澳洲新法針對加密通訊,為何值得全球用戶關注?

澳洲新法針對加密通訊,為何值得全球用戶關注?
Photo Credit: Depositphotos
我們想讓你知道的是

澳州在本月初通過新法,執法機關在調查期間如有需要,可要求科技公司交出用戶的通訊內容。但條文含糊之處令關注私隱、人權的團體擔憂,當局實際上會削弱加密通訊。

本月初澳洲政府通過新法,讓執法部門有權要求科技公司提供協助,取得所需資訊。執政的自由黨—國家黨聯盟獲在野的工黨讓步撤回修訂下通過法案,立法過程趕急得招來澳州律師公會(The Law Council of Australia)發聲明批評之餘,這條新法案給予執法部門的權力備受關注,特別是當中對加密通訊及資訊安全的影響。

法案全名為《2018年電訊及其他條例修訂(協助及存取)法案》,修訂主要針對加密通訊——澳洲政府認為加密通訊變得無處不在,為執法部門查案時帶來挑戰,因此需要立法規定科技公司為當局提供協助,有必要時讓他們能夠查閱調查對象的訊息。

根據這條法例,澳洲的執法部門可向科技公司提出以下三個層次的要求︰

  1. 技術協助請求(technical assistance request)︰有關公司收到後,可向執法部門提供「自願協助」,以「維護國家安全和執行法律」。
  2. 技術協助通知(technical assistance notice)︰有關公司收到後,在該公司已有能力做到——合理、合比例、可執行及技術上可行——的情況下,以現有手段提供解密通訊內容的方法。
  3. 技術能力通知(technical capability notice)︰由檢察總長發出,要求科技公司「建立新技術能力」去為執法部門解密通訊內容,但條例特別限制不能加入「系統性弱點」(systemic weakness)或「系統性漏洞」(systemic vulnerability)。

表面上,條文規定不能加入「系統性漏洞」,似乎回應了常見對於「執法部門要求科技公司削弱加密系統」的擔憂,然而批評者認為「系統性漏洞」的定義含糊不清。

「加密戰爭」的核心

關於國家調查權力以及加密技術的衡突,往往在於近年不少通訊軟件採用的「端對端加密技術」(end-to-end encryption)。這項技術使收發訊息者以外的第三方——包括提供服務的公司——難以破解及竊聽,因此使需要監控疑犯的執法人員頭痛,然而此技術是現代網絡的核心,亦是最能夠保障私隱的通訊技術。

一如近年在各國屢見不鮮的「加密戰爭」,政府均以「國家安全」為理由,要求有權監控以加密技術傳播的訊息,所提出的方法往往是要求科技公司為其通訊系統增設「後門」,讓執法人員在有需要時(例如在獲得法庭手令下)可以打開查看特定對象的訊息。

ua5m6lm0vsdihpniah7fl8rq2lseyt
Photo Credit: Jeremy Brooks, CC BY-ND 2.0

然而保安專家已一再指出,沒有只為「好人」而設的技術,一旦系統增設了這個「後門」,黑客就有可能發現並加以利用,令所有使用者均可能受害。換言之,這個「後門」其實是「漏洞」。

最根本的私隱及保安憂慮在於,只要系統容許當局窺看特定用戶的訊息,便難以確保沒有黑客會發現此方法,並用來截取其他用戶的訊息。而且政府官員同樣會使用加密通訊軟件,假如系統有漏洞的話,外國政府可指使黑客取得機密訊息,違背了所謂「為國家安全」的理由。

不削弱加密下,可讓警察截取通訊?

如果規定不可引進「系統性漏洞」,會否讓澳洲的法例比較合理?

那就得先看何謂「系統性漏洞」,根據條文的定義,那是指影響「一整類技術」的漏洞,但不包括針對一項或多項跟特定人物有關的「目標技術」——例如該人使用的特定電訊服務、電子服務、裝置及裝置上的軟件等。

按照此定義,條文禁止當局要求所有通訊服務設置同一後門,但容許就各個通訊軟件——例如WhatsApp、iMessage及Telegram等——逐一開發為其平台特製的後門。這樣看來,影響範圍一樣嚴重。

在上個月底(11月29日),英國情報機關政府通訊總部(GCHQ)兩名技術總監利維(Ian Levy)及羅便臣(Crispin Robinson)提出一項宣稱不損害端對端加密技術的截取通訊方法。

兩人指出,以往情報機關及執法部門會以「勾線」方式竊聽電話中的對話內容,而在加密通訊系統中,服務提供者可以暗中把執法人員加進調查對象的對話,雖然通訊內容仍然採用端對端加密,但就新增了一個端點。他們認為使用這方法的話,服務維持端對端加密之餘,同時讓執法人員可以取得調查所需的資訊。

所有用戶均受影響

不過密碼學家格連(Matthew Green)就反駁指,這是非常差的建議。他指出,現時絕大多數端對端加密通訊軟件在對話群組中新增參與者時,均會顯示訊息通知用戶,但警方當然不想讓調查對象得悉,所以需要系統隱藏這個訊息。

現時軟件設計令當局難以從伺服器封鎖該訊息,因此需要更新用戶正在使用的程式。問題是,如何讓調查對象安裝這個削弱安全的更新版本?結果就是需要所有人都安裝更新,換言之所有人的通訊安全都受影響。

他指出,在製造所謂「針對性漏洞」的過程中,其實已引入影響全部用戶的安全漏洞。即使當局宣稱會盡力阻截其他人濫用,但歷史已多次證明這只會徒勞無功,因此保安專家不會刻意加入漏洞。

而兩人所謂「不削弱加密」,只不過是採取狹窄定義,整個加密通訊系統的安全——特別是在密鑰分發一環——仍然受到影響。

不只是澳洲的事

民主及科技中心「自由、保安及技術計劃」總監勞占(Greg Nojeim)指出,一個國家對跨國服務供應商、裝置製造商提出的要求,可以影響這些公司的全球運作。假如科技公司在通訊軟件加入漏洞,以滿足當局要求,或會令全球用戶都受影響。

此外,勞占認為有其他風險︰「其他國家亦可能訂立類似法例,強迫公司為加密通訊設置後門。澳洲今次訂立的新例涵蓋範圍廣闊而且含糊,是極差的例子。」

作為換取工黨撤回修訂的條件,澳洲國會來年將研究修訂案,但關注私隱的倡議者對此並不樂觀。內政部長達頓(Peter Dutton)則表明不會接受工黨所有修訂,僅接受跟國會情報及保安聯合委員會建議一致的修訂。

相關文章︰

資料來源︰

或許你會想看
更多『新聞』文章 更多『科技』文章 更多『Kayue』文章
Loader