“我认为这很可能是几十年来较荒唐的公共政策提议之一,”RSA公司首席执行官Amit Yoran告诉记者,“这表明立法者完全不了解加密技术的工作原理。”
尽管其他信息安全专家也同意这一观点,但美国国会议员、政治家和FBI仍然继续在推动加密后门程序,他们认为这将让执法部门更容易拦截通信以阻止恐怖活动。
专家称,加密后门程序的较终结果将是降低公众和企业的安全性,因为后门程序也会是攻击的目标。
Privacy Professor公司首席执行官Rebecca Herold表示,这就像是锁上门,而把钥匙放在门槛底下以防警方进入。
“那些想要进屋的人很快会知道每个人都将自己的钥匙放在了门槛下,”Herold称,“无论何时将任何类型的后门程序内置到安全技术都会削弱技术,让它们很容易受到攻击。犯罪分析、恐怖分子和恶意内部人员都会试图利用这个漏洞,以获取有价值的数据和/或赚钱,”
Herold表示,加密后门程序不仅留下漏洞让恐怖分子利用,还让执法部门的内部人员可以有意或无意地利用该后门程序。
“这种权力可能被滥用,恶意内部人员可通过出售后门程序密钥给诈骗者和恐怖分子获得丰厚的利益,或者他们可以像斯诺登那样发表高度公开的政治声明,”Herold称,“同时,FBI和其他政府机构可能以国家安全和国土安全的名义滥用后门程序。例如,众所周知,FBI滥用National Security Letters来获取完整的Web浏览历史记录、与某个人通信的所有人的IP地址、电子邮件地址和从安全通信服务供应商获取所有在线购买记录,还有很多根本不必要的数据,而且都是以国土安全的名义进行。”
随着媒体对这个话题的报道不断扩大,选举周期变得更加激烈,候选人也开始谈论这个话题。在较近的共和党辩论中,大多数候选人都对加密含糊其辞,只有一位候选人提到了这个词。
“加密是一个很大的问题,”俄亥俄州州长John Kasick表示,“加州的老百姓可能在与FBI调查的人进行通信,但由于他们的电话被加密,情报人员看不到他们在与谁通信,这部分信息丢失了。我们必须解决加密问题,虽然这并不容易。”
然而,并没有证据表明San Bernardino枪击案中的射击者使用了加密通信。
当SearchSecurity问及参议员Dianne Feinstein对加密后门的支持时,该参议员办公室质疑这个说法的定义。
“参议员Feinstein没有说她支持后门程序;她说的是她支持根据法庭指令公司可访问其自己平台中的信息,”Feinstein的新闻秘书Tom Mentzer表示,“后门程序一般被理解为一个安全漏洞,它允许其他人访问企业信息,而不需要企业知晓或合作,这并不是参议员Feinstein所说的意思。”
该参议员的办公室拒绝澄清如何在使用终端到终端加密的平台获得这种访问,并表示遵从参议员Richard Burr做出的决定,Richard是立法负责人。
截至发稿时,Burr的办公室还没有对此事作出评论。
专家指出,如果后门程序获得批准,犯罪分子将会避免使用包含这种后门程序的美国产品。
“这些攻击者不会使用被美国政府和美国技术提供商内置后门程序的加密技术,”Yoran称,“如果我们对我们的技术内置后门,他们将会使用其他可行的技术。所以,我们不仅无法抓到较严重的威胁,而且还削弱了隐私性和我们珍视的东西,同时降低了美国高科技公司的竞争力。”
Herold称,讽刺的是,很多政治家推行更少的法规,声称这将会在财政上伤害企业,并想要减少加密技术,但实际上这将对美国企业的财务带来严重负面影响。
“如果这是他们的逻辑,那么这说明他们不了解现在的企业是如何依靠加密来保护个人数据,同时保持全球竞争力,”Herold表示,“任何涉及个人信息和其他类型敏感信息的企业都知道他们必须使用强大的加密技术,这不只是为了保护数据,而且是为了保持全球竞争力。我有很多来自澳大利亚、亚洲和欧洲的潜在客户想要购买我的服务,但他们突然不再考虑使用我的服务,因为他们告诉我,他们担心我和其他美国企业很快会被法律要求使用薄弱的安全保护,例如启用后门的加密程序。他们担心所有数据都会受到美国政府的监控。”
电子前沿基金会活动主管Rainey Reitman表示,美国议员需要警惕他们可能为世界各地的互联网政策“树立榜样”。
“破坏我们通信工具的安全性将会影响美国和世界各地的互联网用户,并创建一个我们谁也无法真正信任的网络环境,”Reitman在博客中写道,“如果我们希望确保美国人民通信的隐私性和安全性,而不被外国政府监控,那么,我们需要发挥带头作用,向他们展示民主国家不会强制科技公司构建后门程序。毕竟,如果技术公司为美国执法部门创建特殊访问权限,那这家公司怎么可能拒绝其他国家政府?”
Herold称,总之,其他国家也将尝试获得与美国执法击机构相同的访问权限,但可能不会得到回应。
“FBI似乎认为,如果他们要求美国每个人使用弱加密,他们将能够破解恐怖分子和诈骗者使用的任何加密技术,”Herold称,“他们似乎没有意识到:首先,现在不止一种加密技术解决方案;其次,很多其他国家也提供强大的加密,这些国家不会因为FBI而削弱其加密技术。”
Herold总结性指出,美国政府需要先解决自身的问题。
“在较近OPM事件中泄露了FBI内部的个人信息,其中发现大量个人信息以明文存储,”Herold称,“他们怎么可以在斥责OPM没有加强加密器个人数据的同时,要求其他人减弱其加密呢?缺乏对加密工作原理的认识以及加密的可用性似乎是这个问题的答案。”
