0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

加密系统中建立后门是否不利于网络安全?

如意 来源:嘶吼网 作者:gejigeji 2020-08-24 14:46 次阅读

在过去的十年中,科技公司一直在对加密系统进行各种各样的改进,但不管怎么努力,网络安全似乎是一场无终止的斗争。比如,在这场持续的网络安全较量中,世界各国政府一直以打击虐待儿童和恐怖主义的名义推动后门加密。

近年来,关于是否要对加密系统中建立后门的争论越来越激烈。比如,2015年12月,联邦调查局(FBI)要求苹果协助解锁圣贝纳迪诺枪击案一名枪手的手机,以及2019年12月佛罗里达州彭萨科拉的枪击案。在这些案件中,按常理来说,苹果公司有义务帮助执法部门把真正的罪犯关进监狱的人,但处于各种保密原则,罪犯的手机解密并不是非常顺利。相反,这件事情之后,苹果公司的“反加密”措施越来越件事。

就在今年1月,微软CEO力挺苹果,坚称不该在加密系统中“留后门”,纳德拉在纽约与记者会面时表示:“我确实认为在加密中留后门是个糟糕的主意,这不是解决问题的最佳办法。我们总是在说,我们关心这两件事:隐私和国家安全。对此,我们需要某些法律和技术解决方案,才能使这两个问题成为优先事项。此外,我们不能在所有方面都采取强硬立场。但如果他们要我留后门,我会说不。我希望这些事情都能够通过立法找到解决方案。”

无用的端到端加密

科技公司在2010年代将重点放在隐私和安全上,许多公司推出了具有改进加密功能的产品。消息平台WhatsApp和Signal在2014年都向其用户的通信中添加了端到端加密。同一年,随着iOS 8的发布,Apple默认情况下在iPhone中启用了加密。

虽然加密可以有多种形式,但其目的都是相同的,保护数据机密性。端到端加密通过建立一个加密通道来实现该目标,在该通道中,只有客户端应用程序本身才能访问解密密钥。对于WhatsApp,这意味着即使用户的消息可能会遍历或存储在WhatsApp的服务器上,该公司也无法访问允许其解密和读取这些消息的加密密钥。消息对发送方和接收方以外的所有用户保持私密。

在加密状态下(比如在iPhone上),用户的密码或PIN作为加密密钥。当手机启动时,用户必须输入密码或个人识别码才能解锁手机数据。手机接收或创建的任何新数据(如图像或聊天消息)都使用该密钥进行加密。如果手机关机或进入“锁定模式”,解密后的数据将从手机内存中清除,用户必须再次输入密码才能解锁。

美国联邦调查局(FBI)和世界各地的其他执法机构都在不断要求苹果公司(Apple)和其他制造商创建一种“金钥匙”(golden key),能够解密所有设备上的所有信息。澳大利亚甚至在2018年通过了一项法律,强迫公司在加密系统中创建后门。虽然实现这一目标在技术上是可能的,但安全和隐私方面的影响将是巨大的。

“金钥匙”会带来更多的问题

根本就没有所谓的完全安全的后门,因为网络罪犯最终会得到“金钥匙”,或者利用金钥匙上的漏洞发起更严重的攻击。比如,2017年,就有黑客组织曝光了大量被认为是是美国国家安全局(NSA)所使用的Windows系统零日漏洞攻击工具。比如一个名为“SWIFT”的泄露目录下包含涉及迪拜银行和反洗钱组织EastNets内部结构的文件。全球有许多银行每天使用SWIFT消息系统进行万亿美元的转账操作,如果泄露的文件准确无误,似乎暗示NSA试图通过入侵SWIFT系统监控银行间的资金往来。NSA的Windows漏洞军火库利包括多个零日、利用工具可直接使用,任何下载的人都可以使用这批攻击工具,尤其是其中一些还是零日漏洞,没有补丁,可以直接远程命令执行。以上这些证据都清楚地表明,我们不应该那么快就相信政府机构会在安全方面采取负责任的行动。

为此,各个科技依靠加密来保护他们产品的知识产权,比如记者依靠加密技术保护自己和消息来源不受政府监控。你或许可以想象,一个敌对的国家会投入多少资源来寻找这样一个后门,如果它存在的话。

换个角度想一想,以物理保险箱作为类比,来研究加密争论,会怎么样?人们用保险箱储存重要的文件和物品,以防被人偷窃。同时,人们也可以用它们来储存犯罪证据。。是否应该要求保险柜制造商有意向每个保险柜添加薄弱点或创建主密钥?还是应该要求执法人员通过合法渠道强迫业主放弃钥匙?

