邮箱网 0条评论 6638次浏览 2019年06月05日 星期三 09:36
中国邮箱网讯 6月5日消息 引述外媒报道,苹果和其他科技巨头已加入民间社会团体和安全专家,谴责英国网络安全机构的提案,该提案将使执法部门能够访问端到端的加密信息。在致英国GCHQ(政府通信总部)的公开信中,包括苹果,谷歌和WhatsApp在内的47个签署者敦促英国窃听机构放弃其所谓的“幽灵协议”计划,这将要求加密的消息服务直接向第三个收件人发送消息,同时将消息发送给其预期用户。
英国国家网络安全中心的技术总监Ian Levy和GCHQ的密码分析负责人Crispin Robinson在2018年11月公布了该提案的详细信息。GCHQ的提议 - 英国相当于NSA--旨在提供一种加密解决方案,这将破坏应用程序中的隐私和安全性,如Messages,FaceTime,WhatsApp和Signal ......
建议的解决方法,又名'幽灵提案'
到目前为止,像Apple这样的公司已经能够告诉执法部门,它无法为他们提供访问消息聊天和FaceTime呼叫的权限,因为这些服务使用端到端加密。这意味着Apple不知道加密密钥,因此无法访问内容。
但英国政府通信总部(GCHQ)认为它有一个聪明的解决方法。在2月份首次披露,它希望消息公司秘密地将执法机构作为聊天中无形的参与者。
服务提供商可以相对容易地将执法参与者静默添加到群聊或通话中。服务提供商通常控制身份系统,因此确实决定谁是谁以及涉及哪些设备 - 他们通常参与介绍聊天或呼叫的各方......。在这样的解决方案中,我们通常都在谈论抑制目标设备上的通知......以及可能与他们通信的通知。“简而言之,苹果公司 - 或允许人们私下聊天的任何其他公司 - 将被迫允许政府加入这些聊天,作为一个沉默,无形的窃听者。
公开信 于5月22日发出,并于今日公布。它说幽灵提案必须以三个理由拒绝:
它违反了基本人权它会产生新的安全风险它违反了GCHQ自己声明的原则正如信中所说:
这个添加“幽灵”用户的提议将违反重要的人权原则,以及GCHQ部分中概述的几个原则。虽然GCHQ官员声称“你甚至不需要触摸加密”来实施他们的计划,但“幽灵”提案将对网络安全构成严重威胁,从而也威胁到基本人权,包括隐私和言论自由。特别是,如下所述,幽灵提案会通过破坏认证系统,引入潜在的无意识漏洞,以及制造滥用或滥用系统的新风险来制造数字安全风险。重要的是,它也会破坏GCHQ关于用户信任和透明度的原则。
签署者表示,iMessage,WhatsApp和Signal竭尽全力防范这种风险 - 第三方设法将自己添加到对话中。
例如,iMessage具有一组公钥 - 每个设备一个 - 它与对应于真人身份的帐户保持关联。当新设备添加到帐户时,密钥群发生变化,每个用户的设备都会在注意到更改后显示已添加新设备的通知[...][另一种方法被称为] Signal中的“安全号”和WhatsApp中的“安全码”(我们将使用术语“安全号”)。它们是从对话双方的公共密钥中得到的长串数字,可以在它们之间进行比较 - 通过其他可验证的通信通道(如电话)来确认字符串是否匹配。因为安全数是每对通信器 - 更准确地说,每对键 - 值的变化意味着键已经改变,这可能意味着它完全是一个不同的派对。因此,人们可以选择在这些安全号码发生变化时得到通知,以确保他们能够保持这种级别的身份验证。用户还可以在每次新通信开始之前检查安全号码,从而保证密钥没有变化,
这就是为什么当您添加新的Apple设备时,您会在现有设备上收到警报。
这封信强调了任何后门为好人使用而构成的根本问题,不可避免地会带来被坏人利用的风险。当然,这也是苹果拒绝在圣贝纳迪诺射击案中为FBI创建弱化版iOS的原因。