抽象的
这份备忘录包含爱德华·斯诺登在发布有关美国国家安全局的信息期间和之后发生的事件的想法和叙述。有四种观点:参与筛选信息以负责任地告知公众的人的观点、IETF 安全领域主管的观点、人权专家的观点,以及计算机科学和法律专家的观点。本备忘录的目的是提供一些历史视角,同时提供技术社区应考虑哪些安全和隐私挑战的观点。
本备忘录的状态
本互联网草案完全符合 BCP 78 和 BCP 79 的规定。
Internet 草案是 Internet 工程任务组 (IETF) 的工作文件。请注意,其他组也可以将工作文档作为 Internet 草稿分发。当前 Internet 草案列表位于https://datatracker.ietf.org/drafts/current/。
Internet 草稿是有效期最长为六个月的草稿文件,可能随时被其他文件更新、替换或废弃。将 Internet 草稿用作参考资料或将其引用为“正在进行的工作”之外的其他方式是不合适的。
该互联网草案将于 2023 年 11 月 21 日到期。
版权声明
版权所有 (c) 2023 IETF Trust 和确定为文档作者的人员。版权所有。
本文档受 BCP 78 和 IETF 信托与 IETF 文档相关的法律规定 ( https://trustee.ietf.org/license-info ) 的约束,这些条款在本文档发布之日生效。请仔细阅读这些文件,因为它们描述了您对本文件的权利和限制。
一、简介
2013 年 6 月 6 日,《卫报》 [ guard2013 ]发表了一篇文章,这是后来被称为美国国家安全局 (NSA) 活动的一系列揭露的开始。这些活动包括秘密法庭命令、接收所谓“元信息”的秘密协议,其中包括来源、目的地和通信时间、窃听通信线路和其他活动。令人惊叹的操作范围震惊了互联网技术社区,并导致 IETF、IAB 和许多私营部门内部发生了翻天覆地的变化。
现在几年过去了,似乎应该反思一下那段时间,社区的行动产生了什么影响,安全性得到改善的地方,威胁面如何演变,哪些领域没有改善,以及社区可能投资的地方未来的努力。
Bruce Schneier 通过将我们带回 2013 年开始了这本个人论文纲要,回顾了他和其他人如何报告正在发生的事情,以及相关人员的心态。接下来,Stephen Farrell 回顾了技术社区的反应、技术进步以及仍然存在的威胁。然后 Farzaneh Badii 讨论了这些进步(或缺乏进步)对人权的影响。最后,史蒂文·M·贝洛文 (Steven M. Bellovin) 将斯诺登泄密事件置于一个跨越几个世纪、不断演变的秘密和秘密窃取的历史背景中,并以对 IETF 的一些建议作为结尾。
我们邀请读者自己思考我们作为一个社区已经产生或没有产生什么影响,以及技术社区可以而且应该为解决世界公民的安全和隐私问题做出哪些积极贡献。
—— Eliot Lear,RFC 系列的独立提交编辑
2. Bruce Schneier:十年后的斯诺登
在 2013 年和 2014 年,我根据爱德华·斯诺登提供的文件撰写了大量关于 NSA 监视的新启示。但我也有更多的个人参与。
我在 2013 年 9 月写了下面的文章。《纽约客》同意发表它,但《卫报》要求我不要发表。它害怕英国的执法,并担心这篇文章会对其产生不良影响。鉴于英国警方将在 2014 年 7 月突袭其办公室,它有正当理由感到担忧。
十年后的现在,我将此作为时间胶囊提供,以了解斯诺登最初几个月的情况。
**********
这是一种超现实的体验,翻阅数百份 NSA 绝密文件。你正在凝视一个禁忌的世界:同时陌生、困惑和迷人。
