E安全7月9日訊 澳大利亞聯邦政府已經改變了加密辯論的立場，目前正圍繞「後門」的定義展開辯論。

何為「後門」（Backdoor）？

後門指繞過軟體的正常驗證或加密方法等安全機制，從較隱秘的通道獲取對程序或系統訪問權的方法，通常被用來遠程訪問計算機，或獲得加密系統中的明文數據等。

後門可能表現為一個程序的隱藏部分、單獨的程序（例如Back
Orifice可能會通過Rootkit顛覆系統）、硬體固件中的代碼、部分操作系統，例如Microsoft
Windows。雖然通常會隱秘安裝，但後門在某些情況下是故意所為或廣為人知的。這些類型的後門可能具有「合法」用途，例如為廠商提供途徑恢復用戶密碼。又或者在軟體開發時，設置後門可以方便修改和測試程序中的缺陷，但如果後門被其他人知道（可以是泄密或者被探測到後門），或是在發布軟體之前沒有去除後門，那麼它就對計算機系統安全造成了威脅。

技術人員眼中的「後門」

技術人員的理解是，任何影響加密的程序均代表某類「後門」，包括NSA漏洞囤積、密鑰託管，以及密碼學家在應用程序中植入「神奇的密鑰」。

澳大利亞政府的想法是，如果將「後門」的定義限定於NSA入侵或故意計設計的漏洞，那麼就能說服大眾政府並非在尋找後門。

ABC國家廣播電台的喬納森格林採訪了澳大利亞總理的網路安全顧問阿拉斯泰爾·馬克吉本。加密辯論中，馬克吉本在解釋政府的目標方面表現出色，即無論行為發生在線上或線下，澳大利亞人應該會期望由同樣的法律來約束。

馬克吉本向格林舉例指出，當談及加密通信，設備或軟體製造商了解如何訪問軟體或軟體信息，因為他們是產品的製造者。

蘋果、WhatsApp或Signal可能知道如何破解加密通信，因為他們製造了設備或軟體，但是如果警方需要進入受保護的「安全區」，他們或許不會配合。但澳大利亞明確表示這種不是後門。

馬克吉本還討論了一個事實：廠商不斷為智能手機或筆記本電腦推出軟體更新。也就是說企業知道產品存在漏洞，或有些功能無法正常運行，因此才需要更新。為什麼政府不能對這些企業說「我們不是要求你們做任何特別的事，不是要求你們植入漏洞、後門」。

馬克吉本希望企業幫助政府利用他們了解的漏洞。他表示，如果知道這些企業有辦法幫到政府，而手機就在恐怖分子手中，

如今 政府能合法獲取恐怖分子的手機，企業會幫助政府嗎？但，這不是後門。

總理特恩布爾「和諧後門」

在本周的G20峰會召開之前，澳大利亞總理特恩布爾向ABC表示，「網路世界必須普及法律」。

基於互聯網的通訊服務日益實現端對端加密，不僅無法在傳輸中解密簡訊，甚至連服務運營商也無法解密。

如果警察獲得打開檔案櫃的搜查令（Warrant），他表示，應該能查看加密信息，警方有能力獲得命令…但是，如果不能解密通信，就完全起不到幫助作用。企業必須能解密。

他在德國漢堡表示，互聯網上不應存在不受管制的空間。政府需要更多幫助，確保更高水平的加密不能被用來隱藏恐怖分子和犯罪分子。但它不是後門。

行不通？

大多數不懂的人不會對語義模稜兩可感到大驚小怪，因為加密很複雜，難以解釋。

在政府看來，「後門」指的是NSA所做的事，所有政府希望通常合法程序破解加密，加密特別適用於通訊平台，例如WhatsApp、Signal或Telegram）。換句話講，民眾可能不知道通訊應用程序和平台（例如Facebook、Twitter或Google）與網銀一致使用同樣的端對端加密。

民眾也不理解手機或筆記本廠商沒有實現SSL/TLS協議，在鏈接開頭使用HTTPS，即攻擊SSL/TLS就能攻擊使用SSL/TLS的其它任何服務。

為什麼公民需要了解這些？為了防止惡意攻擊，開發人員花20多年時間讓加密為人人所用。

而政府通過自己對「後門」的定義繞過加密，這似乎有些說不通。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！