“黑暗区域”:权衡端到端加密的公共安全成本

日期:2015-12-18作者:Francesca Sales翻译:陈晓诚 来源:TechTarget中国 英文

【TechTarget中国原创】

“黑暗区域”——因为加密,所以FBI无法访问数据——可能会危及公共安全,情报官员说。但技术公司认为,为了保护公司和客户的数据,强大的加密是必须的。

就在巴黎,贝鲁特和其他城市发生致命袭击后的几天,中央情报局局长John Brennan严肃地表达了在全球恐怖主义时代,有关政府监控的观点。

在一次新闻发布会上, Brennan指出:政府在监控潜在的恐怖分子时,面临的新挑战。这些困境起源于爱德华·斯诺登对于国家安全局的披露, 导致立法者和公众对于政府监控的越发不安,随着巴黎袭击调查结果的出炉,有关端到端加密技术在反恐战争中所扮演的角色越发让人担忧。

端到端加密(E2EE)是加密数据的流程,包括短信、电子邮件和视频聊天,在传输过程中,无法进行访问。在数据到达终点之前,不能对其进行解密。随着越来越多的美国企业拥有知识产权,包括产品设计和概念,而不是硬件或实物,这一技术已广泛使用。E2EE技术的使用也在技术公司,比如苹果公司中扮演重要角色,吸引那些寻求能够防止各种网络安全威胁和政府监视的最新设备的消费者。

但E2EE技术的普遍性意味着恐怖份子也可以使用它。

法国和美国官员都表示,没有确凿的证据证明,在最近发生的恐怖袭击中,使用了E2EE技术, 但是政府情报机构和硅谷之间对于政府监控范围,和加密技术之间的争论还是被重新点燃。

在这场争论中,许多公司发现自己处于进退两难之中:他们如何在保护自己的知识产权和客户数据隐私的同时,帮助执法机构进行监控和调查,保护公众,并防止网络犯罪和恐怖主义威胁?

答案并不明确。甚至在巴黎袭击发生之前,在波士顿举行的Advanced Cyber Security Center's conference上,进行了有关加密技术的讨论,各位专家从业务的角度讨论其价值。

“如果你拥有(知识产权),那么你就必须保护它,而且无论在什么地方,你都必须保护它。你必须保护私人手机,以及工作使用手机,” Susan Landau说,她是伍斯特理工学院网络安全政策教授。

对于全球技术企业思科这样的公司而言,还要考虑客户信任的重要性。

“获得客户信任,对我们而言是非常重要的,相信我们的技术能力。如果我们只是进行价格竞争,我们通常会输,因为总有竞争对手能够用我们无法实现的方法降低成本,” Eric Wenger说,他是思科公司网络安全、隐私和全球政府事务总监。

加密和“黑暗区域”

对于思科和它的同行而言,广泛使用加密和其他安全技术,有着巨大的经济效益,Wenger补充道。

但是,端到端加密是要付出代价的。广泛使用加密的结果之一,就是美国联邦调查局(Federal Bureau of Investigation)所说的“黑暗区域”,也就是执法部门访问公司网络上数据和信息的难度持续增加,即使当他们有合法权力时。

黑暗区域也让公共安全处于危险之中, 美国联邦调查局的总法律顾问James Baker说。

“公众期望联邦调查局……在打击恐怖主义时,零失败;在美国,不应该发生恐怖事件,” Baker说。“这就是为什么当我们有无法监控的黑暗区域时,恐怖份子活动的区域出现时,我们感到害怕。”

联邦调查局认为一个主要的“黑暗区域”是,世界上最强大的极端恐怖组织,伊拉克武装组织(ISIL) 使用的E2EE平台。ISIL使用公开的,透明的渠道,比如社交媒体平台等,招募新人,进行沟通,一旦招募成功,就将沟通转移到加密网络中。

“他们故意切换到端到端加密平台,因为他们知道政府不能对其进行监视。而他们在这一平台上进行更具体的对话,” Baker说。

分裂密钥和密钥托管加密

尽管有这些障碍,Baker说,他和他的同事们还是明白加密的必要性,因为他们不想增加网络安全的风险。

为了解决这个难题,美国国家安全局(NSA)提出了两种技术解决方案:分裂密钥加密和密钥托管加密。第一种技术,也被称为“密码共享”,将密钥分成若干份,分发给不同的密码持有人,包括FBI,只有通过将几个密码结合在一起,才能解密数据, (用户可以单独访问数据)。后一种加密技术,可以通过多个密码解密数据,其中一个由用户以外的政府机构保管。

然而,这些建议让很多专家和技术公司感到惊讶。分裂密钥和密钥托管加密的问题之一在于确保系统安全的同时,创建这一系统的技术复杂性。

“你不能想象联合国使用分裂密钥。200个成员国,每个国家都有不同的密码,真的难以想象,” Landau说,即使使用现有的协议建立密钥,如Advanced Encryption Standard,也会出现错误和漏洞。

