使这会“侵犯人们的隐私并影响商业行为”。

在这种背景下，新罕布什尔州的共和党参议员贾德·格雷格（Judd Gregg）在袭击发生一周后向参议院表示，电子领域的情报收集社区由于法律限制面临严重问题。他认为使用加密技术的公司应该合作解决访问问题，并提议利用美国市场的影响力，要求在全球销售加密设备的公司如果想在美国销售，就必须遵守美国国家安全的需求。不过，不到一个月后，格雷格宣布不会寻求加密立法，但这一事件表明国会中有人倾向于立法。

半年后，美国公民自由联盟（ACLU）对美国公民自由的“持续侵蚀模式”表示担忧。ACLU的安东尼·D·罗梅罗（Anthony D. Romero）认为，“9·11”事件后最“令人不安的变化”是政府似乎忽视了社会可以且必须既安全又自由的理念。ACLU特别关注那些“侵蚀和规避司法审查”的新安全措施，罗梅罗强调制衡是民主的基石，司法机构的作用是保护权利，如果国会明确禁止司法机构审查执法行动，司法机构就无法发挥这一作用。

尽管气氛紧张，但加密政策在当时保持不变。“9·11”事件后立即通过的《美国爱国者法案》（PATRIOT Act）并未涉及加密问题，尽管国会此前有相关表态。约翰·吉尔摩（John Gilmore）评论说，“9·11”事件引发的公众恐慌未能打破经过数十年才建立起来的相对合理的加密政策平衡。

然而，在《美国爱国者法案》的后续版本《2003年国内安全增强法案》（Domestic Security Enhancement Act of 2003）中，加密技术的刑事化问题被提了出来。该法案草案由美国司法部撰写，其中规定，任何在联邦法律规定的重罪犯罪过程中，故意加密与该重罪相关的任何有罪通信或信息的人，初犯将被判处不超过5年监禁、罚款或两者并罚；再次或后续犯罪将被判处不超过10年监禁、罚款或两者并罚。这一规定的措辞存在模糊性，未考虑用户可能在不知情的情况下使用加密的情况，因此遭到了科技行业的反对。电子前沿基金会（Electronic Frontier Foundation）认为，政府应该鼓励美国人使用加密技术，就像鼓励他们锁门和采取其他个人预防措施一样，而该法案的这一规定起到了相反的作用，会抑制美国人保护数据和信息免受身份窃贼、跟踪者和其他罪犯侵害的积极性。最终，该立法未能推进，但这表明政府对加密技术的担忧仍然存在。

以下是“9·11”事件后加密技术相关事件的时间线列表：
1. 2001年9月11日：恐怖袭击事件发生。
2. 2001年9月14日：乔治·W·布什宣布国家进入紧急状态。
3. 2001年9月18日：贾德·格雷格向参议院表达对加密技术限制的看法。
4. 2001年10月：贾德·格雷格宣布不寻求加密立法。
5. 2002年：进行民意调查，显示公众对安全和加密的态度。
6. 2002年3月：美国公民自由联盟表达对公民自由侵蚀的担忧。
7. 2003年2月：《2003年国内安全增强法案》草案公布，涉及加密技术刑事化问题。

4. 第二次密码战争总结

第二次密码战争揭示了互联网并非孤立存在的事实。尽管约翰·佩里·巴洛（John Perry Barlow）在1996年宣称互联网独立，但“旧世界”不断影响着“新世界”。个人在网上逃避责任的程度受到缺乏强大匿名工具的限制，而且大多数活动家并不追求匿名。密码朋克是数字世界的知识精英，他们与数字权利组织合作，尤其借助了“旧世界”的司法系统。政府强烈捍卫自己的立场，但总体而言，法院更倾向于数字隐私活动家。然而，旧法律的裁决并没有伴随着新立法的出现，国会在这个问题上表现不佳，大量的辩论却没有带来实际行动。现有安全法律的效力在下降，公民面临的数字风险在增加，而国会未能为政府机构如何应对这些变化提供明确的指示或新的权力。

2000年，在RSA会议上，吉姆·比佐斯（Jim Bidzos）与国家安全局和司法部代表同台时打开了一瓶香槟，他认为数字隐私活动家在密码战争中取得了胜利。但这种评估过于短视和自负，实际情况要复杂得多。正如亚里士多德所说：“赢得战争是不够的，更重要的是组织和平。”从这个角度来看，各方都未能履行职责。政府无法适应新的常态，这种不稳定的和平无法持久。数字隐私活动家的主要失败在于他们认为仅靠技术就能规范互联网。布鲁斯·施奈尔（Bruce Schneier）反思自己1993年的《应用密码学》（Applied Cryptography）一书时表示，他曾描述了一个数学乌托邦，认为算法可以将最深的秘密保存数千年，密码学是伟大的技术均衡器，任何人都能拥有与最大政府相同的安全性，甚至认为“仅靠法律保护自己是不够的，我们需要用数学来保护自己”。但实际上，密码学无法做到这些，它只是数学的一个分支，涉及数字、方程和逻辑。

以下是第二次密码战争中各方表现和问题的对比表格：
|主体|表现|问题|
| ---- | ---- | ---- |
|政府|强烈捍卫立场，未适应新常态|未能推进有效立法，无法应对数字风险变化|
|数字隐私活动家|借助司法系统，认为技术可规范互联网|忽视法律和社会因素对互联网的影响|
|国会|大量辩论，行动不足|未能为政府机构提供明确指示和新权力|

综上所述，第二次密码战争没有带来真正的和平与解决方案，各方都需要重新审视和调整策略，以适应数字时代不断变化的安全和隐私需求。

graph LR
    A[“9·11”事件] --> B[公众恐慌与对加密技术质疑]
    B --> C[政府考虑立法监管加密技术]
    C --> D[《美国爱国者法案》未涉及加密]
    D --> E[《2003年国内安全增强法案》提加密刑事化]
    E --> F[立法未推进，问题仍存在]
    F --> G[第二次密码战争未达有效和平]