37、加密战争III（2013年至今）：全球加密政策与技术的博弈

加密战争III（2013年至今）：全球加密政策与技术的博弈

1. 加密系统的安全漏洞与风险

在通信领域，加密系统的安全性至关重要，但仍存在被攻击的风险。曾有攻击者攻破交换机，利用本供政府使用的合法拦截软件，复制目标电话通话并转发到第三方手机。通话在手机与基站间加密，但沃达丰网络内部组件未加密。调查人员称交换机被“精妙且复杂地重新编程”，攻击在攻击者更新软件导致网络错误、合法短信无法送达时被发现。虽攻击者未被确认，但有迹象表明可能是美国中央情报局（CIA）和国家安全局（NSA）所为。

这一案例表明，拦截能力虽可增加系统脆弱性，但也凸显了成熟拦截能力的重要性。若面对成熟的拦截能力，此类攻击不会如此轻易得手。不过，鉴于潜在的情报价值，有决心和资源的攻击者仍可能不惜代价达成目标，这也是最敏感网络采用气隙隔离（与其他网络如互联网隔离）的原因。

2. 美国的加密立法尝试

2.1 伯尔 - 范斯坦特殊访问法案

2016年4月，北卡罗来纳州共和党参议员理查德·伯尔和加利福尼亚州民主党参议员黛安·范斯坦发布了《2016年遵守法院命令法案》草案。该草案要求通信服务和产品（包括软件）提供商通过实施适当的数据安全保护美国公民隐私，同时尊重法治并遵守所有法律要求和法院命令。若收到司法命令，相关人员需及时提供响应的、可理解的信息或数据，或提供获取此类信息或数据的适当技术协助。

伯尔认为数据安全性不足，消费者有权寻求保护信息的解决方案，但这些方案不应凌驾于法律之上，希望草案能引发关于加密在法治中作用的有意义且包容的辩论。范斯坦指出，没有实体或个人能凌驾于法律之上，如今恐怖分子和罪犯越来越多地使用加密手段阻碍执法，我们既需要强大的加密保护个人数据，也需了解恐怖分子的阴谋。

然而，该法案遭到行业团体和公民自由组织的负面回应。互联网协会称强制削弱加密会使美国国家安全和全球竞争力面临风险且无相应益处。电子前沿基金会（EFF）的内特·卡多佐表示若法案通过，EFF将在法庭上与之抗争多年。科技与民主中心首席技术专家约瑟夫·洛伦佐·霍尔称该法案实际上取缔了端到端加密，是最反加密的法案。参议员罗恩·怀登表示将全力阻止该法案，认为它会让美国人更不安全。白宫虽有传言参与了草案制定，但未公开支持。随着圣贝纳迪诺袭击事件逐渐被淡忘，该法案于2016年5月下旬在委员会夭折。

2.2 加利福尼亚州及其他州的加密立法

同期，加利福尼亚州也在尝试推进加密立法。2016年1月，加州议会成员吉姆·库珀提出法案，对无法解密或解锁的智能手机销售企业处以每部2500美元罚款，后法案修改为企业无法解密数据时才罚款。该法案遭到强烈反对，于2016年4月在委员会失败。路易斯安那州和纽约州也提出了类似法案，均规定每台设备罚款2500美元，这些法案也都未能通过。

为应对各州的行动，一些国会议员于2016年2月提出了《确保私人电信国家宪法权利法案》（ENCRYPT Act）。该法案规定政府实体不得要求制造商、开发者、销售商或服务提供商设计或更改安全功能以允许监控、物理搜索产品或解密加密信息，也不能因产品使用加密而将其排除在市场之外。但该法案多次在委员会未能推进，尽管在2018年和2019年末重新提出。

2.3 奥巴马的观点与政策困境

2016年3月，奥巴马再次谈到加密问题。他警告不要采取“绝对主义观点”，认为无约束的强加密无法实现长期以来的平衡，不能将手机隐私置于其他价值之上。他认为解决方案应是创建一个加密尽可能强、密钥尽可能安全，且只有少数人能在特定重要问题上访问的系统，但他承认缺乏设计此类系统的专业知识。

