繼19日獲得議會批準其在線安全法案后,英國政府加大了對Meta的壓力,要求其不要在Facebook Messenger和Instagram上推出端到端加密(E2EE) -除非它采用政府要求的未具體說明的“安全措施”,內政大臣表示這應該允許執法部門在保護用戶隱私的同時繼續檢測兒童性虐待材料(CSAM)。20日早上在接受BBC廣播四臺“今日節目”采訪時,內政部長蘇埃拉·布雷弗曼(Suella Braverman)聲稱,英國執法部門目前能夠發現的絕大多數在線兒童性虐待活動都發生在Facebook Messenger和Instagram上。隨后,她猛烈抨擊了 Meta將“沒有安全措施”的E2EE使用范圍擴大到這兩項服務的提議,她認為此舉將“禁用并禁止執法機構訪問這種犯罪活動 [即CSAM]”。不言而喻的是,英國政府正在利用兒童安全作為民粹主義借口,推動將監控基礎設施嵌入到高度加密的平臺中,以實現那種全面訪問,滿足GCHQ、MI-5等情報機構的需求。
這家社交媒體巨頭此前曾表示,到2023年底,將在其所有應用程序中實施強加密。今年,它一直在加大測試力度。盡管來自政策制定者的摩擦顯然使得創始人馬克·扎克伯格在2019年宣布的“轉向隱私”計劃進展緩慢,當時他表示公司將在其服務中普遍應用E2EE。
不過,今年8月,Meta終于宣布將在年底前默認為Messenger啟用E2EE。但該計劃正面臨英國政府的新一輪攻擊——英國政府新近通過《在線安全法案》拿起了法律義務的大棒。
多年來,專家們一直警告立法中的監視權力對E2EE構成風險。但政策制定者沒有聽——我們得到的只是最后一刻的忽悠。這意味著Meta和英國網絡用戶等平臺將面臨另一輪加密貨幣戰爭。
據了解,私下里部長們并沒有對布雷弗曼聲稱的隱私安全E2EE安全措施的存在表示信心——事實上,本月早些時候的部長級言論被廣泛解讀為表明政府正在撤回與歐盟的沖突。大型科技公司在加密方面的問題(其中一些公司警告說,他們將從英國撤回服務,而不是破壞用戶安全)——因此今天早上內政部發出的威脅聲音帶有政治戲劇的氣氛。
但隨著數百萬網絡用戶的安全和隱私被重新利用,這種熟悉的、顯然是永無休止的舊權力游戲的重新上演。
“具有安全措施的端到端加密”是什么?存在嗎?
當BBC詢問如果Meta繼續推出E2EE而沒有采取她想要的額外措施時,政府會怎么做時,Braverman證實,如果Meta不遵守在線安全規定,Ofcom有權對Meta處以高達其全球年營業額10%的罰款賬單。不過,她再次強調,政府希望與該公司“建設性地合作”,應用“帶有安全措施的端到端加密”,正如她所說。她稱《在線安全法案》具有里程碑意義,該法案確實賦予政府新的廣泛權力,以便在必要時通過Ofcom指示社交媒體公司采取必要措施刪除不雅內容,推出技術并采取必要措施保護兒童。
內政部總部長稱相信這項技術的存在。互聯網觀察基金會對此表示同意。NSPCC同意,”她繼續說道,并再次提到了她希望Meta應用的未定義的“安全措施”。“技術領導者、技術行業組織已經開發了這項技術——現在Meta正在做正確的事情,為了兒童安全與我們合作,防止他們的社交媒體平臺成為戀童癖者的避風港。推出這項技術不僅可以保護兒童,還可以保護用戶隱私。”
雖然內政大臣沒有具體說明政府指的是哪些“安全措施”,但內政部關于E2EE的新指南建議部長們希望Meta實施類似的哈希匹配技術來檢測其多年來一直使用的CSAM,但針對的是非E2EE服務。
客觀地說,將內容掃描技術應用于只有發送者和接收者持有加密密鑰的高度加密的內容是完全不同的事情。因此,安全和隱私專家擔心,政府對“安全技術”的推動將通過《在線安全法案》中包含的動力,導致Ofcom強制要求E2EE平臺將客戶端掃描技術融入到其系統中——許多專家警告稱,此舉將導致數百萬網絡用戶的安全和隱私面臨風險。
情報大佬政府通訊總部(GCHQ)來站臺!
