“黑暗区域”:权衡端到端加密的公共安全成本

日期:2015-12-18作者:Francesca Sales翻译:陈晓诚来源:TechTarget中国 英文

【TechTarget中国原创】

“黑暗区域”——因为加密,所以FBI无法访问数据——可能会危及公共安全,情报官员说。但技术公司认为,为了保护公司和客户的数据,强大的加密是必须的。

就在巴黎,贝鲁特和其他城市发生致命袭击后的几天,中央情报局局长John Brennan严肃地表达了在全球恐怖主义时代,有关政府监控的观点。

在一次新闻发布会上, Brennan指出:政府在监控潜在的恐怖分子时,面临的新挑战。这些困境起源于爱德华·斯诺登对于国家安全局的披露, 导致立法者和公众对于政府监控的越发不安,随着巴黎袭击调查结果的出炉,有关端到端加密技术在反恐战争中所扮演的角色越发让人担忧。

端到端加密(E2EE)是加密数据的流程,包括短信、电子邮件和视频聊天,在传输过程中,无法进行访问。在数据到达终点之前,不能对其进行解密。随着越来越多的美国企业拥有知识产权,包括产品设计和概念,而不是硬件或实物,这一技术已广泛使用。E2EE技术的使用也在技术公司,比如苹果公司中扮演重要角色,吸引那些寻求能够防止各种网络安全威胁和政府监视的最新设备的消费者。

但E2EE技术的普遍性意味着恐怖份子也可以使用它。

法国和美国官员都表示,没有确凿的证据证明,在最近发生的恐怖袭击中,使用了E2EE技术, 但是政府情报机构和硅谷之间对于政府监控范围,和加密技术之间的争论还是被重新点燃。

在这场争论中,许多公司发现自己处于进退两难之中:他们如何在保护自己的知识产权和客户数据隐私的同时,帮助执法机构进行监控和调查,保护公众,并防止网络犯罪和恐怖主义威胁?

答案并不明确。甚至在巴黎袭击发生之前,在波士顿举行的Advanced Cyber Security Center's conference上,进行了有关加密技术的讨论,各位专家从业务的角度讨论其价值。

“如果你拥有(知识产权),那么你就必须保护它,而且无论在什么地方,你都必须保护它。你必须保护私人手机,以及工作使用手机,” Susan Landau说,她是伍斯特理工学院网络安全政策教授。

对于全球技术企业思科这样的公司而言,还要考虑客户信任的重要性。

“获得客户信任,对我们而言是非常重要的,相信我们的技术能力。如果我们只是进行价格竞争,我们通常会输,因为总有竞争对手能够用我们无法实现的方法降低成本,” Eric Wenger说,他是思科公司网络安全、隐私和全球政府事务总监。

加密和“黑暗区域”

对于思科和它的同行而言,广泛使用加密和其他安全技术,有着巨大的经济效益,Wenger补充道。

但是,端到端加密是要付出代价的。广泛使用加密的结果之一,就是美国联邦调查局(Federal Bureau of Investigation)所说的“黑暗区域”,也就是执法部门访问公司网络上数据和信息的难度持续增加,即使当他们有合法权力时。

黑暗区域也让公共安全处于危险之中, 美国联邦调查局的总法律顾问James Baker说。

“公众期望联邦调查局……在打击恐怖主义时,零失败;在美国,不应该发生恐怖事件,” Baker说。“这就是为什么当我们有无法监控的黑暗区域时,恐怖份子活动的区域出现时,我们感到害怕。”

联邦调查局认为一个主要的“黑暗区域”是,世界上最强大的极端恐怖组织,伊拉克武装组织(ISIL) 使用的E2EE平台。ISIL使用公开的,透明的渠道,比如社交媒体平台等,招募新人,进行沟通,一旦招募成功,就将沟通转移到加密网络中。

“他们故意切换到端到端加密平台,因为他们知道政府不能对其进行监视。而他们在这一平台上进行更具体的对话,” Baker说。

分裂密钥和密钥托管加密

尽管有这些障碍,Baker说,他和他的同事们还是明白加密的必要性,因为他们不想增加网络安全的风险。

为了解决这个难题,美国国家安全局(NSA)提出了两种技术解决方案:分裂密钥加密和密钥托管加密。第一种技术,也被称为“密码共享”,将密钥分成若干份,分发给不同的密码持有人,包括FBI,只有通过将几个密码结合在一起,才能解密数据, (用户可以单独访问数据)。后一种加密技术,可以通过多个密码解密数据,其中一个由用户以外的政府机构保管。

然而,这些建议让很多专家和技术公司感到惊讶。分裂密钥和密钥托管加密的问题之一在于确保系统安全的同时,创建这一系统的技术复杂性。

“你不能想象联合国使用分裂密钥。200个成员国,每个国家都有不同的密码,真的难以想象,” Landau说,即使使用现有的协议建立密钥,如Advanced Encryption Standard,也会出现错误和漏洞。

思科的Wenger也提出构建密钥托管解决方案的复杂性问题,特别是因为它涉及到很多移动部分。

“如果我们能够设计出一个机制,分裂密钥,然后由第三方托管,然后当美国政府需要时,可以要求获得它,那么很快,中国、俄罗斯、印度、巴西——都会要求相同的解决方案,”他说。

此外,分裂密钥和密钥托管加密不仅会使确保系统安全更加困难,因为这种复杂性,实施这些技术会使美国公司在与国际同行的竞争中处于劣势,Wenger补充道。

一旦客户发现他们的数据可以通过密钥托管或分裂密钥访问时,“很有可能,客户就会转换到其他提供拥有相同功能,或者开放源代码的技术公司,”他说。

在Wenger看来,失去保护知识产权和客户数据隐私的能力,以满足美国政府和其他政府的需求,会带来滥用密码和操纵其他系统的潜在风险,所以他仍然犹豫不决。

“安全是保护隐私的基础。……除非你能够确保信息的安全,否则你就不能有效地保护个人信息,”Wenger说。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Francesca Sales
Francesca Sales

网站编辑,主要负责SearchCIO.com网站和SearchCompliance.com

信息安全管理>更多

  • 安全与隐私:公司应该做什么?

    亚利桑那州选民登记数据库不像是俄罗斯人明显的目标。但是在八月,FBI揭秘俄罗斯黑客装扮成亚利桑那州选举工作人员,并在该州安全系统上戳了个洞。

  • 区块链技术试水工程:碳资产开发平台部署

    区块链技术,最初是比特币的基础技术,也被称之为分布式账本技术,其特点是去中心化、公开透明,让每个人均可参与数据库记录。虽然,目前还在火热研究中,但也有企业已经开始试水使用。

  • Dropbox侵入和密码安全难题

    四年可以发生很多事。一名总统可以服务满他/她的任期;一项全新的技术可以浮现;一个发型可以回到某个造型,;或者在Dropbox侵入的案例里,你的密码可以在暗网上流通。

  • Stuart Madnick:黑暗网络的黑客更乐于分享信息

    在持续进行的,越来越多的针对世界知名企业的恶意网络攻击中,坏人占据上风。是什么原因造就了这样的的局面?

相关推荐

  • 数据保护合规性既提升安全又提升盈利

    2015年共发生了781起数据泄露事件,受连累的记录达到7亿份。网络犯罪已经发生了根本性的变化,从对网站造成严重危害的分布式拒绝服务攻击或者信用卡盗窃过渡到更阴险狡诈的犯罪意图。

  • 联网设备的激增:物联网数据安全极其脆弱

    联网的消费产品数量已经以十亿为单位计数,分析师预测,今年全球的数量将达到64亿。在这些不断增长的设备中,存在大量的商业潜力,但也有巨大的危机。

  • 物联网数据终端演进之道

    对企业而言,今天的CIO仍需大量采用传统的手持式方案,但是富有前瞻性的IT经理应当从眼下就着眼于佩戴式方案的准备工作,例如设备的集中化管理、严格的工作流管控以及企业数据安全性

  • 有个一体机 承诺“零”数据丢失

    Oracle零数据丢失恢复一体机是一个革命性的数据保护解决方案,它是全球首个专为保护数据库而设计的集成系统,它提供无与伦比的数据库保护方法—几乎避免了数据丢失和备份开销,同时可提供云级可扩展性。

技术手册>更多

  • TechTarget中国制造业IT技术挑战调查报告

    TechTarget中国推出“2014年制造业IT技术挑战调查”,从应用软件、基础设施、大数据以及云计算等方面,对中国制造业企业IT技术应用情况进行了深度的摸底调查。通过权威的数据报告,我们将为您展现中国制造业企业在IT基础设施以及信息化建设中正在面临的痛点与挑战。

  • CIO做好项目管理全攻略

    项目管理就是指把各种系统、方法和人员结合在一起,在规定的时间、预算和质量目标范围内完成项目的各项工作。项目管理是通过应用和综合诸如启动、规划、实施、监控和收尾等项目管理过程来进行的。基本内容包括项目整体规划和管理、项目范围管理、项目时间管理、项目费用管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理、项目采购管理等等。

  • 企业Web2.0应用

    Web 2.0的经验是:有效利用消费者的自助服务和算法上的数据管理,以便能够将触角延伸至整个互联网,延伸至各个边缘而不仅仅是中心,延伸至长尾而不仅仅是头部。当然,企业在应用Web 2.0时也会遇到很多的问题。

  • 企业移动管理策略及移动设备

    移动设备和移动技术对于一个企业来说是至关重要的,CIO们必须能够熟练地掌握移动技术,有效地管理移动员工,移动应用将成为企业IT架构的一部分。我们需要在一个不同于现在企业IT管理平台的平台上建立这些服务和应用。我相信,可以证明这是企业管理未来的方向,同时也应该为能够将移动管理纳入到企业管理的一天做好准备。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能