奥巴马强调自己站在公民自由一边，不希望为了权宜之计推翻使美国成为伟大国家的价值观，但也认识到危险的存在。他指出人们应做出妥协，数据并非能与其他权衡完全隔离。同时，他警告若各方陷入极端，在重大事件发生后，相关政治决策可能会仓促且考虑不周，从而危及公民自由。

国家科学院、工程院和医学院在2018年2月为政策制定者提供了一个框架，通过一系列问题来“最大化加密政策的有效性，同时最小化有害副作用”。这些问题包括：
1. 拟议方法在多大程度上能使执法和/或情报机构按支持者期望的规模、及时性和可靠性访问明文？
2. 拟议方法对所需访问的数据或设备类型的安全性以及更广泛的网络安全有何影响？
3. 拟议方法对目标个人和其他人的隐私、公民自由和人权有何影响？
4. 拟议方法对商业、经济竞争力和创新有何影响？
5. 拟议方法会带来多大的财务成本，由谁承担？
6. 拟议方法与现有法律和其他政府优先事项的一致性如何？
7. 国际背景对拟议方法有何影响，拟议方法在国际上会产生什么影响？
8. 拟议方法在多大程度上会受到有效且持续的评估和监督？

然而，电子前沿基金会指出该框架将政府是否应强制“特殊访问”加密通信内容的问题与如何实现这一强制的问题混为一谈。到2016年末，新的立法特殊访问解决方案的努力被搁置。联邦调查局局长科米表示政府当时不寻求立法补救，将继续与私营企业、州、地方和部落执法部门、外国伙伴和美国民众进行对话。

3. 英国的加密战争

3.1 政府的立场与呼吁

2015年1月巴黎恐怖袭击后，英国首相戴维·卡梅伦加入加密辩论。他认为政府不应允许存在无法被监控的通信方式，保护国家和人民安全是政府的首要职责。几个月前，英国政府通信总部（GCHQ）新任主任罗伯特·汉尼根致信科技公司，请求协助获取加密数据。他认为政府面临的问题“巨大”，只有科技公司加强合作才能解决。

汉尼根还谈到恐怖分子对互联网使用方式的变化。“基地”组织及其附属机构将互联网视为匿名传播材料或在“黑暗空间”会面的地方，而“伊斯兰国”（ISIS）则将其作为宣传自己、恐吓民众和招募新成员的喧闹渠道。ISIS改进了对互联网的使用，其斩首视频制作精良且自我审查，避免过度暴力以符合社交媒体规则。

汉尼根指出，曾经只有最复杂的罪犯或国家才能掌握的加密或匿名通信技术如今已成为标准配置，年轻的外国战斗人员从过去两年的泄密事件中受益。他认为英国情报机构若没有私营部门（尤其是主导网络的美国大型科技公司）的更多支持，无法大规模应对这些挑战。GCHQ愿意参与关于数字时代隐私的成熟辩论，但强调隐私并非绝对权利，呼吁政府与科技公司达成“新协议”，以保护公民安全。

3.2 英国的立法举措与各方反应

2016年的《调查权力法案》赋予英国政府发布技术能力通知（TCNs）的权力，要求相关主体移除通信或数据的电子保护。该法案中“电信运营商”的定义较为宽泛，软件、网站和设备（如iPhone）可能都在其范围内。国务卿在发布TCNs前需咨询技术顾问委员会和相关主体，TCNs也可发给“英国境外的人员”，且接收者需遵守保密规则。虽然已知TCNs已被使用，但使用范围和效果未知。

苹果公司致信英国议会，反对该法案，认为“把钥匙放在门垫下，坏人也能找到”，削弱保护用户数据的数学模型会降低安全性。

2017年3月，一名英国恐怖分子在议会外袭击造成四人死亡，调查发现恐怖分子在袭击前几分钟使用WhatsApp发送消息。英国内政大臣安珀·拉德认为无法访问端到端加密消息“完全不可接受”，需确保类似WhatsApp的组织不成为恐怖分子的秘密通信场所。但自由民主党内政事务发言人布莱恩·帕迪克认为给予安全部门访问加密消息的权限既不成比例也无效果，实施限制公民自由的严厉法律会正中恐怖分子下怀。工党领袖杰里米·科尔宾则认为政府已有强大的调查权力，质疑是否需要更多权限。

