導(dǎo)讀:目前,每個信息服務(wù)都對自己的安全負(fù)責(zé)--穆菲特和其他人認(rèn)為,通過要求互操作性,一個服務(wù)的用戶會暴露在可能由另一個服務(wù)引入的漏洞中。歸根結(jié)底,整體安全只有在最薄弱的環(huán)節(jié)才是最強大的。
3 月 24 日,歐盟管理機(jī)構(gòu)宣布《數(shù)字市場法案》(Digital Markets Act,簡稱DMA)已達(dá)成共識,將會對歐洲的大型科技公司進(jìn)行全面的監(jiān)管。作為一項具有深遠(yuǎn)影響的雄心勃勃的法律,該法案中最引人注目的措施將要求每個大型科技公司(在歐盟擁有超過 750 億歐元的市值或超過 4500 萬人的用戶群)創(chuàng)造可與小型平臺互操作的產(chǎn)品。
對于信息應(yīng)用來說,這將意味著讓 WhatsApp 這樣的端到端加密服務(wù)與 SMS 這樣不太安全的協(xié)議混在一起--安全專家擔(dān)心這將破壞在信息加密領(lǐng)域來之不易的成果。
DMA的主要關(guān)注點是一類被稱為“守門人”(gatekeepers)的大型科技公司,這類公司的定義是其受眾或收入的規(guī)模,并延伸到他們能夠?qū)^小的競爭對手行使的結(jié)構(gòu)性權(quán)力。通過新的法規(guī),政府希望“開放”這些公司提供的一些服務(wù),以允許小型企業(yè)參與競爭。這可能意味著讓用戶在 App Store 之外安裝第三方應(yīng)用程序,讓外部賣家在亞馬遜搜索中排名更靠前,或者要求消息應(yīng)用程序在多個協(xié)議中發(fā)送文本。
但這可能會給承諾端到端加密的服務(wù)帶來真正的問題:密碼學(xué)家的共識是,如果不是不可能,也很難在應(yīng)用程序之間保持加密,這可能會對用戶產(chǎn)生巨大影響。Signal 受到影響很小,不會受到 DMA 條款的影響,但 WhatsApp--使用 Signal 協(xié)議并由 Meta 擁有--肯定會受到影響。其結(jié)果可能是,WhatsApp 的部分(如果不是全部)端到端信息加密被削弱或取消,使 10 億用戶失去了私人信息的保護(hù)。
鑒于需要精確地執(zhí)行加密標(biāo)準(zhǔn),專家們說,沒有一個簡單的解決方案可以調(diào)和加密信息服務(wù)的安全性和互操作性。知名互聯(lián)網(wǎng)安全研究員、哥倫比亞大學(xué)計算機(jī)科學(xué)教授史蒂文-貝羅文(Steven Bellovin)說,實際上,沒有辦法將具有不同設(shè)計特點的應(yīng)用程序的不同加密形式融合在一起。
Bellovin 說:“試圖調(diào)和兩種不同的加密架構(gòu)根本不可能做到;一方或另一方將不得不做出重大改變。一個只有在雙方都在線的情況下才能工作的設(shè)計與一個在存儲信息的情況下工作的設(shè)計看起來會非常不同....。你如何使這兩個系統(tǒng)互通有無?”
Bellovin說,使不同的信息服務(wù)兼容可能會導(dǎo)致最低共同標(biāo)準(zhǔn)的設(shè)計方法,其中使某些應(yīng)用程序?qū)τ脩粲袃r值的獨特功能被剝離,直到達(dá)到一個共同的兼容性水平。例如,如果一個應(yīng)用程序支持加密的多方通信,而另一個不支持,維持它們之間的通信通常需要放棄加密。
另外,DMA提出了另一種方法讓隱私倡導(dǎo)者來說同樣不滿意:在兩個加密方案不兼容的平臺之間發(fā)送的信息在它們之間傳遞時被解密和重新加密,打破了"端到端"的加密鏈,為不良行為者的攔截創(chuàng)造了一個漏洞。
Muffett 表示:“這就像是你走進(jìn)麥當(dāng)勞,為了打破行業(yè)壟斷現(xiàn)在要求你訂單必須要有來自其他餐廳的壽司拼盤。當(dāng)要求的壽司從表面上要求的壽司店通過快遞到達(dá)麥當(dāng)勞時,會發(fā)生什么?麥當(dāng)勞能否以及是否應(yīng)該向顧客提供這種壽司?快遞員是合法的嗎?它是安全準(zhǔn)備的嗎?”
目前,每個信息服務(wù)都對自己的安全負(fù)責(zé)--穆菲特和其他人認(rèn)為,通過要求互操作性,一個服務(wù)的用戶會暴露在可能由另一個服務(wù)引入的漏洞中。歸根結(jié)底,整體安全只有在最薄弱的環(huán)節(jié)才是最強大的。