回归初衷 – RSAC2016随笔之一

围观次数:579 views

49913065982736264
25周年。连接产品去保护?连接厂商去保护?难道这就是2016年RSA大会主题的含义?当然不是。组织者的思想显然更加深远。局限于技术去理解Connect to Protect,不论如何咬文嚼字的翻译,都不能阐述清楚其真正诉求。RSA大会曾经有相当长时间使用标志性技术、事件、或物品作为主题以揭示热点,但随着其影响力日益增加,最近几届已经改用更加高瞻远瞩的选词。那么,本届RSA大会主题的含义到底是什么呢?让我们从历史变迁的角度来看看。

相似的争论,回归初衷

在1991年第一次RSA大会之前,美国的出口管制按其国防贸易法执行。任何公司希望出口包含加密能力的设备或程序时,都需要美国政府的许可证,而这是一个困难、昂贵、且耗时的过程。1992年,软件出版商协会牵头与国务院谈判达成协议,允许出口RSA公司的RC2和RC4算法程序,但密钥只能为40位或更少。虽然很多人仍不满意,但这是第一次信息安全产业界联合起来与政府谈判得到的有利结果。加密技术的出口确实也大大促进了当时全球信息技术的发展。

本届RSA大会上,绝大多数的keynote、forum、和panel都提到了FBI和Apple最近的争执。去年十二月二日发生了赛义德法鲁克与妻子马利克导致14人死亡和22人受伤的枪击事件。调查者获取了两部被破坏的手机、笔记本电脑、和法鲁克被锁定的iPhone。执法机构试图让苹果公司帮助提取锁定iPhone中的加密数据内容。而苹果拒绝了这一要求,声称相同的代码可以用来解锁其他iPhone中的加密信息。而在本周早些时候,一位美国联邦法官拒绝了执法机构在一桩毒品案件中要求苹果配合从犯罪嫌疑人手中的iPhone提取信息。

693996958282351456本届大会上,美国联邦首席检察官专门就此事发表演讲并接受采访。

25年过去了,今天,信息安全也正处于与当年类似的重要变革时期,监管法规远远落后于技术发展,造成了很多难以调和的矛盾。笔者认为,互联网管制已经是不可逆转的趋势,发生在全球的各个角落,那些鼓吹互联网不受限制的理念毫不现实,公众终将会意识到:互联网也是有群体利益的,也是有国界的,也会被用来威胁弱小国度。那么,如何解决争议,需要持不同意见的不同背景的团体和个人紧密联系和探讨,最终达成一个广为接受的框架,最大限度地保护所有参与方的利益,这才是本届RSA大会主题Connect to Protect的含义:所有从事信息安全的人员应该联合起来,在信息化技术深入人类世界日常生活各方面的时候,不止保护信息系统,而是积极地保护所有人的安全。

20多年过去, RSA大会最初召开的相似原因再次出现,回归初衷。

Big Brother Inside

1992年加密技术出口的妥协之后,克林顿政府提出一系列旨在允许消费者使用全强度密码保护通信和存储的建议,同时还能让政府有能力获取明文。这是基于一种被称为“密钥托管”的技术:政府托管加密标准(EES),通常称为Clipper芯片。
 

httpatomoreillycomsourceoreillyimages122438“Big Brother Inside” 模仿成功的“Intel Inside”营销活动,恶搞克林顿政府的加密芯片提议。

“密钥托管”背后的思想很简单:每当Clipper芯片被要求加密一段信息M时,它会复制一份用于加密信息的密钥A,并使用第二个密钥B加密A,然后实际发送的是被加密的信息M和被加密的密钥A。密钥A和消息M被存储在一个 “执法访问区域”的数据块中。这样联邦政府就有能力获取用户加密传输的消息明文。

The Greater Good

让我们再上升一个层面来看Apple和FBI的争论。很多看客不懂为什么在美国privacy是个很严重的问题。国内有相当数量不懂装懂甚至是别有用心的业内外人士叫嚣隐私无用论或隐私早已不存在等观点。为什么在美国这就是个不能触碰的逆鳞,时刻都有人为这话题上蹿下跳,甚至像斯诺登一样不惜牺牲个人自由也要揭露政府大规模监听计划?这是因为privacy是美国立国制度的基础。没有privacy就不能保证free speech,而后者又是democracy的根基。其中的逻辑请各位自行脑补,本科技号就不作阐述。所以,此争端虽然将持续一段时间,但结局却会在意料之中:privacy这方必然不会失败,apple必然不会在设备中留后门。那各位就会问了,既然如此,为什么各方还要吵来吵去浪费时间和金钱?很简单,如果执法部门没有尽最大努力去消灭犯罪以保护国民,那就是当届领导失职,就会被赶下台,就只能回家种红薯。所以,政府中不会有人主动跳出来说,出于保护隐私的考虑,我们不要获取犯罪的进一步信息,放弃更好的保护民众的选择。但是当朝野上下和私营机构以及各种组织对此事经过广泛讨论后,就会在最大范围内达成共识:牺牲一些保护国民的能力,是为了保护privacy需要付出的price,是不得已的平衡,是为了the greater good。于是皆大欢喜。

预留后门的危害

RSA曾被曝光接受NSA的1000万美元合同在其加密产品中加装后门。讽刺的是,据称,有其它国家发现了这一后门并利用破解获取美国公司的商业机密。作为科技号,让我们来快速看看如果苹果答应FBI的要求在iPhone中留后门可能造成的危害。

1、潜在内部滥用 
2、成为新的攻击目标
3、可能的脆弱性漏洞利用
4、更多的设备和软件会被要求预留后门

各方讨论的大舞台

RSA大会成功提供了一个让各方对此事件发表看法的大舞台,这对信息科技界的意义远远大于区区一些技术讲座和厂商产品展示。重量级演讲者有Admiral Michael S. Rogers, U.S. Navy, Commander, U.S. Cyber Command, Director, National Security Agency/Chief, Central Security Service等等。笔者拍了些照片,就不一一详述了。

157915571169266234396767087204233198

让我们拭目以待信息安全产业争议的后续发展。

 

 

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助