38、加密战争III：2013年至今的纷争与博弈-优快云博客

本文链接：https://blog.youkuaiyun.com/github5actions/article/details/151953554

加密战争III：2013年至今的纷争与博弈

在当今数字化时代，加密技术的应用日益广泛，它在保护用户隐私和数据安全的同时，也给执法部门获取数字证据带来了挑战，由此引发了一场旷日持久的“加密战争”。

1. “五眼联盟”的联合声明与澳大利亚的新立法

2018年9月，“五眼联盟”（澳大利亚、加拿大、英国、新西兰和美国）政府发表了一份联合加密声明。声明指出，隐私并非绝对，执法部门合法获取数据的能力与实际获取和使用数据内容的能力之间的差距日益增大，这是一个紧迫的国际问题，需要各方进行深入讨论。声明强调，技术公司应遵守法律，协助执法部门获取通信数据，并建议它们自愿建立合法访问解决方案。若无法实现自愿合作，政府可能会采取技术、执法、立法等措施。

在澳大利亚，新的加密立法成为了焦点。澳大利亚联邦警察报告称，超过90%的拦截内容已被加密。为解决这一问题，政府通过了《电信及其他立法修正案（TOLA）（访问与协助）法案》。该法案为行业协助提供了三个层次的“渐进式方法”：
1. 技术协助请求（TAR） ：这是一种自愿的援助请求。
2. 技术协助通知（TAN） ：要求公司提供“合理、相称、可行且技术上可行”的协助，属于强制性通知。
3. 技术能力通知（TCN） ：类似于英国的《调查权力法案》，要求接收方采取行动，确保能够协助拦截机构，主要是去除加密。

然而，该法案引发了诸多担忧。苹果公司警告称，该法案在加密和安全方面存在“危险的模糊性”，可能需要开发一种能够解锁特定用户设备的工具，这可能会影响所有用户的安全。为回应技术能力通知请求可能导致系统性弱点的担忧，法案的相关评论通过举例反驳了这一观点，强调具体情况需根据实际情况判断，并非一定会导致系统性弱点。同时，法案明确规定，强制采取的行动不得导致指定通信提供商在电子保护形式中引入或构建系统性弱点或漏洞。

2. 脸书的隐私转型与各方反应

2019年3月，马克·扎克伯格宣布脸书将向更注重隐私的平台转型。此前，脸书因用户数据泄露事件声誉受损，股价下跌，公众对其信任度大幅下降。扎克伯格认为，未来的通信将越来越多地转向私人、加密服务，人们期望私人通信得到安全保护，只有接收者才能看到。他还表示，脸书 Messenger 将很快与 WhatsApp 一样采用端到端加密。

但这一计划遭到了美国司法部长威廉·巴尔、国土安全部长凯文·麦卡利南、澳大利亚内政部长彼得·达顿和英国内政大臣普里蒂·帕特尔的反对。他们在2019年10月写信给扎克伯格，抗议脸书部署端到端加密的计划。信中以儿童剥削问题为例，强调端到端加密可能会增加儿童面临的风险，因为这会使执法部门难以获取相关通信内容。他们指出，脸书在打击儿童性剥削和恐怖主义方面发挥了重要作用，如2018年向美国国家失踪和受剥削儿童中心（NCMEC）提交了1680万份报告，帮助英国执法部门逮捕了2500多人，保护了近3000名儿童。

脸书的回应来自 WhatsApp 和 Messenger 的负责人威尔·卡斯卡特和斯坦·丘德诺夫斯基。他们认为，27亿用户有权期望端到端加密，执法部门要求的“后门”访问将为犯罪分子、黑客和专制政权提供可乘之机，会使平台上的每个人面临更大的现实生活伤害。他们还强调，即使采用端到端加密，脸书仍会通过其他方式协助执法部门，如利用人工智能主动检测不良内容，每月根据滥用模式禁止200万个账户，并扫描未加密信息以查找虐待内容。

此外，一些民权组织、科技公司和技术专家也联名致信，表达了对部长们信件的“严重关切”。他们认为，目前不存在解决特殊访问问题的技术，而且加密并不会削弱打击犯罪的能力，因为科技时代产生了大量关于个人及其活动的数字信息。他们还质疑了 FBI 对加密问题规模的量化准确性，指出 FBI 在不同时间给出的数据存在差异，这种不清晰或夸大的情况在加密战争中一直引发不信任。

