|
拟议的英国在线安全法案是政府长期以来的两项愿望的实施:删除有害的互联网内容,以及端到端内容的可见性 在线安全法案是英国政府长期持有的两项愿望的颁布:删除有害的互联网内容,以及端到端 (E2E) 内容的可见性。后者只是执行前者的副产品。两者在国家安全(恐怖主义)和保护儿童的要求(儿童色情制品)上都是正当的。 在撰写本文时,该法案已通过下议院,目前正处于上议院的委员会阶段。它很可能(不确定)会成为法律。虽然这将是一项英国法律,但它的影响范围扩展到任何为英国人提供服务的互联网平台。 该法案的主要要点是平台提供商应对其平台上可用的内容负责,无论内容由谁生成。如果内容被认为是有害的(儿童色情、恐怖分子招募、复仇色情、欺凌、自残以及政府定义为“非法”的任何内容),则可能会要求提供商删除该内容。 所有这些听起来都很合理;但问题始于知名度和执法。执法将由政府自己的通信监管办公室 Ofcom 负责。为了能够确定是否遵守法律,Ofcom 必须对内容具有可见性。简而言之,这意味着政府对英国境内用户可用的任何互联网进行大规模监控。 但是,如果平台上的信息在消息传递或通信应用程序中受到端到端加密保护怎么办?那没关系;它仍然受法律约束,必须向 Ofcom 提供对明文内容的访问权限。简而言之,在线安全法案将要求消息传递应用程序提供商在加密数据中实施某种形式的后门——尽管政府声称这并不是对 E2E 加密本身的禁令。 Ofcom 的武器包括高达 1800 万英镑(2200 万美元)或全球收入 10% 的罚款(GDPR 最高为全球收入的 4%)、封锁平台,甚至对高级管理人员追究刑事责任。 问题在于端到端加密和后门是相互排斥的。英国政府坚称不必如此,但这是技术现实。Alec Muffett(前开放权利组织的安全政策顾问)在他的2022 年 E2E 加密政策入门中写道:“你不能被'一点点监视’。要么非参与者独立确定了爱丽丝与其他参与者所说的消息,要么他们没有。如果发生了这种情况,那么就发生了监视,端到端的保证就被打破了。” 异常情况是,如果政府能够访问内容,犯罪分子和外国政府几乎肯定能够使用相同的后门。 三个问题需要考虑三个问题。法律合法吗?消息传递应用程序提供商将如何应对?尽管有新法律,用户可以采取任何措施来确保私人通信吗? 法律法规 该法案的第一页指出(指的是欧洲人权公约 – ECHR):“惠特利湾的帕金森勋爵根据 1998 年人权法第 19(1)(a) 节作出以下声明:'在我的认为《在线安全法案》的规定与《公约》权利相符。” 该法案由数字、文化、媒体和体育部发起。帕金森是负责数字、文化、媒体和体育部的议会副国务卿。狐狸和鸡舍? SecurityWeek询问开放权利组织言论自由政策经理 Monica Horten,该法案是否与 ECHR 兼容。“没有,”她回答。“对于内容受到限制的用户,它缺乏程序保障,并且可能对私人聊天进行不成比例的监视,这是造成这种情况的两个原因。” 我们问,该法案能否在法庭上受到质疑。是的,她说。“过于宽泛的文本和最小的定义给它带来了挑战。” 该法律已经影响到美国公司。真正的危险是它的论点可能像传染病一样蔓延开来,被其他政府利用。 消息应用公司的回应: WhatsApp已经非常明确地声明它不会为 Ofcom 提供后门,并承认它可能在英国被封锁(就像在伊朗已经发生的那样)。它担心“自由民主”向更专制的政权发出的信息。 Signal总裁梅雷迪思·惠特克 (Meredith Whittaker) 告诉BBC,该组织“绝对会 100% 步行”,而不是遵守政府的监控要求。 Tutanota 的立场略有不同。在2023 年 2 月 28 日发布的博客中,该公司表示,“'走出去’不是这里的解决方案。我们在 Tutanota 的说法恰恰相反:我们不会从英国“走”出去。如果首相 Rishi Sunak 和他的政府想要阻止英国人使用强加密——就像我们的安全电子邮件服务 Tutanota 提供的那样——他必须阻止对 Tutanota 的访问——就像俄罗斯和伊朗已经在做的那样。” 其结果是,如果在该法案成为法律后,“E2E 加密”产品在英国可用,则不应再认为它是真正安全的,不会被窥探。 规避 Contrast Security的首席技术官兼联合创始人 Jeff Williams 。“这大约是我们第三次经历这种确切的冲突,”他说。第一次是 1993 年关于 Clipper Chip 的史诗般的战斗,其中包含一个后门,使执法部门能够访问加密通信。在此期间的 30 年里,还有其他类似的战斗都以同样的方式结束——未能使政府能够访问密钥 (GAK) 是一次尝试。 他接受既希望保护儿童免受在线伤害又同时希望保持个人通信的私密性和安全性的二分法。“问题是,”他说,“这两个目标无法调和。” 任何后门都会削弱加密。“几乎可以肯定的是,不受欢迎的人会使用这个后门来破坏每个人的安全和隐私。更糟糕的是,这些后门很容易被坏人、喜欢隐私的好人以及任何其他想要通过这个不安全的渠道进行安全通信的人绕过。” 他建议,一个简单的选择是超级加密。“本质上,你首先使用自己的非后门加密,然后使用后门加密通过系统发送。政府将只能访问使用您自己的非后门加密技术加密的内容。这对于通信格式和文件来说很容易实现。” 他几乎没有时间参加这场争夺执法部门访问加密信息的新战役。“Clipper Chip 在三年内就死了。这个法案不会持续那么久。在这一点上,强密码学已广为人知并广为人知。政府可以阻止世界居民之间安全通信的想法早已不复存在。显然,政府中有些人没有阅读讣告。” 当自由政府明白你无法通过成为合法的网络犯罪分子来打击网络犯罪时,最有效的规避就会到来。他们将两个愿望混为一谈:加强对互联网的控制,以及保护儿童。他们用后者来为前者辩护,但这两种愿望是不相容的。第一个是技术问题,第二个是社会问题。 在去年发表的一篇论文中,剑桥大学安全工程教授罗斯·安德森 (Ross Anderson) 首先驳斥了许多用于证明在线安全法案必要性的统计数据和论据,然后得出结论:“复杂的社会问题的想法易于接受廉价的技术解决方案是软件推销员的警笛,并已将许多容易上当受骗的政府部门引诱到岩石上。部长们购买神奇软件'解决方案’的想法,正如业界喜欢称呼其产品,结果往往令人失望,有时甚至是灾难性的。” Marcus Ranum 在 Ranum 定律中更简洁地说:“你不能用软件解决社会问题。” |
|
|