前者正是各国政府要求苹果(Apple)、WhatsApp和其他公司做的事情。至少在美国,执法部门已经有权通过法院系统获取大量数据。以彭萨科拉(Pensacola)枪击案为例,Apple移交了多个帐户的iCloud备份,帐户信息和交易数据。联邦调查局最终在没有苹果帮助的情况下获得了有关手机的隐私信息,这让人质疑他们为什么需要后门。

去年12月6日,在佛罗里达州彭萨科拉(Pensacola)海军航空基地受训的沙特空军少尉阿尔沙姆拉尼(Mohammed Saeed Alshamrani)持枪冲进训练教室袭击,导致3人死亡8人受伤。

为此,美国联邦调查局(FBI)要求苹果帮助解锁枪手阿尔沙姆拉尼使用的两部iPhone,但被苹果拒绝。苹果称,已经向FBI提供了该公司所拥有的全部信息。

随后,美国司法部长威廉·巴尔(William Barr)和总统特朗普分别向苹果施压,敦促苹果帮助FBI解锁两部涉案的iPhone手机。特朗普还在Twitter上称:“我们一直在帮你,你却连个杀人犯的手机都不愿意帮我们解锁。”

而且,特朗普在达沃斯举行的世界经济论坛年会上接受媒体采访时继续向苹果施压。他说:“苹果必须要帮助我们,我对此非常坚决。他们掌握着这么多罪犯的密钥,我们可以有所作为。”

对反加密法规的抵制已经变得足够强烈,以至于许多政府对他们的尝试把设置后门这一行为变得更加隐蔽。以EARN IT Act为例,它是在今年早些时候引入美国参议院的,虽然它并未明确禁止加密,但它在美国司法部下成立了一个政府机构,可以定义组织必须遵循的“最佳实践”清单,以使其受到保护。根据《通信道德法》第230条为其用户承担民事和刑事责任。最佳实践列表很容易包含弱化的加密要求,并且很可能会很大程度上基于现任总检察长的要求。

即使大多数政府成功地通过了反加密法律,犯罪分子也只会转向不同的应用程序,而不是那些遵守法律的应用程序。放弃群众的安全和隐私,代价实在太大了,以至于无法为一些不太可能预防犯罪和极有可能导致滥用的事情付出代价。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3149

    浏览量

    59695
  • 加密系统
    +关注

    关注

    0

    文章

    18

    浏览量

    11031
  • 网络后门
    +关注

    关注

    0

    文章

    2

    浏览量

    5949
收藏 人收藏

    评论

    相关推荐

    加密算法在网络安全扮演什么角色?

    加密算法在网络安全扮演着至关重要的角色,以下是它们的主要功能和作用: 保护数据机密性 : 加密算法确保只有授权用户才能访问敏感数据,防止数据在传输或存储过程中被未授权访问。 确保数据
    的头像 发表于 12-17 16:00 50次阅读

    华纳云:加密算法在保护网络安全扮演什么角色

    加密算法在保护网络安全扮演着至关重要的角色,具体来说,它们的作用包括但不限于以下几点: 数据保密性:加密算法用于加密数据,将其转换为一种不
    的头像 发表于 12-06 15:22 147次阅读

    逻辑异或在网络安全的应用实例

    在数字世界,信息安全是至关重要的。随着网络技术的发展,保护数据免受未授权访问和篡改的需求日益增长。逻辑异或(XOR)作为一种基本的二进制运算,在网络安全
    的头像 发表于 11-19 09:50 173次阅读

    MSPM0 MCU网络安全机制

    电子发烧友网站提供《MSPM0 MCU网络安全机制.pdf》资料免费下载
    发表于 08-29 10:05 0次下载
    MSPM0 MCU<b class='flag-5'>中</b>的<b class='flag-5'>网络安全</b>机制