3. 巴尔的加密政策演讲与各方观点碰撞

2019年7月，巴尔在一次关于加密政策的演讲中进一步阐述了他的观点。他认为，虽然应该使用加密技术保护自己免受网络犯罪分子的侵害，但不应以牺牲社会抵御其他犯罪威胁的能力为代价。加密会降低社会的整体安全性，创造一个“无法无天的区域”，使犯罪分子能够在数字盾牌后隐藏其通信和活动，给社会带来巨大成本。他以墨西哥贩毒集团为例，说明加密如何阻碍执法部门的工作，声称如果有解密能力，可能会挽救数百名墨西哥警察的生命。

巴尔表示，相信存在技术解决方案可以在不显著削弱加密安全性的情况下实现合法访问加密数据。他批评了技术专家认为无法开发加密访问方法的观点，并首次承认引入访问方法可能会降低加密提供的安全性，但强调应从风险的角度看待这一问题。他以一个简单的例子说明，在保证一定网络安全水平的情况下，不应为了追求微小的安全提升而牺牲执法部门获取数据的能力。

布鲁斯·施奈尔评论称，巴尔的演讲使人们能够进行一场明智的政策对话，从虚假的安全与隐私辩论转向真正的安全与安全辩论。然而，前 FBI 总法律顾问吉姆·贝克则认为，巴尔将网络空间称为“无法无天的区域”是错误的，他认为目前适用的法律并非巴尔或司法部所期望的那样。贝克曾在 FBI 任职期间主张通过新立法实现特殊访问方法，但后来改变了立场。他认为，政府不应为了实现目标而破坏更广泛的安全生态系统，应收集可能保持未加密的通信，如元数据，并开发或购买一流的分析工具。他强调，公共安全官员应接受加密，因为这是在高度退化的网络安全环境中保护社会最有价值数字资产的重要方式。

4. 佛罗里达恐怖袭击事件与加密难题

2019年12月底，沙特空军军官穆罕默德·赛义德·阿尔沙姆拉尼在佛罗里达州彭萨科拉军事基地发动恐怖袭击，造成三名美国水手死亡。阿尔沙姆拉尼在袭击时携带了两部 iPhone，其中一部在与第一响应者的交火中被他开枪试图摧毁，另一部也受损。FBI 修复了手机，但威廉·巴尔表示，这两部手机设计得几乎无法在没有密码的情况下解锁，了解枪手在死前与谁通信以及通信内容非常重要。FBI 请求苹果公司协助解锁手机，但巴尔称未得到“实质性帮助”。

特朗普在2020年1月14日发推文指责苹果公司，要求其协助解锁杀手、毒贩和其他暴力犯罪分子使用的手机。然而，在5月，巴尔透露 FBI 成功破解了手机，确定了阿尔沙姆拉尼与阿拉伯半岛基地组织（AQAP）的重要联系。但他强调，这一过程不仅依赖于 FBI 的“智慧”，还靠“运气”，这种方法不可扩展或重复，因此再次呼吁立法解决方案。

苹果公司“拒绝了未提供实质性帮助”的说法，称对 FBI 的多次请求做出了及时、全面的回应，并提供了大量信息。数字取证公司的 CEO 安迪·加勒特表示，现在有工具可以从 iPhone 5 和 7 中提取数据。这一事件凸显了加密技术给执法部门带来的挑战，以及科技公司与政府之间在加密问题上的分歧。

5. 国会的警告与苹果的决策

佛罗里达袭击事件后，2019年12月初，参议院司法委员会向科技公司发出了两党警告。曼哈顿地区检察官赛勒斯·万斯表示，他的团队使用“合法黑客方法”解锁设备成本高昂且成功率仅为50%，许多严重案件中无法及时获取设备数据，因此需要立法解决问题。多位共和党参议员也向苹果和脸书代表施压，要求它们找到解决方案，否则国会将采取行动。

此外，路透社报道称，由于 FBI 的压力，苹果公司在2020年1月放弃了对 iCloud 备份进行加密的计划。此前，苹果曾计划为 iPhone 备份提供端到端加密，但最终因担心被公开攻击、被起诉或引发新的反加密立法而放弃。一位前苹果员工认为，这一决定可能是为了避免风险，也有员工认为可能是担心用户在设备丢失、被盗或忘记密码时成本过高。