应格伦格林沃尔德的要求,我于 8 月下旬飞往里约热内卢。几个月来,他一直在处理爱德华·斯诺登 (Edward Snowden) 的档案,并且有一堆技术性更强的文件需要帮助解读。据格林沃尔德说,斯诺登还认为让我失望是个好主意。
这是有道理的。我不认识他们中的任何一个,但几十年来我一直在撰写有关密码学、安全和隐私的文章。我可以破译一些格林沃尔德难以理解的技术语言,并理解各种文件的上下文和重要性。长期以来,我一直公开批评美国国家安全局的窃听能力。我的知识和专长可以帮助确定哪些故事需要报道。
我想了很多才同意。这是在格林沃尔德的合伙人大卫·米兰达 (David Miranda) 在希思罗机场被英国当局拘留之前;但即使没有,我也知道存在风险。我经常飞行——每年飞行 25 万英里——被列入 TSA 名单,或者在美国边境被拘留并没收我的电子产品,将是一个主要问题。FBI 也会闯入我的家并没收我的个人电子产品。但最终,这让我更加坚定了去做这件事的决心。
我确实花了一些时间与 ACLU 和 EFF 推荐给我的律师通了电话。我和我的搭档谈过这件事,尤其是在我出发前三天米兰达被拘留的时候。格林沃尔德和他的雇主卫报在向谁出示文件时都很小心。他们只发布那些对传播故事至关重要的部分。对他们来说,重要的是我是合著者,而不是消息来源。我没有遵循法律推理,但重点是卫报不想将文件泄露给随机的人。然而,它将为公众利益撰写故事,作为该过程的一部分,我将被允许审查这些文件。所以在与Guardian的某个人进行 Skype 对话后,我签了订婚书。
然后我飞往巴西。
我只看到了一小部分文件,而且我看到的大部分内容都出奇地平淡无奇。绝密世界的担忧主要是战术性的:系统升级、天气原因导致的运营问题、工作积压导致的延误等等。我翻阅每周报告、状态会议的演示幻灯片和一般简报来教育访客。管理就是管理,即使在美国国家安全局内部也是如此 阅读这些文件,我感觉自己好像正在参加那些没完没了的会议。
会议主持人试图使事情变得有趣。演示文稿定期包括情报成功案例。有详细信息——发现了什么,如何以及在哪里提供帮助——有时还有来自使用情报的“客户”的攻击者。我确信这些是为了提醒 NSA 员工他们做得很好。它肯定对我有影响。这些都是我希望国家安全局做的事情。
代号太多了。万物皆有:每一个程序、每一个设备、每一个软件。有时代号有自己的代号。最大的秘密似乎是真实世界的潜在信息:MONEYROCKET 是哪家公司;什么软件漏洞 EGOTISTICALGIRAFFE——真的,我不是编造的——是什么;涡轮机是如何工作的。这些机密都有一个代号——ECI,用于特殊分隔的信息——而且几乎从未出现在文件中。通过加密的 IM 连接与斯诺登聊天时,我开玩笑说 NSA 自助餐厅的菜单可能有菜单项的代号。他的回答是:“相信我,我说你不知道。”
这些代号都带有徽标,其中大多数是业余的,而且很多都是愚蠢的。美国国家安全局请注意:拿出超过 100 亿美元的年度预算中的一部分,并雇用一家设计公司。真的; 它会在士气上得到回报。
不过,偶尔,我会看到一些让我停下来、站起来并原地转圈的东西。并不是说我读到的东西特别令人兴奋或重要。只是令人震惊。它改变了——非常轻微地——我对世界的看法。
格林沃尔德说,当人们开始阅读这些文件时,这种反应是正常的。
情报专家谈论生活在内部是多么令人迷惑。您阅读了太多有关世界地缘政治事件的机密信息,以至于您开始以不同的方式看待世界。你开始相信只有内部人士才知道到底发生了什么,因为新闻媒体往往是错误的。你的家人是无知的。你的朋友是无知的。世界是无知的。唯一让你远离无知的是源源不断的机密知识。很难不感到优越,不总是说“如果你只知道我们所知道的”之类的话。我能理解美国国家安全局局长基思亚历山大将军如何给人留下如此傲慢的印象;我只看到了那个秘密世界的一小部分,但我开始感觉到了。
