以下文章经许可转载自The Conversation,这是一个报道最新研究进展的在线出版物。
政府官员持续寻求科技公司的帮助,以打击恐怖主义和犯罪。但最常被提出的解决方案将严重限制普通人在线安全通信的能力。并且,它忽略了一个事实,即政府还有其他方法来电子监控调查目标。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您将帮助确保未来能够继续产出关于塑造我们当今世界的发现和想法的具有影响力的报道。
6月,来自五眼联盟国家的政府情报官员在加拿大渥太华举行会议,讨论如何说服科技公司“阻止恐怖分子消息的加密”。7月,澳大利亚总理马尔科姆·特恩布尔呼吁科技公司自愿禁止所有完全加密从发送者到接收者的传输消息的系统,这种方法被称为“端到端加密”。英国内政大臣安珀·路德在7月31日发表报纸评论文章,引起全球头条新闻,她认为“普通人”不需要端到端加密。
这些说法完全无视了已经在使用Signal和WhatsApp等安全消息应用程序的十亿普通人。并且,它不给未来可能想要这种安全性的人们留下任何空间。然而,一些科技公司看起来可能正在考虑移除端到端加密——而另一些公司多年前就安装了后门,以便政府访问。自从Clipper芯片成为新闻以来已经二十年了,但现在,20世纪90年代政府-企业-消费者“密码战争”的复兴威胁正在逼近。
对于像我这样的计算机科学家来说,有一件事非常清楚:我们普通人应该致力于改进我们最脆弱环节的安全——我们自己的设备。
端点是最薄弱的环节
至少目前,我们确实拥有良好、易于使用的解决方案,用于计算机之间的安全通信,包括消息的端到端加密。端到端加密意味着消息由发送者加密,由接收者解密,任何第三方都无法解密消息。
端到端很重要,但安全专家多年来一直警告,您数据最脆弱的地方不是在从一个地方传输到另一个地方的过程中,而是在它存储或显示在一端或另一端时——在屏幕上、磁盘上、内存中或云中的某个设备上。
正如维基解密发布的中央情报局黑客工具所强调的那样,如果有人能够控制设备,他们就可以无需解密即可读取消息。并且,入侵端点——包括智能手机和个人电脑——变得越来越容易。
为什么我们在端点最脆弱?因为我们不喜欢不便,并且因为增加更多保护会使我们的设备更难使用,就像在门上安装多把锁会使进门更难一样,对于房主和小偷都是如此。发明新的方法来保护我们的数字端点,而不降低其可用性是非常具有挑战性的,但一些即将出现的新技术可能会有所帮助。
下一代解决方案
假设一个犯罪组织或邪恶政府“邪恶政权”想要监视您和与您通信的所有人。为了保护自己,您安装了一个端到端加密工具,例如Signal,用于消息传递。这使得“邪恶政权”的窃听——即使有法院的许可——也变得更加困难。
但是,如果“邪恶政权”欺骗您在您的设备上安装间谍软件呢?例如,他们可以用一个被入侵的版本替换您最喜欢的游戏“ClashBirds”的合法升级。或者,“邪恶政权”可以使用恶意软件“网络调查技术”作为进入您机器的后门。通过控制您的端点,“邪恶政权”可以在您输入消息时读取您的消息,甚至在它们被加密之前。
为了防范“邪恶政权”的任何一种诡计,我们需要在几个关键方面改进我们的端点安全措施,确保
此外,如果用户可以自己控制其应用程序的安全性,而不是必须依赖由另一个脆弱的公司提供的应用商店安全,那就更理想了。
计算机安全专家对区块链技术可能能够帮助我们保护我们自己的端点这一想法感到兴奋。区块链是比特币和其他加密货币的基础技术,它创建了一个可验证、不可更改的公共信息记录。
对于端点安全而言,这意味着计算机科学家可能能够创建基于区块链的工具来帮助我们验证我们应用程序的来源。我们还可以使用区块链来确认我们的数据没有被篡改,并确保我们的隐私。只要这些程序的源代码也像今天的Signal一样,可以供我们自由检查,安全社区就能够验证没有秘密后门。
与任何新技术一样,关于区块链及其可以做的事情,存在大量的炒作和虚假信息。我们需要时间来筛选所有这些想法并开发易于使用的安全工具。与此同时,我们所有人都需要继续尽可能地使用端到端加密应用程序。我们还应该对密码卫生以及我们在机器上安装的应用程序保持警惕。最后,我们必须要求普通人始终能够访问可用的最佳安全机制,以便我们自己决定如何以及何时抵制监视。
本文最初发表于The Conversation。阅读原文。