6. 新法案的提出与争议

2020年3月5日，共和党参议员林赛·格雷厄姆提出了《消除交互式技术的滥用和猖獗忽视法案》（EARN IT 法案）。该法案旨在建立一个国家在线儿童性剥削预防委员会，制定最佳实践以防止、减少和应对在线儿童性剥削问题。委员会由19名成员组成，包括司法部长、国土安全部长和联邦贸易委员会主席等，其中只有最多两名成员具有宪法法律、消费者保护或隐私方面的经验。委员会有18个月的时间提出最佳实践建议，这些建议需经国会辩论通过。若技术平台不遵守最佳实践，将失去《通信规范法》第230条规定的责任保护。

该法案遭到了广泛反对。参议员罗恩·怀登称其“存在严重缺陷且适得其反”，认为这是特朗普政府利用儿童性虐待问题谋取政治利益的特洛伊木马，会损害美国人的言论自由、安全和隐私。电子前沿基金会（EFF）的索菲娅·科普和亚伦·麦基认为，该法案不合理地规范了在线言论，迫使在线服务提供商在政府压力和重大刑事及民事责任之间做出艰难选择。埃利奥特·哈蒙指出，该法案以保护儿童为借口，实则是对在线言论自由和安全的攻击，是破坏端到端加密的工具。马修·格林则更尖锐地批评该法案是政府禁止商业服务加密的后门方式，即使不直接禁止加密，也会使主要提供商难以商业性地部署加密技术。

紧接着，格雷厄姆又与其他共和党参议员提出了《合法访问加密数据法案》（LAEDA）。该法案更直接地要求技术制造商和服务提供商主动设计其产品，以便在需要时为政府提供解密数据，包括静态数据和动态数据。

这场加密战争仍在继续，各方在隐私保护、安全需求和执法权力之间寻求平衡。未来，如何在保障公民隐私和安全的同时，满足执法部门的合理需求，将是一个亟待解决的问题。

以下是一个简单的 mermaid 流程图，展示了澳大利亚加密法案的行业协助层次：

graph LR
    A[加密拦截问题] --> B[澳大利亚通过TOLA法案]
    B --> C[技术协助请求（TAR）]
    B --> D[技术协助通知（TAN）]
    B --> E[技术能力通知（TCN）]
    C --> F(自愿援助)
    D --> G(强制协助)
    E --> H(去除加密协助)

法案名称	主要内容	目的
EARN IT法案	建立国家在线儿童性剥削预防委员会，制定最佳实践，不遵守将失去责任保护	防止、减少和应对在线儿童性剥削
LAEDA法案	要求技术制造商和服务提供商主动设计产品，为政府提供解密数据	实现合法访问加密数据

加密战争III：2013年至今的纷争与博弈

7. 加密技术对儿童虐待内容检测的影响

随着苹果和脸书等公司部署端到端加密技术，儿童虐待内容的检测难度显著增加。技术公司深知互联网对儿童虐待者的便利，因此采取了多种措施来减少此类数字犯罪。其中，照片扫描是检测儿童虐待内容的有效方法之一，它通过将平台上的图片与已知虐待照片数据库进行哈希比较，并结合人工智能技术，来识别可疑内容。

然而，端到端加密技术的应用使得这种扫描技术变得无效。因为加密后的数据只有发送者和接收者能够解密，第三方（包括技术公司和执法部门）无法直接访问和扫描这些内容。这意味着，即使技术公司有强大的检测工具，也无法在加密数据中发现儿童虐待内容。

8. 各方对新法案的态度分析

8.1 政府部门

政府部门推动立法的主要目的是为了确保执法部门能够在必要时获取加密数据，以打击犯罪，尤其是儿童性剥削和恐怖主义等严重犯罪。他们认为，加密技术的广泛应用使得犯罪分子能够逃避法律制裁，给社会安全带来了巨大威胁。因此，政府希望通过立法，要求技术公司提供解密数据的方法，或者在产品设计中预留合法访问的途径。

例如，巴尔在演讲中强调，加密技术不能以牺牲社会的整体安全为代价，应该在保障网络安全的同时，让执法部门能够获取必要的证据。他认为，存在技术解决方案可以实现合法访问加密数据，而不会对加密的安全性造成实质性的损害。

8.2 技术公司

技术公司则更注重用户的隐私和数据安全。他们认为，端到端加密是保护用户隐私的重要手段，能够防止用户的通信内容被第三方（包括政府）窥探。一旦为政府提供解密数据的途径，就相当于打开了一个“后门”，可能会被黑客和犯罪分子利用，从而危及用户的安全。