事实证明,拜访格林沃尔德是糟糕的一周,因为他仍在处理米兰达被拘留的后果。另外两名记者,一名来自国家,另一名来自印度教,也在城里与他一起工作。我这一周的大部分时间都与格林沃尔德冲进我的酒店房间,给了我一个新东西的拇指驱动器让我浏览,然后又冲了出去。我确实通过安全聊天“见到”了斯诺登。
当我在那里时,来自卫报的一名技术人员获得了搜索功能,我花了一些时间使用它。问题:当你有能力搜索 NSA 机密数据库时,你首先要寻找的是什么?答:你的名字。
它不在那里。我所知道的任何算法名称都不是,甚至我所知道的美国政府使用的算法也不是。
我试图与格林沃尔德谈谈他自己的操作安全性。米兰达带着 U 盘上的国家安全局文件旅行是非常愚蠢的。以电子方式传输文件是加密的目的。我告诉 Greenwald,他和 Laura Poitras 应该每天来回发送大量加密的虚拟文档文件。
有一次,在格林沃尔德的家里,我走进后院,寻找藏在树上的 TEMPEST 接收器。我没有找到任何东西,但这并不意味着它们不存在。格林沃尔德有很多狗,但我认为这不会妨碍专业人士。我敢肯定,许多主要政府都拥有格林沃尔德所拥有的一切的完整副本。也许黑袋队在最初几周相互碰撞。
我开始怀疑我自己的安全程序。阅读有关 NSA 的黑客攻击能力的文章会对您有所帮助。它能破解我硬盘上的加密吗?可能不会。制作我的加密软件的公司是否故意削弱了它的实施?大概。NSA 特工是否在监听我打回美国的电话?很有可能。如果他们愿意,代理人可以通过 Internet 控制我的计算机吗?确实。最后,我决定尽力而为,不再为此担心。毕竟,这是该机构的文件。我正在做的事情将在几周内公之于众。
我也睡不好。其中很多是我所看到的绝对规模。这并不是说其中任何一个都是真正的惊喜。我们这些信息安全社区的人长期以来一直认为 NSA 正在做这样的事情。但我们从来没有真正坐下来弄清楚细节,而确认细节会产生很大的不同。也许我可以打个比方更清楚。每个人都知道死亡是不可避免的;这绝对不足为奇。然而,它的到来却令人惊讶,因为我们一生中的大部分时间都在拒绝考虑它。美国国家安全局的文件有点像那样。知道美国国家安全局确实在窃听世界,并以如此有条不紊和稳健的方式进行窃听,
我还发现保守秘密非常困难。卫 报的过程缓慢而有条不紊。我移动得更快。我根据发现的内容起草了故事。然后我写了关于这些故事的文章,以及关于这些文章的文章。写作是治疗;我会在凌晨醒来,写一篇文章。但这使我至少比发表的内容高出三个层次。
现在我的参与结束了,我的第一篇论文也出来了,我感觉好多了。我敢肯定,当我找到另一个具有里程碑意义的启示时,情况会再次变得更糟;还有更多文件需要处理。
我听说有人说斯诺登想要破坏美国。我可以肯定地说他没有。到目前为止,参与此事件的每个人都对向公众发布的内容非常谨慎。有很多文件可能对美国造成巨大的危害,而且没有人有意公开这些文件。记者发布的文件经过仔细编辑。格林沃尔德和我反复与卫报编辑讨论故事创意的新闻价值,强调我们不会仅仅因为政府机密很有趣就公开它们。
美国国家安全局非常幸运;这可能会以像切尔西曼宁的国务院电报那样的大规模公开倾倒而告终。我想它仍然可以。尽管如此,我可以想象这对美国国家安全局来说是什么感觉它习惯于将这些东西置于多个安全级别之后:带警报的大门、武装警卫、安全门和军用级密码。它不应该在巴西、德国、英国、美国以及谁知道其他什么地方的一堆拇指驱动器上,主要受到一些随机的人关于什么应该或不应该保密的意见的保护。这很容易成为有史以来最大的情报失败。令人惊奇的是,一个人可以拥有如此多的访问权限而责任却如此之少,并且可以在不发出任何警报的情况下偷走所有这些数据。斯诺登是第一个这样做的人的可能性几乎为零;他只是第一个公开他做过的人。亚历山大将军没有被迫辞职,这证明了他的权力。
