“黑暗区域”:权衡端到端加密的公共安全成本

日期:2015-12-18作者:Francesca Sales翻译:陈晓诚来源:TechTarget中国 英文

【TechTarget中国原创】

“黑暗区域”——因为加密,所以FBI无法访问数据——可能会危及公共安全,情报官员说。但技术公司认为,为了保护公司和客户的数据,强大的加密是必须的。

就在巴黎,贝鲁特和其他城市发生致命袭击后的几天,中央情报局局长John Brennan严肃地表达了在全球恐怖主义时代,有关政府监控的观点。

在一次新闻发布会上, Brennan指出:政府在监控潜在的恐怖分子时,面临的新挑战。这些困境起源于爱德华·斯诺登对于国家安全局的披露, 导致立法者和公众对于政府监控的越发不安,随着巴黎袭击调查结果的出炉,有关端到端加密技术在反恐战争中所扮演的角色越发让人担忧。

端到端加密(E2EE)是加密数据的流程,包括短信、电子邮件和视频聊天,在传输过程中,无法进行访问。在数据到达终点之前,不能对其进行解密。随着越来越多的美国企业拥有知识产权,包括产品设计和概念,而不是硬件或实物,这一技术已广泛使用。E2EE技术的使用也在技术公司,比如苹果公司中扮演重要角色,吸引那些寻求能够防止各种网络安全威胁和政府监视的最新设备的消费者。

但E2EE技术的普遍性意味着恐怖份子也可以使用它。

法国和美国官员都表示,没有确凿的证据证明,在最近发生的恐怖袭击中,使用了E2EE技术, 但是政府情报机构和硅谷之间对于政府监控范围,和加密技术之间的争论还是被重新点燃。

在这场争论中,许多公司发现自己处于进退两难之中:他们如何在保护自己的知识产权和客户数据隐私的同时,帮助执法机构进行监控和调查,保护公众,并防止网络犯罪和恐怖主义威胁?

答案并不明确。甚至在巴黎袭击发生之前,在波士顿举行的Advanced Cyber Security Center's conference上,进行了有关加密技术的讨论,各位专家从业务的角度讨论其价值。

“如果你拥有(知识产权),那么你就必须保护它,而且无论在什么地方,你都必须保护它。你必须保护私人手机,以及工作使用手机,” Susan Landau说,她是伍斯特理工学院网络安全政策教授。

对于全球技术企业思科这样的公司而言,还要考虑客户信任的重要性。

“获得客户信任,对我们而言是非常重要的,相信我们的技术能力。如果我们只是进行价格竞争,我们通常会输,因为总有竞争对手能够用我们无法实现的方法降低成本,” Eric Wenger说,他是思科公司网络安全、隐私和全球政府事务总监。

加密和“黑暗区域”

对于思科和它的同行而言,广泛使用加密和其他安全技术,有着巨大的经济效益,Wenger补充道。

但是,端到端加密是要付出代价的。广泛使用加密的结果之一,就是美国联邦调查局(Federal Bureau of Investigation)所说的“黑暗区域”,也就是执法部门访问公司网络上数据和信息的难度持续增加,即使当他们有合法权力时。

黑暗区域也让公共安全处于危险之中, 美国联邦调查局的总法律顾问James Baker说。

“公众期望联邦调查局……在打击恐怖主义时,零失败;在美国,不应该发生恐怖事件,” Baker说。“这就是为什么当我们有无法监控的黑暗区域时,恐怖份子活动的区域出现时,我们感到害怕。”

联邦调查局认为一个主要的“黑暗区域”是,世界上最强大的极端恐怖组织,伊拉克武装组织(ISIL) 使用的E2EE平台。ISIL使用公开的,透明的渠道,比如社交媒体平台等,招募新人,进行沟通,一旦招募成功,就将沟通转移到加密网络中。

“他们故意切换到端到端加密平台,因为他们知道政府不能对其进行监视。而他们在这一平台上进行更具体的对话,” Baker说。

分裂密钥和密钥托管加密

尽管有这些障碍,Baker说,他和他的同事们还是明白加密的必要性,因为他们不想增加网络安全的风险。

为了解决这个难题,美国国家安全局(NSA)提出了两种技术解决方案:分裂密钥加密和密钥托管加密。第一种技术,也被称为“密码共享”,将密钥分成若干份,分发给不同的密码持有人,包括FBI,只有通过将几个密码结合在一起,才能解密数据, (用户可以单独访问数据)。后一种加密技术,可以通过多个密码解密数据,其中一个由用户以外的政府机构保管。