以苹果公司为例，在佛罗里达恐怖袭击事件中，苹果拒绝了 FBI 解锁手机的请求，认为这会破坏其安全体系。苹果公司强调，他们一直致力于保护用户的隐私和数据安全，不会轻易妥协。

8.3 民权组织和技术专家

民权组织和技术专家担心立法会侵犯公民的基本权利，如言论自由和隐私权。他们认为，政府的要求可能会导致过度的监控和信息泄露，对民主社会造成威胁。此外，他们还对政府声称的技术解决方案表示怀疑，认为目前并没有可靠的方法能够在不削弱加密安全性的情况下实现合法访问。

例如，电子前沿基金会等组织反对 EARN IT 法案，认为该法案是政府控制在线言论和侵犯公民隐私的工具。

9. 未来加密战争的发展趋势

9.1 技术创新与对抗

技术公司将继续加强加密技术的研发，以应对政府的监管压力。他们可能会开发更安全、更难以破解的加密算法，或者采用新的技术手段来保护用户的隐私。同时，执法部门也会寻求新的技术方法来获取加密数据，如利用人工智能和大数据分析等技术，从其他渠道获取相关信息。

例如，一些技术公司正在研究零知识证明等技术，以在不泄露数据内容的情况下，验证数据的真实性和合法性。

9.2 立法与监管的加强

政府部门可能会继续推动立法，以确保执法部门能够合法访问加密数据。未来可能会出现更多类似 EARN IT 法案和 LAEDA 法案的立法提案，要求技术公司在产品设计中考虑政府的需求。同时，政府也会加强对技术公司的监管，确保其遵守相关法律法规。

例如，政府可能会要求技术公司定期提交安全报告，证明其产品的安全性和合规性。

9.3 国际合作与协调

加密技术是一个全球性的问题，需要国际社会的共同合作和协调。各国政府可能会加强在加密政策方面的沟通和合作，制定统一的国际标准和规范。同时，国际组织也可能会发挥更大的作用，促进各国之间的合作和交流。

例如，联合国等国际组织可能会发起相关的讨论和倡议，推动全球加密政策的协调和统一。

10. 应对加密战争的建议

10.1 技术公司

加强安全研发 ：持续投入资源进行加密技术的研发，提高加密的安全性和可靠性。例如，采用量子加密等前沿技术，增强数据的保护能力。
加强与政府的沟通 ：积极与政府部门沟通，解释加密技术的重要性和安全性，争取政府的理解和支持。同时，参与立法过程，提出合理的建议和方案。
开发替代解决方案 ：除了端到端加密，探索其他保护用户隐私和安全的方法，如差分隐私等技术。

10.2 政府部门

制定合理的立法 ：在立法过程中，充分考虑技术公司的实际情况和用户的隐私需求，制定合理、可行的法律法规。避免过度监管，以免影响技术创新和发展。
加强技术研究 ：政府部门应加强对加密技术的研究，了解其原理和发展趋势，以便更好地制定政策和监管措施。
促进国际合作 ：积极参与国际合作，与其他国家共同制定加密政策和标准，提高全球的安全水平。

10.3 公众

提高安全意识 ：公众应加强对加密技术和隐私保护的认识，了解自己的权利和义务。例如，选择使用具有良好安全记录的应用程序和服务。
参与社会讨论 ：积极参与关于加密政策的社会讨论，表达自己的意见和建议，推动政府和技术公司做出合理的决策。

graph LR
    A[未来加密战争发展趋势] --> B[技术创新与对抗]
    A --> C[立法与监管加强]
    A --> D[国际合作与协调]
    B --> E(技术公司加强研发)
    B --> F(执法部门探索新方法)
    C --> G(政府推动立法)
    C --> H(加强监管)
    D --> I(各国沟通合作)
    D --> J(国际组织发挥作用)

参与方	应对建议
技术公司	加强安全研发、加强与政府沟通、开发替代解决方案
政府部门	制定合立法、加强技术研究、促进国际合作
公众	提高安全意识、参与社会讨论

加密战争是一场涉及隐私、安全和执法等多个方面的复杂博弈。在未来的发展中，各方需要在保障公民权利和社会安全之间找到平衡，通过技术创新、合理立法和国际合作等方式，共同应对加密技术带来的挑战。