并不是我们不注意安全,而是我们的护理标准如此不同。从 NSA 的角度来看,我们都是主要的安全风险,包括我自己。我正在做有关机密材料的笔记,将它们揉成一团,然后扔进废纸篓。我正在酒店大堂打印标有“TOP SECRET/COMINT/NOFORN”的文件。有一次,我带错了 U 盘去吃饭,不小心把装满绝密文件的未加密的 U 盘留在了我的酒店房间里。这是一个诚实的错误;他们都是蓝色的。
如果我是国家安全局的雇员,政策将是仅仅因为这个就解雇我。
许多人都写过处于持续监视之下如何改变一个人。当你知道自己被监视时,你就会自我审查。你变得不那么开放,不那么自发。你看着你在电脑上写的东西,仔细想想你在电话里说的话,想知道从一个假设的观察者的角度来看,如果断章取义的话,听起来会怎样。你更有可能顺从。你压制你的个性。尽管我在隐私领域工作了几十年,并且已经对美国国家安全局及其工作了如指掌,但这种变化还是显而易见的。那种感觉还没有消退。我现在对自己的言行更加谨慎。我不太信任通信技术。我不太信任计算机行业。
经过多次讨论,格林沃尔德和我同意先写三个故事。所有这些都还在进行中。此外,我还就最近公开的斯诺登文件写了两篇评论。还有很多事情要做;甚至格林沃尔德也没有仔细研究过所有内容。
自从我去巴西旅行 [一个月前] 以来,我已经飞回美国一次,国内七次——都没有发生任何事故。我还没有在任何名单上。至少,我所知道的没有。
**********
碰巧的是,我没有为 Greenwald 或 卫报写更多的东西。那两个人闹翻了,等到一切都平息下来,两人都开始独立撰写有关文件的文章时——Greenwald 在新成立的网站 The Intercept工作——不知怎么的,我被排除在了这个过程之外。我记得听说格林沃尔德生我的气,但我一直不知道原因。从那以后我们就没说过话。
尽管如此,我还是对我参与的一个故事感到满意:NSA 如何破解 Tor。我认为推动《卫报》发布详细介绍 QUANTUM 的 NSA 文件是个人的成功。我不认为那会以任何其他方式解决。今天,当我在哈佛肯尼迪学院向决策者教授网络安全时,我仍然使用这些页面。
其他人写了关于斯诺登文件的文章,而且写了很多。起初是缓慢的涓涓细流,然后是更稳定的流动。在格林沃尔德、巴特盖尔曼和卫报记者之间,终于源源不断地传出消息。(Bart 让 Ashkan Soltani 在技术方面帮助他,这对他来说是一个很好的举动,即使后来 Ashkan 失去了一份政府工作。)其他出版物报道了更多故事。
它开始变得奇怪。格林沃尔德和盖尔曼都保留了文件,以便他们可以将它们发表在他们的书中。尚未被多名女性指控性侵犯的杰克·阿佩尔鲍姆正在与劳拉·珀特拉斯合作。他与 Spiegel 合作发布了 NSA 的定制访问操作组的植入目录。直到今天,我都确信那份文件不在斯诺登的档案中:杰克以某种方式得到了它,并且它是在爱德华斯诺登的掩护下发布的。我认为这非常重要,所以我开始在我的博客中写下该文档中的每个项目:“本周的 NSA 漏洞利用”。这让我的网站被国防部封锁了:我在我的墙上保留了一张带框的审查员信息的印刷品。
也许最超现实的文件披露是当艺术家开始根据这些文件创作小说时。那是在 2016 年,当时Intercept终于在纽约建立了一个安全的房间来存放文件。到那时,这些文件已经过时多年,而现在它们已经过时十多年了。(它们是在 2013 年泄露的,但其中大部分是 2012 年或之前的。)
