为捉恐怖份子 应削弱加密通讯? 电脑安全专家︰「我们有那幺蠢

2020-06-15 199 views

造成过百人丧生的巴黎恐怖袭击发生后,美国情报部门指责斯诺登揭露英美政府大型监控计划,「提醒」了恐怖份子使用加密通讯。此外,伦敦市长庄逊在报章撰文批评斯诺登,香港作家陶杰亦在面书上引述英国《每日邮报》指洩密协助「伊斯兰国破坏英美在中东的情报网」。

►恐怖袭击的代罪羔羊︰斯诺登与加密通讯技术

这种指责被记者格林华德彻底驳斥,他以各种证据说明恐怖组织早在斯诺登洩密前十多年,情报机关已知悉恐怖份子会使用加密通讯。而根据Flashpoint Global Partners——一家专研究暗网(dark web)和深网(deep web)的公司——在去年9月的研究,便指出斯诺登洩密前后,圣战份子使用的加密通讯方式并无分别。

研究中甚至引述2010年10月(约洩密前3年),阿盖达的《启发》杂誌(Inspire Magazine)有段落解释加密通讯的重要,并推介使用软件「圣战份子的秘密」(Asrar al-Mujahideen)。该研究指出,远在斯诺登洩密前,圣战组织就怀疑执法及情报部门会监控其通讯,并以加密通讯作对策。

禁止「点对点」加密通讯?

恐怖袭击也让美国情报部门能够重新提出关于加密通讯的讨论,此前美国联邦调查局局长高铭(James Comey)就希望政府立法,要求科技公司在为客户提供的加密通讯服务中,加入一个后门,让政府在有需要时能读取通讯内容。

要是成功立法,这基本上禁止了「点对点加密」(end-to-end encryption)——只有通讯双方才能读取讯息的加密方式——也就直接削弱了通讯的保密程度。但在科技公司、保安专家及民间团体联手反对下,美国政府在上个月宣布暂时不会就此立法。

中情局局长布伦南(John Brennan)就在两日前表示,希望巴黎恐袭能够「唤醒」因个人私隐而反对政府监控的人。他认为现时有很多科技令情报机关在技术上及法律上难以获得所需讯息,并认为斯诺登需要承担部份责任。

然而,禁止点对点加密通讯,阻止恐怖袭击的成效甚微,却会严重影响私隐及资讯安全。

技术上无法阻止用户使用加密通讯

最简单的理由是,即使政府成功立法禁止WhatsApp、iMessage等软件使用点对点加密,恐怖份子仍然能够使用点对点的加密通讯,因此立法根本无法解决问题。

Johns Hopkins资讯安全学院的副教授Matthew Green指出,网上有多个开源的加密软件,根本无法阻止人使用这些软件通讯。他指出︰「执法机关只谈论能轻易下载的通讯软件,但我们在恐怖份子身上学会的是,他们会花精神时间去加密讯息,甚至隐藏通讯。他们并非完全依赖人们讨论的通讯软件。」

为捉恐怖份子 应削弱加密通讯? 电脑安全专家︰「我们有那幺蠢

电脑安全专家Bruce Schneier对此表示同意,他说︰「你不能强逼恐怖份子使用苹果的产品」。因此如果政府要强行在iMessage安装后门,恐怖份子最多只会转用其他软件。

讯息加密 仍可搜重要资料

即使用上加密通讯,情报部门仍然可以搜集通讯的「后设数据」(metadata)——通讯双方的IP地址、通讯时间、长度以及位置等。这些后设数据貌似无害,也无甚重要讯息,但事实上即使后设数据不含个人资料,情报部门还是可以推算出重要资讯。

今年1月的一份研究就发现,只需要小量的后设数据,例如信用卡交易记录,再结合网络上能公开搜寻到的资讯,也能够找出一个人的身份。

情报部门真的需要那幺多资料?

高铭认为只有后设数据并不足够,因为未有包含通讯内容。但Schneier认为「越多资讯越好」的想法与现实不符,有太多资讯的话,除了有很多错误讯息,情报人员甚至未必能够消化所有资讯。

媒体《拦截》(The Intercept)昨日的一篇报导,讲述中情局内的分析员在一次偶然机会下,发现其截取大量通讯的资料库中,储存了委内瑞拉石油公司高层的内部通讯。Matthew Green认为,中情局获得「一个拥有全球一半资讯的丑陋版Google」以及大量工具,仍需要分析员花大量工夫及运气才发现当中的重要讯息,显示中情局收集了太多资讯,以致他们也不知道自己有甚幺。

《拦截》的另一篇报导,则分析近2年在西方国家发生的10宗恐怖袭击,由最近的巴黎恐袭、年初的《查理》惨剧及犹太超市屠杀,以至到波士顿马拉松炸弹袭击,指出这多宗恐怖袭击中,情报部门早就有部份兇手、策划者的资料,列入监视名单中。

但我们可能有那幺蠢

Green认为「情报部门监听人民就能阻止恐怖份子」的想法神奇,并表示恐怖份子的适应能力很强,无论政府如何立法,他们总能找到方法通讯。

或许不少人仍会接受「牺牲一点私隐,协助政府捉恐怖份子」,可是在加密通讯之中插入后门的话,这个漏洞不会只给政府使用,罪犯、恐怖份子以至别国政府也可能发现并利用漏洞入侵电脑。美国TSA海关锁的主匙设计图被放上网一事,应是个非常好的提醒。

Schneier指出加密技术是资讯安全极其重要的一环,而任何后门都有害,如果容许政府获得这种读取讯息的权力,对资讯安全而言是个大灾难。「我们真的有那幺蠢吗?」他反问并回答︰「可能有,因为我们害怕,这正是问题所在。」

Weakening Encrypted Communications Would Do Little to Stop Terrorist Attacks, Experts Say (Scientific American) After Paris Attacks, Here’s What the CIA Director Gets Wrong About Encryption (Wired) Study finds no increase in jihadists’ use of encryption since Snowden leaks (The Daily Dot) U.S. Mass Surveillance Has No Record of Thwarting Large Terror Attacks, Regardless of Snowden Leaks (The Intercept) Mass Surveillance Isn’t the Answer to Fighting Terrorism (The New York Times) From Paris to Boston, Terrorists Were Already Known to Authorities (The Intercept)
上一篇: 下一篇: