為捉恐怖份子 應削弱加密通訊? 電腦安全專家︰「我們有那麼蠢嗎?」

為捉恐怖份子 應削弱加密通訊? 電腦安全專家︰「我們有那麼蠢嗎?」
Image credits: System Lock, CC BY 2.0; EFF-Graphics, CC BY 3.0
我們想讓你知道的是

巴黎恐襲後,不少人認為政府為反恐應有權大規模監控通訊,甚至讀取加密通訊內容。電腦安全專家反對這個說法,認為效用不大之餘,更嚴重影響資訊安全。

唸給你聽
powered by Cyberon

造成過百人喪生的巴黎恐怖襲擊發生後,美國情報部門指責斯諾登揭露英美政府大型監控計劃,「提醒」了恐怖份子使用加密通訊。此外,倫敦市長莊遜在報章撰文批評斯諾登,香港作家陶傑亦在面書上引述英國《每日郵報》指洩密協助「伊斯蘭國破壞英美在中東的情報網」。

恐怖襲擊的代罪羔羊︰斯諾登與加密通訊技術

這種指責被記者格林華德徹底駁斥,他以各種證據說明恐怖組織早在斯諾登洩密前十多年,情報機關已知悉恐怖份子會使用加密通訊。而根據Flashpoint Global Partners——一家專研究暗網(dark web)和深網(deep web)的公司——在去年9月的研究,便指出斯諾登洩密前後,聖戰份子使用的加密通訊方式並無分別。

研究中甚至引述2010年10月(約洩密前3年),阿蓋達的《啟發》雜誌(Inspire Magazine)有段落解釋加密通訊的重要,並推介使用軟件「聖戰份子的秘密」(Asrar al-Mujahideen)。該研究指出,遠在斯諾登洩密前,聖戰組織就懷疑執法及情報部門會監控其通訊,並以加密通訊作對策。

禁止「點對點」加密通訊?

恐怖襲擊也讓美國情報部門能夠重新提出關於加密通訊的討論,此前美國聯邦調查局局長高銘(James Comey)就希望政府立法,要求科技公司在為客戶提供的加密通訊服務中,加入一個後門,讓政府在有需要時能讀取通訊內容。

要是成功立法,這基本上禁止了「點對點加密」(end-to-end encryption)——只有通訊雙方才能讀取訊息的加密方式——也就直接削弱了通訊的保密程度。但在科技公司、保安專家及民間團體聯手反對下,美國政府在上個月宣佈暫時不會就此立法。

中情局局長布倫南(John Brennan)就在兩日前表示,希望巴黎恐襲能夠「喚醒」因個人私隱而反對政府監控的人。他認為現時有很多科技令情報機關在技術上及法律上難以獲得所需訊息,並認為斯諾登需要承擔部份責任。

然而,禁止點對點加密通訊,阻止恐怖襲擊的成效甚微,卻會嚴重影響私隱及資訊安全。

技術上無法阻止用戶使用加密通訊

最簡單的理由是,即使政府成功立法禁止WhatsApp、iMessage等軟件使用點對點加密,恐怖份子仍然能夠使用點對點的加密通訊,因此立法根本無法解決問題。

Johns Hopkins資訊安全學院的副教授Matthew Green指出,網上有多個開源的加密軟件,根本無法阻止人使用這些軟件通訊。他指出︰「執法機關只談論能輕易下載的通訊軟件,但我們在恐怖份子身上學會的是,他們會花精神時間去加密訊息,甚至隱藏通訊。他們並非完全依賴人們討論的通訊軟件。」

Photo Credit: AP/達志影像

電腦安全專家Bruce Schneier對此表示同意,他說︰「你不能強逼恐怖份子使用蘋果的產品」。因此如果政府要強行在iMessage安裝後門,恐怖份子最多只會轉用其他軟件。

訊息加密 仍可搜重要資料

即使用上加密通訊,情報部門仍然可以搜集通訊的「後設數據」(metadata)——通訊雙方的IP地址、通訊時間、長度以及位置等。這些後設數據貌似無害,也無甚重要訊息,但事實上即使後設數據不含個人資料,情報部門還是可以推算出重要資訊。

今年1月的一份研究就發現,只需要小量的後設數據,例如信用卡交易記錄,再結合網絡上能公開搜尋到的資訊,也能夠找出一個人的身份。

情報部門真的需要那麼多資料?

高銘認為只有後設數據並不足夠,因為未有包含通訊內容。但Schneier認為「越多資訊越好」的想法與現實不符,有太多資訊的話,除了有很多錯誤訊息,情報人員甚至未必能夠消化所有資訊。

媒體《攔截》(The Intercept)昨日的一篇報導,講述中情局內的分析員在一次偶然機會下,發現其截取大量通訊的資料庫中,儲存了委內瑞拉石油公司高層的內部通訊。Matthew Green認為,中情局獲得「一個擁有全球一半資訊的醜陋版Google」以及大量工具,仍需要分析員花大量工夫及運氣才發現當中的重要訊息,顯示中情局收集了太多資訊,以致他們也不知道自己有甚麼。

《攔截》的另一篇報導,則分析近2年在西方國家發生的10宗恐怖襲擊,由最近的巴黎恐襲、年初的《查理》慘劇及猶太超市屠殺,以至到波士頓馬拉松炸彈襲擊,指出這多宗恐怖襲擊中,情報部門早就有部份兇手、策劃者的資料,列入監視名單中。

但我們可能有那麼蠢

Green認為「情報部門監聽人民就能阻止恐怖份子」的想法神奇,並表示恐怖份子的適應能力很強,無論政府如何立法,他們總能找到方法通訊。

或許不少人仍會接受「犧牲一點私隱,協助政府捉恐怖份子」,可是在加密通訊之中插入後門的話,這個漏洞不會只給政府使用,罪犯、恐怖份子以至別國政府也可能發現並利用漏洞入侵電腦。美國TSA海關鎖的主匙設計圖被放上網一事,應是個非常好的提醒。

Schneier指出加密技術是資訊安全極其重要的一環,而任何後門都有害,如果容許政府獲得這種讀取訊息的權力,對資訊安全而言是個大災難。「我們真的有那麼蠢嗎?」他反問並回答︰「可能有,因為我們害怕,這正是問題所在。」