我最终成为了这些文件的公共大使。当我从里约热内卢回来后,我在伍兹霍尔的一个私人会议、哈佛大学的伯克曼中心、日内瓦的国会和隐私与监视、华盛顿特区的 CATO 和新美国的活动、大学的一个活动上发表了演讲宾夕法尼亚州,EPIC 的一个活动和华盛顿的“停止观看我们”集会,伦敦的 RISCS 会议,巴黎的 ISF,然后......然后......在 2013 年 11 月在温哥华举行的 IETF 会议上。(我记得这一点;我正在从我的日历中重建它。)
在 IETF,让我印象深刻的是房间里的愤慨和行动呼吁。并且在许多方面都采取了行动。例如,我们的技术人员为帮助保护互联网做了很多工作。
不过,政府没有尽到自己的责任。尽管有公众的强烈抗议、国会的调查、奥巴马总统的声明和联邦法院的裁决。我认为没有太大变化。美国国家安全局取消了这里的一个项目和那里的一个项目,现在它对国防的关注度更高了。但我不认为它对大规模或有针对性的监视具有任何侵略性。当然,它的政府权力没有受到任何限制。监视资本主义仍然是互联网的商业模式。
还有爱德华·斯诺登?我们在 Signal 上联系了一段时间。2016 年,我在莫斯科拜访过他一次。几年来,我让他在哈佛为我的班级做了年度客座讲座,由 Jitsi 远程进行。之后,我会举行一次会议,承诺会回答他回避或不回答的每一个问题,解释他所做的每一个回答,并以一种持有未执行逮捕令的人根本无法做到的方式坦诚相待。有时我认为我可以比他更好地引导斯诺登。
但现在已经十年了。他所知道的一切都陈旧过时了。我们所知道的一切都是陈旧和过时的。2016 年和 2017 年,在影子经纪人的幌子下,俄罗斯人更严重地泄露了美国国家安全局的机密。美国国家安全局已经重建。它再次具有我们只能猜测的能力。
3. Stephen Farrell:IETF 和互联网技术社区的反应
2013 年,IETF 以及更广泛的互联网技术、安全和隐私研究社区对斯诺登事件揭露的监视和攻击活动感到惊讶。 [时间轴]虽然这种可能性是众所周知的,但所披露的活动的规模和普遍性令人担忧,而且我认为公平地说,对于很多互联网工程师来说,这非常烦人。
至于 IETF 的反应,2013 年 7 月在柏林举行的 IETF 会议期间的非正式会议表明,IETF 参与者认为这些披露表明我们需要做更多工作来提高 IETF 协议的安全和隐私属性,并帮助确保部署得到更好的利用已经存在的安全和隐私机制。8 月,IETF 建立了一个新的邮件列表[ perpass ],最终成为对这些主题的工作提案进行分类的有用场所。在 2013 年 11 月的 IETF 会议上,有一场关于“加固互联网”以应对此类攻击的全体会议[ plenary-video ]热闹且出席人数众多,随后是“物是人非” [ BoF 会议]致力于更详细地讨论可能有助于改善问题的新工作组、协议和最佳当前实践 (BCP) 文件方面的可能行动。随后在 2014 年 2 月/3 月,IAB/W3C 联合研讨会在伦敦举行了“加强互联网对抗普遍监控” [ STRINT ] ,有 150 名工程师参加(根据我的经验,这仍然是唯一一个我们需要等待的 IAB 研讨会-达到场地容量后的人员名单!)。STRINT 研讨会报告最终于 2015 年作为[ RFC7687 ]发布,但与此同时,最佳当前实践 (BCP) 文件的工作仍在继续,该文件编纂了 IETF 社区认为“普遍监控是一种攻击” [ RFC7258 ](又名 BCP188)。IETF 对这份简短文件的最后电话讨论包括 1000 多封电子邮件——虽然就整体信息达成了广泛的共识,但许多 IETF 参与者认为将该信息纳入 RFC 系列和 IETF 流程是有争议的。无论如何,BCP 于 2014 年 5 月发布。达成粗略共识的关键声明在 RFC7258 的摘要中,并表示“普遍监控是一种技术攻击,应尽可能在 IETF 协议的设计中加以缓解。” 该文件已被引用[ refs-to-7258 ]许多 IETF 工作组和 RFC 认为在安全和隐私方面的额外工作是合理的。在那段时间及以后,斯诺登泄密事件的影响仍然是 IETF 的两个主要技术管理机构——IAB 和 IESG(我当时任职)的主要和持续议程项目。
到目前为止,我实际上只描述了 IETF 处理攻击的过程,但当然还有许多由 IETF 参与者开始的技术工作,这些工作至少在一定程度上受到了斯诺登揭露的推动。
2013 年 11 月成立了一个工作组来记录在应用程序中使用 TLS 的更好实践[ UTA ],以便在面对与剥离 TLS 或应用程序滥用 TLS API 或参数相关的一些攻击时降低部署的风险. 稍后在[ CURDLE ]工作组中进行了类似的工作以更新在其他协议中使用密码学的建议 。CURDLE 工作组的创建在一定程度上是为了能够使用 IRTF 加密论坛研究组记录的一组新椭圆曲线。[碳氢化合物]在 DUAL_EC_DRBG 崩溃[ dual-ec ] (下面进一步描述)之后,NIST 随机数生成器被故意设计为产生输出,而该工作反过来部分是出于(也许最终没有根据)对 NIST 标准中定义的椭圆曲线的担忧这可能容易受到美国国家安全局的攻击。
开发新版本 TLS 的工作于 2014 年开始,主要是由于担心多年来 TLSv1.2 和更早版本的实施已被证明容易受到一系列攻击。然而,开发 TLSv1.3 [ RFC8446 ]的工作也旨在加密更多的握手,以便向网络观察者公开更少的信息——这是斯诺登泄密的一个相当直接的结果。今天,在这方面进一步改进 TLS 的工作仍在继续,使用所谓的加密客户端问候 (ECH) [ ID.ietf-tls-esni ] 机制来消除当前 TLS 中存在的最后一个隐私泄漏。
ECH 的工作得益于加密 DNS 流量的重大发展,使用 DNS over TCP (DoT) [ RFC7858 ]或 DNS over HTTP (DoH) [ RFC8484 ],这也是斯诺登事件的结果。在此之前,当涉及到 DNS 数据或(更重要的)访问 DNS 数据的行为时,并没有真正考虑到隐私。加密 DNS 流量的趋势代表了 Internet 的重大变化,无论是在减少明文方面,还是在移动控制点方面。后一个方面过去是,现在仍然是有争议的,但 IETF 的职责是定义可以实现更好的 DNS 隐私的新协议。致力于 HTTP 版本 2 [ RFC7540 ]和 QUIC[ RFC9000 ]进一步证明了 IETF 将始终加密协议作为新规范的趋势,至少在传输层和传输层之上。
当然,并非所有此类举措都取得成果,例如尝试定义新的 MPLS 加密机制[ ID.farrelll-mpls-opportunistic-encrypt ] 由于缺乏兴趣和已部署的 IEEE MACSEC 方案的存在而失败。但是,在将网络观察者视为攻击者时,尝试从 Internet 中删除明文作为提供改进隐私的先驱的趋势相当明显。
当然,IETF 只是更广泛的互联网技术社区的一部分,斯诺登事件引发了许多非 IETF 活动,其中一些活动最终还导致了 IETF 的新工作,以标准化其他地方开发的更好的安全和隐私机制.