    工业控制系统面临的网络安全威胁有哪些

    ,随着技术的发展,工业控制系统也面临着越来越多的网络安全威胁。本文将详细介绍工业控制系统面临的网络安全威胁,并提出相应的防护措施。 恶意软件攻击 恶意软件攻击是工业控制
    的头像 发表于 06-16 11:43 1448次阅读

    Palo Alto Networks与IBM携手,深化网络安全合作

    网络安全领域的两大巨头Palo Alto Networks和IBM近日宣布建立全面合作伙伴关系,共同推动网络安全领域的创新发展。根据协议,Palo Alto Networks将收购IBM的QRadar SaaS资产及相关知识产权
    的头像 发表于 05-22 09:40 595次阅读

    企业网络安全的全方位解决方案

    安全域划分到云端管理,全面构建企业网络安全防线 在数字化浪潮席卷全球的今天,企业网络安全已经成为商业运营不可忽视的一部分。随着企业数字资产价值的不断攀升,
    的头像 发表于 04-19 13:57 662次阅读

    工业富联获颁ISO/SAE 21434汽车网络安全认证

    2024年4月9日,工业富联旗下子公司南宁富联富桂精密工业有限公司获颁ISO/SAE 21434:2021道路车辆-网络安全工程流程认证证书,标志着其已建立起符合ISO/SAE 21434要求的网络安全产品开发流程体系,构筑了企
    的头像 发表于 04-16 16:41 569次阅读
    工业富联获颁ISO/SAE 21434汽车<b class='flag-5'>网络安全</b>认证

    黑芝麻智能获得ISO/SAE 21434:2021汽车网络安全流程认证证书

    4月3日,黑芝麻智能获得 ISO/SAE 21434:2021汽车网络安全流程认证证书,标志着黑芝麻智能已建立起符合ISO/SAE 21434要求的网络安全产品开发流程体系,构筑起网络安全
    的头像 发表于 04-03 17:22 672次阅读
    黑芝麻智能获得ISO/SAE 21434:2021汽车<b class='flag-5'>网络安全</b>流程认证证书

    企业在IPv6时代的网络安全升级指南

    伴随IPv6的广泛布设,企业迎来了崭新的网络安全挑战。为保障数据的安全性与完整性,企业务必施行一系列举措以强化数据传输的加密与保护。以下乃是一些关键的策略及建议,助力企业于IPv6环境
    的头像 发表于 04-01 14:53 659次阅读
    企业在IPv6时代的<b class='flag-5'>网络安全</b>升级指南

    家用路由器如何保护你的网络安全

    家用路由器通过内置防火墙、数据加密、访问控制和固件更新等功能,保护家庭网络安全。用户应定期检查并更新路由器固件,并合理设置访问权限,以应对网络安全威胁。
    的头像 发表于 03-25 20:04 864次阅读

    自主可控是增强网络安全的前提

        网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域,与其他疆域一样,网络空间也需体现国家主权,保障网络空间安全也就是保障国家主权。党的十八大提出“要高度关注
    的头像 发表于 03-15 17:37 860次阅读

    工业发展不可忽视的安全问题——OT网络安全

    在数字化时代,工业运营技术(OT)的网络安全比以往任何时候都更加重要。DataLocker,作为OT网络安全的守护者,提供了全面的加密和数据管理解决方案,确保关键基础设施免受网络威胁。
    的头像 发表于 03-09 08:04 2119次阅读
    工业发展不可忽视的<b class='flag-5'>安全</b>问题——OT<b class='flag-5'>网络安全</b>

    网络安全测试工具有哪些类型

    工具可以分为以下几大类型: 漏洞扫描器 漏洞扫描器是一类常见的网络安全测试工具,用于检测系统网络和应用程序存在的各种漏洞和安全风险。这些
    的头像 发表于 12-25 15:00 1272次阅读

    汽车网络安全:防止汽车软件的漏洞

    汽车网络安全在汽车开发至关重要,尤其是在 汽车软件 日益互联的情况下。在这篇博客,我们将分享如何防止汽车网络安全漏洞。 静态分析工具有助于执行关键的汽车编码指南(如MISRA和AU
    的头像 发表于 12-21 16:12 1084次阅读
    汽车<b class='flag-5'>网络安全</b>:防止汽车软件<b class='flag-5'>中</b>的漏洞