澳大利亞政府:好人用的“後門”不叫“後門”
E安全7月9日訊 澳大利亞聯邦政府已經改變了加密辯論的立場,目前正圍繞“後門”的定義展開辯論。
何為“後門”(Backdoor)?後門指繞過軟體的正常驗證或加密方法等安全機制,從較隱秘的通道獲取對程式或系統訪問權的方法,
後門可能表現為一個程式的隱藏部分、單獨的程式(例如Back Orifice可能會通過Rootkit顛覆系統)、硬體固件中的代碼、部分作業系統,例如Microsoft Windows。雖然通常會隱秘安裝,但後門在某些情況下是故意所為或廣為人知的。
技術人員的理解是,任何影響加密的程式均代表某類“後門”,
澳大利亞政府的想法是,如果將“後門”的定義限定於NSA入侵或故意計設計的漏洞,那麼就能說服大眾政府並非在尋找後門。
ABC國家廣播電臺的喬納森格林採訪了澳大利亞總理的網路安全顧問阿拉斯泰爾·馬克吉本。加密辯論中,馬克吉本在解釋政府的目標方面表現出色,
馬克吉本向格林舉例指出,當談及加密通信,設備或軟體製造商瞭解如何訪問軟體或軟體資訊,因為他們是產品的製造者。
蘋果、WhatsApp或Signal可能知道如何破解加密通信,因為他們製造了設備或軟體,但是如果警方需要進入受保護的“安全區”,他們或許不會配合。但澳大利亞明確表示這種不是後門。
馬克吉本還討論了一個事實:廠商不斷為智慧手機或筆記型電腦推出軟體更新。也就是說企業知道產品存在漏洞,或有些功能無法正常運行,因此才需要更新。為什麼政府不能對這些企業說“我們不是要求你們做任何特別的事,不是要求你們植入漏洞、後門”。
馬克吉本希望企業幫助政府利用他們瞭解的漏洞。他表示,如果知道這些企業有辦法幫到政府,而手機就在恐怖分子手中,
如今 政府能合法獲取恐怖分子的手機,企業會幫助政府嗎?但,這不是後門。
總理特恩布林“和諧後門”在本周的G20峰會召開之前,澳大利亞總理特恩布林向ABC表示,“網路世界必須普及法律”。
基於互聯網的通訊服務日益實現端對端加密,不僅無法在傳輸中解密短信,甚至連服務運營商也無法解密。
如果員警獲得打開檔案櫃的搜查令(Warrant),他表示,應該能查看加密資訊,警方有能力獲得命令…但是,如果不能解密通信,就完全起不到幫助作用。企業必須能解密。
他在德國漢堡表示,互聯網上不應存在不受管制的空間。政府需要更多説明,確保更高水準的加密不能被用來隱藏恐怖分子和犯罪分子。但它不是後門。
行不通?大多數不懂的人不會對語義模棱兩可感到大驚小怪,因為加密很複雜,難以解釋。
在政府看來,“後門”指的是NSA所做的事,所有政府希望通常合法程式破解加密,加密特別適用於通訊平臺,例如WhatsApp、Signal或Telegram)。換句話講,民眾可能不知道通訊應用程式和平臺(例如Facebook、Twitter或Google)與網銀一致使用同樣的端對端加密。
民眾也不理解手機或筆記本廠商沒有實現SSL/TLS協定,在連結開頭使用HTTPS,即攻擊SSL/TLS就能攻擊使用SSL/TLS的其它任何服務。
為什麼公民需要瞭解這些?為了防止惡意攻擊,開發人員花20多年時間讓加密為人人所用。
而政府通過自己對“後門”的定義繞過加密,這似乎有些說不通。
E安全注:
@E安全,最專業的前沿網路安全媒體和產業服務平臺,每日提供優質全球網路安全資訊與深度思考。
甚至連服務運營商也無法解密。如果員警獲得打開檔案櫃的搜查令(Warrant),他表示,應該能查看加密資訊,警方有能力獲得命令…但是,如果不能解密通信,就完全起不到幫助作用。企業必須能解密。
他在德國漢堡表示,互聯網上不應存在不受管制的空間。政府需要更多説明,確保更高水準的加密不能被用來隱藏恐怖分子和犯罪分子。但它不是後門。
行不通?大多數不懂的人不會對語義模棱兩可感到大驚小怪,因為加密很複雜,難以解釋。
在政府看來,“後門”指的是NSA所做的事,所有政府希望通常合法程式破解加密,加密特別適用於通訊平臺,例如WhatsApp、Signal或Telegram)。換句話講,民眾可能不知道通訊應用程式和平臺(例如Facebook、Twitter或Google)與網銀一致使用同樣的端對端加密。
民眾也不理解手機或筆記本廠商沒有實現SSL/TLS協定,在連結開頭使用HTTPS,即攻擊SSL/TLS就能攻擊使用SSL/TLS的其它任何服務。
為什麼公民需要瞭解這些?為了防止惡意攻擊,開發人員花20多年時間讓加密為人人所用。
而政府通過自己對“後門”的定義繞過加密,這似乎有些說不通。
E安全注:
@E安全,最專業的前沿網路安全媒體和產業服務平臺,每日提供優質全球網路安全資訊與深度思考。