端到端加密难破解,西班牙向欧盟提议禁止

西班牙官员表示“我们必须先有能力访问到这些数据。”

根据《连线》(WIRED)获得的一份文件,西班牙主张在欧盟范围内禁止已经被数亿民众使用的端到端加密技术(E2EE, End-to-end encryption),各欧盟成员国也对这一扫描私人消息以查找非法材料的提议表达强烈支持。

这份文件为欧洲理事会就加密监管问题向各成员国发起的意见征求调查,希望官员们就一项极具争议的立法草案发表内部意见,借此阻止儿童性虐待材料(CSAM)在欧洲范围内的传播。拟议的法律将要求科技企业扫描其平台,包括用户的私人消息,借此查找非法材料。然而,欧盟负责内政事务的专员Ylva Johansson发起的这项提案因可能对端到端加密引发的重大影响,在密码学、技术专家和隐私倡导者当中激起强烈愤慨。

多年以来,各欧盟国家一直在争论WhatsApp和Signal等采用端到端加密的通信平台,是否应作为欧洲民众行使基本隐私权的受保护途径,抑或是削弱了政府部门防范犯罪分子与外界间沟通的执法能力。应《连线》要求对文件内容进行审订的专家表示,文件当中包含重要见解,反映出部分欧盟国家确实计划支持一项可能颠覆加密和网络隐私未来前景的提案。

在这份文件涉及的20个欧盟国家中,大多数国家表示支持对加密消息进行某种形式的扫描,其中西班牙方面的立场最为极端。西班牙代表在文件中表示:“我们认为在理想情况下,最好通过立法方式阻止在欧盟开展业务的服务商实施端到端加密。”

提供文件的知情人士拒绝置评并要求匿名,理由是他们无权对外公开文件内容。

加州斯坦福大学互联网观察站的研究学者Riana Pfefferkorn应《连线》要求审查了文件内容,并表示:“看到西班牙如此直截了当表达应立法禁止欧盟服务商实施端到端加密的态度,着实令我感到震惊。这份文件也反映出长久以来关于加密问题种种始终没有定论的争议。”

端到端加密的主旨,是确保只有消息通信的发送者和接收者才能看到实际内容,从欺诈分子到警察,甚至是提供数字通信平台的企业本身均被排除在外。执法倡导者此前曾多次建议建立技术机制,绕过端到端加密并开展调查;但密码学家和其他技术专家则始终坚称,这种做法会给端到端加密引入可资利用的弱点,导致用户隐私受到威胁。此外,他们还反复强调不断扩大的暴露趋势最终不会保护儿童等弱势群体的数字安全和保障效果,反而会起到破坏作用。

关注数字权利的非营利组织CDT欧洲分部秘书长Iverna McGowan同样受邀审查了文件内容,并表示:“破坏每个人的端到端加密技术不仅是因噎废食,而且无法有效实现保护儿童的目标。”

这份泄露文件还包含警察执法工作组成员们的立场。作为欧盟理事会下辖机构,该工作组负责处理执法部门对于立法草案的观点。这份文件的日期为2023年4月12日,涉及20个国家/地区对一系列问题的看法,包括是否将端到端加密视为处理儿童性虐待案件时的障碍,以及是否赞成在法律中增加相应措辞来强调扫描不得削弱加密能力。这些问题在今年1月被首次提出。

《连线》随后要求文件中列出的全部20个成员国发表置评。各方均未否认文件的真实性,爱沙尼亚还证实其在文件中表达的立场是由相关领域及各部委的专家整理而成。

从文件的整体舆论倾向来看,大部分成员国强烈支持Johansson关于扫描私人端到端加密通信以查找非法内容的提议。在全部20个国家中,有15个国家表示支持针对儿童性虐待案件扫描端到端加密通信的建议。多位代表还将这类扫描视为一种重要工具,认为有助于政府在打击儿童虐待的斗争中占据主动权。

克罗地亚代表在文件中指出:“最重要的是在涉及儿童性虐待的法规中做出明确措辞,强调端到端加密不构成不上报虐待材料的理由。”斯洛文尼亚方面认为:“检测法规还必须适用于加密网络。”罗马尼亚则补充称:“我们不希望端到端加密成为恶意行为者的‘避风港’。”