3.3 特殊访问原则与“幽灵用户”方案

2018年11月，英国国家网络安全中心技术总监伊恩·利维（Ian Levy）和GCHQ密码分析技术总监克里斯平·罗宾逊（Crispin Robinson）提出了一系列特殊访问原则。他们认为特殊访问辩论缺乏细节，使用“变得参差不齐”而非“变得黑暗”来描述问题，反映了最新观点。

这些原则包括：
1. 即使有合理需求，也不能期望100%的时间获得100%的访问权限，每个真实系统都是设计权衡的结果。
2. 有针对性的特殊访问能力不应让政府无限制地访问用户数据，政府控制的全球密钥托管系统不可取。
3. 解决方案应设计为服务提供商（真实的人）参与每个授权请求的执行，以限制使用规模。
4. 特殊访问系统可能存在缺陷和安全漏洞，需进行同行评审、逐步实施和公开审计，但要保护调查工作。

他们还反驳了“合法黑客攻击”是解决访问问题的方案。认为政府为黑客攻击目标设备保留漏洞与公开所有发现的漏洞以保护公众的要求相悖，且漏洞可能被任何人利用，会催生漏洞和利用链的阴暗市场。

利维和罗宾逊提出了“幽灵用户”解决方案，借鉴了百年前的语音拦截设备“鳄鱼夹”。服务提供商可在不通知的情况下将执法人员作为额外参与者添加到群聊或通话中，实现端到端加密的同时增加一个“端点”。他们认为“幽灵用户”并不比传统语音拦截解决方案更具侵入性，且不影响端到端加密的本质。

然而，行业和公民权利组织对此提出反对。苹果、谷歌、微软、WhatsApp等科技公司以及公民权利组织和技术专家联名致信GCHQ，警告“幽灵用户”会对网络安全构成严重威胁，进而威胁包括隐私和言论自由在内的基本人权。为实现“幽灵用户”，需修改加密协议、操纵安全号码/代码并抑制用户添加通知，这会使用户无法信任通信安全。此外，服务提供商为抑制通知需重写所有用户依赖的软件。

综上所述，全球在加密政策和技术方面面临着复杂的局面，各方在安全、隐私、执法和创新等多重目标间寻求平衡，未来仍需持续的讨论和探索。

加密战争III（2013年至今）：全球加密政策与技术的博弈

4. 加密政策与技术博弈的深层分析

4.1 各方利益冲突剖析

在这场加密战争中，不同利益方的诉求存在明显冲突。政府部门，如美国和英国的执法与情报机构，强调维护国家安全和公共安全，认为有必要获取加密数据以打击恐怖主义和犯罪活动。例如，美国的伯尔 - 范斯坦法案以及英国的《调查权力法案》，都是政府试图通过立法手段来获取特殊访问权限的体现。

然而，科技公司和公民自由组织则更注重用户隐私和数据安全。科技公司投入大量资源研发加密技术来保护用户数据，担心政府的特殊访问要求会削弱加密的安全性，从而损害用户信任。像苹果公司就坚决反对英国的相关立法，认为这会破坏加密技术的数学模型，降低用户数据的保护水平。公民自由组织则强调公民的基本权利，担心政府的权力扩张会侵犯公民的隐私和自由。

这种利益冲突的背后，是安全与隐私两种价值观念的碰撞。政府追求的是宏观层面的社会安全，而科技公司和公民自由组织更关注个体的隐私保护。如何在这两者之间找到平衡，是加密政策制定面临的核心难题。

