杂文

苹果,谷歌和其他公司谴责英国暗中将执法加入加密聊天的建议

2019年5月31日

苹果,谷歌,微软和其他44个组织和安全专家签署了一封公开信,谴责一项暗中将执法机构加入加密聊天和电话的提案。

GCHQ的提议 – 英国相当于NSA–旨在提供一种加密解决方案,这将破坏应用程序中的隐私和安全性,如Messages,FaceTime,WhatsApp和Signal ……

建议的解决方法,又名’幽灵提案’

到目前为止,像Apple这样的公司已经能够告诉执法部门,它无法为他们提供访问消息聊天和FaceTime呼叫的权限,因为这些服务使用端到端加密。这意味着Apple不知道加密密钥,因此无法访问内容。

但英国政府通信总部(GCHQ)认为它有一个聪明的解决方法。在2月份首次披露,它希望消息公司秘密地将执法机构作为聊天中无形的参与者。

服务提供商可以相对容易地将执法参与者静默添加到群聊或通话中。服务提供商通常控制身份系统,因此确实决定谁是谁以及涉及哪些设备 – 他们通常参与介绍聊天或呼叫的各方……。在这样的解决方案中,我们通常都在谈论抑制目标设备上的通知……以及可能与他们通信的通知。“

简而言之,苹果公司 – 或允许人们私下聊天的任何其他公司 – 将被迫允许政府加入这些聊天,作为一个沉默,无形的窃听者。

出于显而易见的原因,该计划被称为“幽灵提案”。

打开信封

公开信  于5月22日发出,并于今日公布。它说幽灵提案必须以三个理由拒绝:

  • 它违反了基本人权
  • 它会产生新的安全风险
  • 它违反了GCHQ自己声明的原则

正如信中所说:

这个添加“幽灵”用户的提议将违反重要的人权原则,以及GCHQ部分中概述的几个原则。虽然GCHQ官员声称“你甚至不需要触摸加密”来实施他们的计划,但“幽灵”提案将对网络安全构成严重威胁,从而也威胁到基本人权,包括隐私和言论自由。特别是,如下所述,幽灵提案会通过破坏认证系统,引入潜在的无意识漏洞,以及制造滥用或滥用系统的新风险来制造数字安全风险。重要的是,它也会破坏GCHQ关于用户信任和透明度的原则。

签署者表示,iMessage,WhatsApp和Signal竭尽全力防范这种风险 – 第三方设法将自己添加到对话中。

例如,iMessage具有一组公钥 – 每个设备一个 – 它与对应于真人身份的帐户保持关联。当新设备添加到帐户时,密钥群发生变化,每个用户的设备都会在注意到更改后显示已添加新设备的通知[…]

[另一种方法被称为] Signal中的“安全号”和WhatsApp中的“安全码”(我们将使用术语“安全号”)。它们是从对话双方的公共密钥中得到的长串数字,可以在它们之间进行比较 – 通过其他可验证的通信通道(如电话)来确认字符串是否匹配。因为安全数是每对通信器 – 更准确地说,每对键 – 值的变化意味着键已经改变,这可能意味着它完全是一个不同的派对。因此,人们可以选择在这些安全号码发生变化时得到通知,以确保他们能够保持这种级别的身份验证。用户还可以在每次新通信开始之前检查安全号码,从而保证密钥没有变化,

这就是为什么当您添加新的Apple设备时,您会在现有设备上收到警报。

这封信强调了任何后门为好人使用而构成的根本问题,不可避免地会带来被坏人利用的风险。当然,这也是苹果拒绝在圣贝纳迪诺射击案中为FBI创建弱化版iOS的原因。

技术巨头,民权组织和安全专家签署了一封冗长的信函,谴责秘密增加执法机构加密聊天的提议。

文章为英文翻译,可能有错误,有英文能力的,可以阅读英文原文: https://9to5mac.com/2019/05/30/gchq-encryption/