丹麦和爱尔兰也表示支持对加密通信中的儿童性虐待材料进行扫描,并赞成在法律中加入同时保证端到端加密的效果不被削弱的表述。要满足这个目标,就必须在不改变或破坏加密提供的安全功能的前提下,发明出能扫描加密消息内非法内容的新技术。但密码学家和网络安全专家纷纷表示,这在技术上根本没有可行性。

但荷兰方面表示,只要抢在非法材料被加密并发送给接收者之前执行“设备上”扫描,即可做到这一点。该国代表在文件中提到:“存在……允许自动检测儿童性虐待材料,同时保持端到端加密不受破坏的技术可能性。”

欧洲数字权利网络(EDRI)高级政策顾问Ella Jakubowska表示:“各国希望在规避加密的同时保持加密机制的安全性。”但她同时对欧洲各国对加密技术的“肤浅理解”感到“虽不意外,但仍震惊”,因为“他们既想要保障隐私,又想不加区别地扫描加密通信内容。”

西班牙则在回应中提到:“我们必须先有能力访问到这些数据”,并提出加密通信应该具备可破解性。西班牙内政部长Fernando Grande-Marlaska直言不讳地谈到了他认为加密技术所带来的威胁。当就泄露的文件发表置评时,西班牙内政部发言人Daniel Campos de Diego称该国在对待端到端加密问题上的立场向来如此,而且之前也曾多次重申。靠近西班牙的波兰则在文件中提议建立新制度,通过相关规定配合法院命令解除加密,同时希望向父母授权解密孩子的通信内容。

审查这份文件的Jakubowska表示,有数个成员国似乎同意向警方开放民众的加密消息和通信。例如,塞浦路斯就在文件中评论称,执法当局“有必要”获得访问加密通信并调查网络性虐待犯罪活动的能力,而且“这项法规将带来巨大影响,会为其他部门树立起决定未来的先例。”匈牙利官员也同样表示“需要新的数据拦截和访问方法”来协助执法。
Jakubowska认为:“塞浦路斯、匈牙利和西班牙非常清楚这项法律一旦通过,将授予他们破坏加密通信的可能性,这令我相当震惊。这些国家明显意识到此项法律将远远超出欧盟委员会宣称的适用范围。”

比利时官员在文件中指出,他们相信“应加密尽加密方可维护安全”的基本理念。但当《连线》联系到比利时外交部一位发言人时,他先是分享了该国联邦警察的一份声明,并表示比利时的立场在讨论之后发生了变化。目前,比利时开始向其他“志同道合的国家”靠拢,“希望削弱端到端加密。”但短短半小时后,这位发言人就试图收回声明,表示比利时拒绝对此发表置评。

长期以来,安全专家一直认定任何潜在的加密通信后门或解密方式,都会破坏加密体系的整体安全水平。如果执法人员有办法破解消息内容,恶意黑客或者政府内部的工作人员也能以同样的方式窥探他人隐私。

尽管部分国家甚至开始炮轰加密技术本身,但多数国家似乎还是认可端到端加密及其提供的保护效果。意大利称新的制度性提议存在争议:“这代表着通过网络发送的所有加密通信都将受到普遍监控。”爱沙尼亚也警告称,如果欧盟强制要求扫描端到端加密消息,企业可能需要重新设计其系统以确保数据的可解密性,甚至选择直接退出欧盟。爱沙尼亚外交部发言人Triin Oppi回应了这一观点,并表示该国的立场不会改变。

芬兰则敦促欧盟委员会考虑在不危及网络安全的情况下,如何以技术手段更好地打击儿童性虐待行为,并警告称目前提案可能与芬兰宪法相冲突。

德国坚持反对此项提案,该国代表称法律草案必须明确声明不会利用任何技术来破坏、规避或篡改加密技术:“必须修改草案内容,否则德国决不会接受。”考虑到欧盟的进一步谈判要求各成员国就草案文本达成一致,德国的态度已经基本给拟议提案宣判了死刑。

斯坦福大学的Pfefferkorn总结称:“芬兰、爱沙尼亚和德国等国家的回应表明,他们对儿童性虐待监管中的利害关系有着更全面的了解。这项法规不仅会影响针对特定犯罪行为的刑事调查,更会影响到政府自身的数据安全、公民隐私与数据保护权,乃至未来的创新和经济发展能否顺利开展。”

来源:WIRED

0赞

好文章,需要你的鼓励

2023

05/25

10:13

分享

点赞

邮件订阅