蘋果，谷歌在內的44家公司譴責英國竊聽加密郵件的提議

引述外媒報道，蘋果和其他科技巨頭已加入民間社會團體和安全專家，譴責英國網路安全機構的提案，該提案將使執法部門能夠訪問端到端的加密信息。在致英國GCHQ（政府通信總部）的公開信中，包括蘋果，谷歌和WhatsApp在內的44個簽署者敦促英國竊聽機構放棄其所謂的「幽靈協議」計劃，這將要求加密的消息服務直接向第三個收件人發送消息，同時將消息發送給其預期用戶。

英國國家網路安全中心的技術總監Ian Levy和GCHQ的密碼分析負責人Crispin Robinson在2018年11月公布了該提案的詳細信息。GCHQ的提議 - 英國相當於NSA--旨在提供一種加密解決方案，這將破壞應用程序中的隱私和安全性，如Messages，FaceTime，WhatsApp和Signal ......

建議的解決方法，又名"幽靈提案"

到目前為止，像Apple這樣的公司已經能夠告訴執法部門，它無法為他們提供訪問消息聊天和FaceTime呼叫的許可權，因為這些服務使用端到端加密。這意味著Apple不知道加密密鑰，因此無法訪問內容。

但英國政府通信總部（GCHQ）認為它有一個聰明的解決方法。在2月份首次披露，它希望消息公司秘密地將執法機構作為聊天中無形的參與者。

服務提供商可以相對容易地將執法參與者靜默添加到群聊或通話中。服務提供商通常控制身份系統，因此確實決定誰是誰以及涉及哪些設備 - 他們通常參與介紹聊天或呼叫的各方......。在這樣的解決方案中，我們通常都在談論抑制目標設備上的通知......以及可能與他們通信的通知。「

簡而言之，蘋果公司 - 或允許人們私下聊天的任何其他公司 - 將被迫允許政府加入這些聊天，作為一個沉默，無形的竊聽者。

公開信 於5月22日發出，並於今日公布。它說幽靈提案必須以三個理由拒絕：

它違反了基本人權

它會產生新的安全風險

它違反了GCHQ自己聲明的原則

正如信中所說：

這個添加「幽靈」用戶的提議將違反重要的人權原則，以及GCHQ部分中概述的幾個原則。雖然GCHQ官員聲稱「你甚至不需要觸摸加密」來實施他們的計劃，但「幽靈」提案將對網路安全構成嚴重威脅，從而也威脅到基本人權，包括隱私和言論自由。特別是，如下所述，幽靈提案會通過破壞認證系統，引入潛在的無意識漏洞，以及製造濫用或濫用系統的新風險來製造數字安全風險。重要的是，它也會破壞GCHQ關於用戶信任和透明度的原則。

簽署者表示，iMessage，WhatsApp和Signal竭盡全力防範這種風險 - 第三方設法將自己添加到對話中。

例如，iMessage具有一組公鑰 - 每個設備一個 - 它與對應於真人身份的帳戶保持關聯。當新設備添加到帳戶時，密鑰群發生變化，每個用戶的設備都會在注意到更改後顯示已添加新設備的通知[...]

[另一種方法被稱為] Signal中的「安全號」和WhatsApp中的「安全碼」（我們將使用術語「安全號」）。它們是從對話雙方的公共密鑰中得到的長串數字，可以在它們之間進行比較 - 通過其他可驗證的通信通道（如電話）來確認字元串是否匹配。因為安全數是每對通信器 - 更準確地說，每對鍵 - 值的變化意味著鍵已經改變，這可能意味著它完全是一個不同的派對。因此，人們可以選擇在這些安全號碼發生變化時得到通知，以確保他們能夠保持這種級別的身份驗證。用戶還可以在每次新通信開始之前檢查安全號碼，從而保證密鑰沒有變化，

這就是為什麼當您添加新的Apple設備時，您會在現有設備上收到警報。

這封信強調了任何後門為好人使用而構成的根本問題，不可避免地會帶來被壞人利用的風險。當然，這也是蘋果拒絕在聖貝納迪諾射擊案中為FBI創建弱化版iOS的原因。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！