媒體聯系了內政部,詢問Braverman指的是哪些安全措施,以及政府是否指示Meta對Messenger和Instagram應用客戶端掃描。內政部發言人沒有提供直接答案,但指出了這一安全技術挑戰——重申內政部的說法,該基金證明以隱私安全的方式進行掃描“在技術上是可行的”。
但布雷弗曼和政府面臨的問題是安全和隱私專家對這一說法提出異議。
內政部關于E2EE和兒童安全的指南確實還引用了一篇學術論文,該論文被描述為由“英國領先的密碼學家”撰寫,但實際上是由英國情報機構GCHQ的Crispin Robinson和Ian Levy博士(前技術總監)撰寫的。一位政府發言人聲稱,這篇論文概述了“多種技術,可以用作任何潛在的端到端加密解決方案的一部分——這樣既可以保護隱私和安全,同時也可以支持執法行動”。
事實是,布雷弗曼20日的言論似乎更進一步——聲稱技術已經存在,可以在保護用戶隱私的同時實現執法部門的訪問。然而,在GCHQ兩名專家的論文中,兩人僅得出結論,可能可以以減輕一些隱私問題的方式配置客戶端掃描。這也意味著相對于內政部大聲宣揚的完全保護用戶隱私的隨時可用的CSAM掃描技術,完全是驢頭不對馬嘴。
劍橋大學計算機科學與技術系安全工程教授羅斯·安德森(Ross Anderson)是一位經歷了數十年加密戰爭的老兵,他分析了布雷弗曼要求“沒有安全措施”時不得推出端到端加密。他認為,政府幾天前才向人們保證,沒有這樣的技術,人們應該放松,因為在新法律出臺之前他們無法執行。這是讓[在線安全]法案在議會獲得通過的熱線。他譏諷道,看起來GCHQ本周取得了驚人的科學進展!
永無休止的加密戰爭?
對內部部長Braverman言論的表態,Meta發言人還告訴媒體:絕大多數英國人已經依賴使用加密的應用程序來保護他們免受黑客、欺詐者和犯罪分子的侵害。我們認為人們不希望我們閱讀他們的私人信息,因此在過去的五年里我們一直在制定強有力的安全措施,以防止、檢測和打擊濫用行為,同時維護在線安全。我們今天發布了一份更新報告,列出了這些措施,例如限制 19 歲以上的人向不關注他們的青少年發送消息,以及使用技術來識別惡意行為并采取行動。隨著我們推出端到端加密,由于我們在保障人員安全方面的行業領先工作,我們預計將繼續比同行提供更多的執法報告。
因此,至少目前來看,Meta似乎堅持在E2EE上不進行客戶端掃描。
但毫無疑問,英國新法律規定的法律責任帶來的壓力,以及政客們揮舞著英國通信管理局的新權力,可以開出高達數十億美元的罰款。
目前看來,他們可能會遇到以下幾種情況:
第一種可能,像Meta這樣的科技公司通過巨額經濟處罰的威脅,被迫進行客戶端掃描。盡管非常強烈的聲明和公眾的反對使得這很難想象。(除了Meta之外,其他公開反對將監控技術應用于E2EE的科技公司還包括Signal、Apple和Element。)
事實上,考慮到更廣泛的聲譽考慮(畢竟,英國只是他們經營的市場之一),加上看起來相對較高的杠桿率,科技公司可能更愿意繼續威脅從英國撤走服務。考慮到如果WhatsApp等主流服務對本地用戶關閉,該國將遭受政治(和經濟)損失。
第二種可能,英國政府對E2EE平臺未定義的“安全措施”提出的嚴厲要求最終會演變成更溫和的要求,并且更像是另一種忽悠:比如說一攬子檢查和功能調整,但這些要求并沒有改變。不涉及任何客戶端掃描,因此可以為平臺所接受。因此,平臺不需要對用戶進行全面監視,而是可以采取一系列措施來聲稱合規(甚至打上“安全技術”的標簽)——例如年齡驗證;當用戶是未成年人時,限制某些功能的工作方式;加強報告工具和資源;積極采取措施教育用戶如何保持安全等——所有這些在最初的政府對他們的要求中都非常模糊,以至于政客們聲稱他們馴服了科技巨頭。
無論發生什么,有一件事看起來很清楚:加密貨幣戰爭將以某種新的形式繼續進行,因為有更大的力量在起作用。
普遍的結論是,政府正在利用兒童安全作為民粹主義借口,推動將監控基礎設施嵌入到高度加密的平臺中,以實現那種全面訪問,引起GCHQ等情報機構的高度興趣。
FreeBuf
關鍵基礎設施安全應急響應中心
安全內參
奇安信集團
中國信息安全
關鍵基礎設施安全應急響應中心
一顆小胡椒
安全牛
安全客
安全圈
奇安信集團
安全圈