4.2 技术与法律的困境

从技术角度看，目前的加密技术已经非常强大，要在不削弱加密安全性的前提下实现政府的特殊访问要求几乎是不可能的。例如，苹果公司强调“最好的头脑也无法改写数学定律”，任何削弱加密数学模型的过程都会降低对用户数据的保护。而政府提出的特殊访问方案，如“幽灵用户”，在技术实现上会带来诸多安全隐患，可能导致加密系统的信任基础被破坏。

在法律层面，各国的立法尝试面临诸多挑战。一方面，立法需要考虑与现有法律体系的一致性，以及对商业、经济竞争力和创新的影响。例如，美国的ENCRYPT法案试图限制政府对加密技术的干预，以保护科技行业的创新和发展。另一方面，立法的执行和监督也存在困难。英国的《调查权力法案》虽然赋予了政府发布技术能力通知的权力，但通知的使用范围和效果未知，且接收者需遵守保密规则，这使得公众难以对政府的行为进行有效监督。

5. 加密战争的未来走向

5.1 可能的解决方案探索

为了缓解加密政策与技术之间的矛盾，未来可能会出现一些新的解决方案。一种可能是采用多方参与的协商机制，政府、科技公司、公民自由组织和技术专家共同参与，制定出既能满足政府执法需求，又能保障用户隐私和数据安全的方案。例如，可以建立一个独立的监督机构，对政府的特殊访问请求进行审查和监督，确保其符合法律和道德标准。

另一种可能是发展新的加密技术，实现“可监管的加密”。这种技术可以在保证加密安全性的前提下，允许在特定条件下进行合法的访问。例如，通过使用多方密钥管理系统，只有在满足一定条件（如获得法院授权）时，才能解密数据。

5.2 国际合作与协调

随着互联网的全球化，加密战争已经超越了国界。各国在加密政策和技术上的差异可能会导致国际间的矛盾和冲突。因此，加强国际合作与协调至关重要。各国可以共同制定国际标准和规则，规范加密技术的使用和政府的访问权限。例如，国际组织可以发挥协调作用，促进各国之间的信息共享和合作，共同应对恐怖主义和跨国犯罪等全球性问题。

同时，国际合作也可以避免科技公司面临不同国家相互冲突的法律要求。例如，一家全球性的科技公司可能会因为不同国家的加密政策差异而陷入困境，国际协调可以为科技公司提供一个更加稳定和可预测的法律环境。

6. 总结与展望

加密战争III（2013年至今）反映了全球在加密政策和技术领域的激烈博弈。政府、科技公司和公民自由组织等各方在安全、隐私、执法和创新等多重目标间寻求平衡。目前的立法尝试和技术解决方案都面临着诸多挑战，但也为未来的发展提供了经验和启示。

未来，我们需要更加深入地探讨加密政策和技术的发展方向，通过多方合作和创新，找到既能保障国家安全和公共安全，又能保护公民隐私和数据安全的最佳方案。同时，加强国际合作与协调，共同应对全球性的加密挑战，将是解决加密战争问题的关键。

以下是一个简单的mermaid流程图，展示加密政策制定的主要考虑因素：

graph LR
    A[安全需求] --> B[加密政策制定]
    C[隐私保护] --> B
    D[执法需求] --> B
    E[商业与创新] --> B
    B --> F[立法尝试]
    B --> G[技术解决方案]
    F --> H[执行与监督]
    G --> I[技术评估与改进]

表格：各方在加密战争中的立场对比
| 利益方 | 主要立场 |
| ---- | ---- |
| 政府 | 强调国家安全和公共安全，希望获取加密数据以打击犯罪和恐怖主义 |
| 科技公司 | 注重用户隐私和数据安全，担心政府要求削弱加密技术 |
| 公民自由组织 | 强调公民基本权利，反对政府权力扩张侵犯隐私和自由 |

列表：未来加密战争可能的发展趋势
1. 多方参与的协商机制将成为制定加密政策的重要方式。
2. 新的加密技术将不断涌现，实现“可监管的加密”。
3. 国际合作与协调将加强，共同应对全球性的加密挑战。
4. 公众对加密政策和技术的关注度将提高，推动更加透明和公正的决策过程。