美国国会推进加密后门计划 境外安全机构立场难明

美国政府近日展开讨论，将于2016年出台相关法令，要求各企业及供应商在相关方案当中添加加密后门，以备执行机关对加密通信内容进行审查——这一消息对于各企业而言无异于一记猛击，特别是考虑到相关后门被恐怖分子掌握后可能引发的暴力行动。

截至目前，抵制这项法律要求的舆论仍占据上风，不过普通民众的观点可能会对这一状况发生重大改变，特别是考虑最近接连发生的严重恐怖事件。

面对此前连续出现的巴黎恐怖袭击与加利福尼亚州圣贝纳迪诺恐怖事故，国会中的立法者们再次祭起了一贯言论，认为应该利用加密硬件、软件与服务建立起新型方案，并在法官明确下令之后对加密业务内容进行解密。

如果后门被纳入正式硬性法律要求，则意味着各已经部署在企业内部的设备需要进行更新或者召回，而由此引发的潜在财务与后勤成本将成为企业客户乃至尚未在设备中添加加密后门之供应商的恐怖噩梦。这可能会影响到各类常用VPN及远程接入平台，外加部分负责保护企业移动设备内敏感信息的加密方案。

不过由于没有提供相关草案，因此我们无法判断这项法令的具体约束范围，只能将其总结为立法者们希望能够借此为执法部门提供新的调查工具。

两位高层执法者——美国联邦调查局局长James Comey以及纽约曼哈顿地区检察官小Cyrus Vance都坚持宣称，这条法令有助于阻止恐怖分子、儿童色情、绑架犯以及其它一些犯罪分子的恶意活动。在拥有这类后门程序的情况下，虽然我们仍然无法直接阻止上述犯罪行为，但却能够获取更多信息从而勾勒出更加详尽的事件全貌。

由Vance办公室发布的一份报告指出，有证据证明后门程序确实有助于利用由智能手机收集到的信息对谋杀、强奸以及性交易等违法行为进行定罪。这份报告同时强调称，苹果及谷歌都表示执法机关无法对犯罪嫌疑人的手机进行访问——只有对应用户才有能力将其解锁。“这种将手机锁定的能力将使得合法搜查及扣押遭受空前的限制，甚至会给政府方面的执法力度造成影响，”Vance办公室在这份报告中解释称。

Comey则于上周向参议院司法委员会证明称，恐怖分子当然意识到其所使用的硬件与软件无法解密，因此会定期利用相关手段组织恶意活动。“毫无疑问，使用加密技术已经成为恐怖谍报行为中的重要组成部分，因为他们意识到我们正面对问题，即法院判决无法突破他们使用的这些移动通信应用、特别是端到端加密机制，”他表示。“我们发现恐怖分子开始在世界各地使用此类功能进行通信，特别是在ISIS的谍报工作当中。”

Vance则寄希望于联邦政府进行针对性立法，要求在美国本土出售的所有智能手机必须能够在操作系统层面加入特殊设计，从而保证其中的数据能够在特定条件下接受访问。“简单来讲，这就要求操作系统的设计者及设备制造商不能将自己的产品打造成坚不可摧的壁垒，而应当接受合法的政府调查，”他写道。

除了设备上保存的加密数据，参议员们还讨论到了如何对加密通信内容进行解读。

奥巴马总统在圣贝纳迪诺枪击事件之后的电视讲话当中指出，在各类技术方案当中添加特殊机制——也包括后门——有助于打击恐怖主义活动。“这也是我们督促各高科技领导企业以及立法负责人推行这条法令的原因，这会显著加大恐怖分子利用技术手段逃避法律制裁的难度，”他解释称。

不过他所指的并不一定是那些需要被加密的机密消息——他曾经于今年早些时候拒绝就这方面事务进行立法，但政治环境的倾向性可能最终迫使他接受现实。

曾经在二十年前——即上世纪九十年代——在所谓加密战争期间成功突破加密后门，从而逆袭政府发布的不可破解加密访问控制的Phil Zimmermann指出，这条法令相对于对历史的重复，此次包含的具体作法就有将Clipper Chip引入移动手机以构建内置加密后门。

他同时指出，美国于2001年颁布的爱国者法案诞生于911恐怖袭击事件的六周之后，且现已脱离打击恐怖活动范畴而成为一项笼统的通行性法令。“在紧急情况下，这条法令能够实现带来很多效果，当然有正面的也有负面的，”他解释称。“如果我们接纳了后门，其造成的未知影响也会在未来很多年一直伴随着我们的生活。”

RSA总裁Amit Yoran也发表了类似的观点。“这无疑又是一项类似于爱国者法案的举措，”他指出，意味着尽管缺乏民众的普遍支持，但暂时性的情绪反应可能会占据上风并使其最终得以通过。“除了联邦调查局，这项政策在各情报界高层引发了一致性反感。”

国家安全委员会今年秋季起草了一份面向奥巴马总统的报告，其中指出“这种作法会降低网络安全水平。”

而且一旦得以通过，这项法令会给企业造成巨大影响，IP Architects公司总裁John Pironti指出——这家企业一直致力于帮助企业了解如何保护自己的网络与数据。相关影响甚至会超出中小型企业的资源承受能力，并导致其不得不依赖于服务供应商及加密厂商以调整或者更换现有加密基础设施。

而从供应商的角度来看，这意味着其需要建立并维护相关安全基础设施以容纳这些用于在产品中访问后门的密钥。“维护这类方案的成本是非常可观的，”Pironti表示。“这绝对是那种不花大钱实现不了的任务。”

Yoran指出，即使要求强制植入后门的法律得到通过，RSA也“绝对不会执行”。RSA已经逐步退出加密业务，因为“其不是我们未来发展愿景的组成部分，”他表示。另外，各企业客户是否会对已经购买的加密产品进行调整或者替换也是个悬而未决的问题。

Pironti表示他也不会遵循添加后门的要求。“我不打算与客户合作以损害加密技术的方式设置后门，”他指出。“毕竟客户需要依赖乃至信赖供应商。”

这种对加密消息进行解密的手段在设计层面上会给加密安全保障体系带来薄弱点，Zimmermann表示，意味着整套系统会更容易受到未授权方的侵扰。

Pironti则表示，对相关加密密钥进行保护的任务也很难实现。“在某种程度上，这部分密钥绝对不能以恶意方式或者恶意人士用于实现恶意目的。但具体该怎样加以保护?”他提出质疑。

而拒绝设立加密后门的一大主要原因在于，各类恶意人士——即那些已经属于犯罪分子的群体——将在美国法律约束不到的区域创建自己的技术手段，Pironti表示; 这意味着该法令根本无法限制真正需要监控的对象。

乔治亚技术学院在勒商学院教授Peter Swire则向参议院司法委员会证实称，这项法令将造成广泛的负面影响。

“由政府强制规定的这类安全漏洞将严重威胁甚至危害网络安全、隐私、人权以及美国的技术领先地位，而无法有效对抗对消息进行加密的敌人，”Swire指出。