然而,这些建议让很多专家和技术公司感到惊讶。分裂密钥和密钥托管加密的问题之一在于确保系统安全的同时,创建这一系统的技术复杂性。

“你不能想象联合国使用分裂密钥。200个成员国,每个国家都有不同的密码,真的难以想象,” Landau说,即使使用现有的协议建立密钥,如Advanced Encryption Standard,也会出现错误和漏洞。

思科的Wenger也提出构建密钥托管解决方案的复杂性问题,特别是因为它涉及到很多移动部分。

“如果我们能够设计出一个机制,分裂密钥,然后由第三方托管,然后当美国政府需要时,可以要求获得它,那么很快,中国、俄罗斯、印度、巴西——都会要求相同的解决方案,”他说。

此外,分裂密钥和密钥托管加密不仅会使确保系统安全更加困难,因为这种复杂性,实施这些技术会使美国公司在与国际同行的竞争中处于劣势,Wenger补充道。

一旦客户发现他们的数据可以通过密钥托管或分裂密钥访问时,“很有可能,客户就会转换到其他提供拥有相同功能,或者开放源代码的技术公司,”他说。

在Wenger看来,失去保护知识产权和客户数据隐私的能力,以满足美国政府和其他政府的需求,会带来滥用密码和操纵其他系统的潜在风险,所以他仍然犹豫不决。

“安全是保护隐私的基础。……除非你能够确保信息的安全,否则你就不能有效地保护个人信息,”Wenger说。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Francesca Sales
Francesca Sales

网站编辑,主要负责SearchCIO.com网站和SearchCompliance.com

信息安全管理>更多

相关推荐

  • 数据保护合规性既提升安全又提升盈利

    2015年共发生了781起数据泄露事件,受连累的记录达到7亿份。网络犯罪已经发生了根本性的变化,从对网站造成严重危害的分布式拒绝服务攻击或者信用卡盗窃过渡到更阴险狡诈的犯罪意图。

  • 联网设备的激增:物联网数据安全极其脆弱

    联网的消费产品数量已经以十亿为单位计数,分析师预测,今年全球的数量将达到64亿。在这些不断增长的设备中,存在大量的商业潜力,但也有巨大的危机。

  • 物联网数据终端演进之道

    对企业而言,今天的CIO仍需大量采用传统的手持式方案,但是富有前瞻性的IT经理应当从眼下就着眼于佩戴式方案的准备工作,例如设备的集中化管理、严格的工作流管控以及企业数据安全性

  • 有个一体机 承诺“零”数据丢失

    Oracle零数据丢失恢复一体机是一个革命性的数据保护解决方案,它是全球首个专为保护数据库而设计的集成系统,它提供无与伦比的数据库保护方法—几乎避免了数据丢失和备份开销,同时可提供云级可扩展性。

技术手册>更多

  • 供应商选择技巧一点通

    企业CIO所面临的最大挑战之一就是供应商的选择,包括咨询伙伴、硬件厂商、软件厂商和服务提供商。和供应商达成合作关系对企业的成本和管理来说都是不错的选择。在本技术手册中,介绍了供应商选择的案例和技巧,并特别关注了外包供应商的选择。技术手册还补充了供应商关系管理的技巧和问题。

  • 海量数据时代的数据管理策略

    目前,企业需要存储和管理的数据大部分都达到了TB级别,而且据Gartner预测,在未来五年内数据增长将达到800%。IT部门在遇到麻烦时就添置存储似乎已经成为了一种定式,因为相对于了解数据的真正含义和相应价值,直接扩容的方式较为轻松。这种方式的问题在于用户要求对数据的随时访问,而一旦期望未能达成,就会认为是IT部门的工作失误。那么在海量数据时代,良好的数据管理策略应该包含哪些方面呢?本技术手册将涵盖存储ROI分析、海量数据的价值挖掘、主数据管理、远程备份和灾难恢复以及中小企业适用的SAN方案等。

  • IT精益思想认识手册

    精益原则(Lean principles)过去上是制造类企业用于帮助改善生产流程并向客户提供价值的,现在已经在很多基于服务的领域中应用,例如卫生保健、金融服务甚至在IT业中。在大部分企业还仍然用更少的钱做更多事情的时候,精益思想可以让其评估浪费状况并提高生产力。但是精益原则不止是关于成本削减和做更多事情的。精益原则更多是关于这种持续改善的方法如何让公司和各种组织创建有益于公司的可持续变更的。

  • 如何制定移动IT方案

    目前,移动IT对企业的生产力非常重要,而且企业对信息成功的移动访问也是IT部门越来越关注的焦点。但是要制定有效的移动IT策略,我们需要紧密关注移动环境中的几种信息。在本技术手册中,TechTarget中国的专家将介绍可以在企业环境中顺利高效采用的几种方案。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能