思科的Wenger也提出构建密钥托管解决方案的复杂性问题,特别是因为它涉及到很多移动部分。

“如果我们能够设计出一个机制,分裂密钥,然后由第三方托管,然后当美国政府需要时,可以要求获得它,那么很快,中国、俄罗斯、印度、巴西——都会要求相同的解决方案,”他说。

此外,分裂密钥和密钥托管加密不仅会使确保系统安全更加困难,因为这种复杂性,实施这些技术会使美国公司在与国际同行的竞争中处于劣势,Wenger补充道。

一旦客户发现他们的数据可以通过密钥托管或分裂密钥访问时,“很有可能,客户就会转换到其他提供拥有相同功能,或者开放源代码的技术公司,”他说。

在Wenger看来,失去保护知识产权和客户数据隐私的能力,以满足美国政府和其他政府的需求,会带来滥用密码和操纵其他系统的潜在风险,所以他仍然犹豫不决。

“安全是保护隐私的基础。……除非你能够确保信息的安全,否则你就不能有效地保护个人信息,”Wenger说。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Francesca Sales
Francesca Sales

网站编辑,主要负责SearchCIO.com网站和SearchCompliance.com

信息安全管理>更多

  • 守护物联网的边界:从设备开始从设备结束

    物联网设备缺乏安全性预示着一个勇敢的新世界。企业必须快速弄清楚如何注意连接到他们网络的物联网设备动向,以及如何保护往返于这些设备的数据传送。

  • 2017预测:如何应对物联网安全威胁

    物联网带来了一整套新的安全挑战。专家认为,2017年将会有比以往更易受影响的设备被黑客盯上。

  • 安全与隐私:公司应该做什么?

    亚利桑那州选民登记数据库不像是俄罗斯人明显的目标。但是在八月,FBI揭秘俄罗斯黑客装扮成亚利桑那州选举工作人员,并在该州安全系统上戳了个洞。

  • 区块链技术试水工程:碳资产开发平台部署

    区块链技术,最初是比特币的基础技术,也被称之为分布式账本技术,其特点是去中心化、公开透明,让每个人均可参与数据库记录。虽然,目前还在火热研究中,但也有企业已经开始试水使用。

相关推荐

  • 数据保护合规性既提升安全又提升盈利

    2015年共发生了781起数据泄露事件,受连累的记录达到7亿份。网络犯罪已经发生了根本性的变化,从对网站造成严重危害的分布式拒绝服务攻击或者信用卡盗窃过渡到更阴险狡诈的犯罪意图。

  • 联网设备的激增:物联网数据安全极其脆弱

    联网的消费产品数量已经以十亿为单位计数,分析师预测,今年全球的数量将达到64亿。在这些不断增长的设备中,存在大量的商业潜力,但也有巨大的危机。

  • 物联网数据终端演进之道

    对企业而言,今天的CIO仍需大量采用传统的手持式方案,但是富有前瞻性的IT经理应当从眼下就着眼于佩戴式方案的准备工作,例如设备的集中化管理、严格的工作流管控以及企业数据安全性

  • 有个一体机 承诺“零”数据丢失

    Oracle零数据丢失恢复一体机是一个革命性的数据保护解决方案,它是全球首个专为保护数据库而设计的集成系统,它提供无与伦比的数据库保护方法—几乎避免了数据丢失和备份开销,同时可提供云级可扩展性。

技术手册>更多

  • 如何选择合适的移动平台

    移动经理在决定采用哪种移动平台来调动工作性的时候往往很难作出决定。可以选择的操作系统有BlackBerry、Windows Mobile、Palm OS、 Symbian、Linux和J2ME等。我们希望能帮助简化这种选择,所以TechTarget组织专家团队,并请他们衡量每个移动平台的优势和劣势。在本手册中,我们希望能帮助你选择适合你公司的平台,帮你剔除那些不太适合你们需要的。

  • 部署云计算必须考虑的要素

    云计算可以使基础设施更廉价、更灵活,我们可按需求对这些灵活基础设施进行创建、拆除、重新配置、扩张和收缩。但是云计算的部署还需要考虑诸多因素,例如云计算的成本、云计算的风险、部署的最佳实践以及部署云计算后将对企业应用等个方面产生哪些影响。在本技术手册中,将就这些问题展开讨论,为将要部署云计算的机构提供几点必要的考虑因素。

  • 专注流程改善的ITSM和ITIL最佳实践

    本技术手册将会介绍ITSM和ITIL最佳实践。IT基础设施库(ITIL)是一系列流程和标准,可以帮助企业执行高效的IT服务管理(ITSM)。企业采用ITSM和ITIL最佳实践可以完成业务流程改善、削减成本并提高效率。为了更加高效,很多企业都把ITSM和ITIL流程与其他方法结合,例如敏捷IT、六西格玛、ISO20000以及项目组合管理(PPM)。

  • 移动和无线应用开发方法小引

    移动设备的广泛使用改变了企业的业务模式和经营行为,而经营模式和行为的改变需要更多的移动应用的支持。因此,开发大量适合企业需要的移动应用的需求也越来越迫切。本技术手册将介绍移动应用开发,并详细分析了黑莓平台的上应用开发。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能