2013 年,尽管 HTTPS 相对可用,但 Web 基本上未加密,部分原因是大规模使用 WebPKI 出现问题。Let's Encrypt [ LE ]倡议成立于 2015 年,旨在推动网络走向完全加密,并在帮助实现这一目标方面取得了巨大成功。随后,为 Let's Encrypt 开发的自动化协议在 IETF 的 ACME [ ACME ]工作组中被标准化。
2013 年,邮件服务器之间的大多数电子邮件传输都是明文,直接导致了斯诺登文件中记录的一些攻击。从那时起,主要邮件服务和 MTA 软件开发商付出的巨大努力已经导致超过 90% 的电子邮件在邮件服务器之间被加密,并且已经定义了各种 IETF 协议以改善这种情况,例如 SMTP MTA 严格传输安全(MTA- ST). [ RFC8461 ]
最后,MAC 地址在历史上一直是对本地网络(及其他网络)可见的长期固定值,这使得斯诺登文件中记录的一些跟踪攻击成为可能。[ Toronto ] IEEE 802 标准组认识到了这一弱点,并开始研究 MAC 地址随机化,这反过来导致 IETF 的[ MADINAS ]工作组旨在确保随机化的 MAC 地址可以在 Internet 上使用而不会造成意外伤害。
总而言之,由于斯诺登的泄密,IETF 和其他地方开展的大量技术工作集中在两个主要方面:减少网络观察者仍然可见的明文数量,其次减少长期能够意外识别或重新识别设备或用户的标识符。这项工作无论如何都没有完成,部署也不是普遍的,但已经取得了重大进展,即使随着时间的推移对攻击的烦恼程度有所消退,工作仍在继续。
还应该注意到,有人反对这些安全和隐私方面的改进以及它们对部署造成的变化。这或多或少来自两个阵营——那些被这些改进强制改变的人往往反应不好,但后来想出了如何调整。第二个阵营是那些似乎不喜欢加强安全性的人,例如即使面对许多正确地认为这种反加密方法不可避免地导致整体安全性更差的工程师,他们仍继续实现他们所谓的“可见性” . [ RFC1984 ]很好地说明了这种推回的反复出现的性质. 该参考文件于 1996 年作为 IETF 对长期存在的“加密不好”论点的早期迭代的回应发布。2015 年,未修改的 1996 年文本升级为最佳当前实践 (BCP200),因为基本论点没有也不会改变。
从 2023 年的有利角度回顾以上所有内容,我认为,作为互联网工程师社区,我们做对了很多事情,但今天需要做更多的事情来更好地保护人们的安全和隐私。使用互联网。特别是,我们(技术社区)在打击过去十年爆发的监视资本主义方面做得几乎没有那么好。在某种程度上,这是因为许多问题超出了 IETF 等机构的范围。例如,无法通过 Internet 协议真正缓解出于广告目的而侵入式后端共享人们数据的情况。
然而,我还认为,对于斯诺登的揭露,真正让人感到烦恼的是(一般而言)当涉及到互联网工程师的主要雇主的合法但严重侵犯隐私的活动时,感觉几乎没有那么多。
值得注意的是,RFC7258 并不认为不良行为者仅限于政府;就我个人而言,我认为许多收集数据的广告行业计划是普遍监控的恶劣例子,因此也应被视为对互联网的攻击,应尽可能予以缓解。然而,互联网技术社区在过去十年中显然没有这样做过。
也许这表明互联网工程师和他们聚集的机构需要比互联网的前半个世纪更加重视道德行为标准。虽然很高兴看到互联网机构的现任领导者努力在这方面取得进展,但在撰写本文时,令人遗憾的是,政府监管机构似乎更有可能尝试强制采取更好的行为。这当然会带来很大的风险,因为监管会阻碍许多早期互联网成功的特点——无需许可的创新。
因此,尽管我们对斯诺登的揭露做出了很多正确的反应,但目前,我们的互联网“更糟”。尽管如此,我仍然希望在那里看到翻天覆地的变化,因为真正的互联网安全和隐私对人们来说的重要性变得非常明显,即使是最顽固的资本家和政府信号情报机构也是如此。这可能看起来很天真,但我仍然乐观地认为,作为一个以事实为基础的社区,我们(以及最终我们的雇主)将认识到,较小的风险是诚实地致力于提供切实可行的最佳安全和隐私。
4. Farzaneh Badii:斯诺登的揭露是否有助于保护互联网上的人权?
很难科学地衡量斯诺登爆料对人权和互联网的影响。有趣的是,我们一直在目睹影响技术和服务的主导监管和政策方法,而这些技术和服务是保护互联网人权的核心。(旨在解决在线安全或数据集中的一系列欧盟法律。还有更多法规对互联网产生影响。[ Masnick2023 ]) 在解决有助于实现人权的技术和政策问题方面进展甚微。斯诺登的揭露并没有对我们不使用对人权有影响的政策和技术手段的做法产生革命性的影响,例如言论自由、结社和集会自由以及隐私。它并没有减少互联网关闭的次数,也没有减少专制国家(甚至在某种程度上是民主国家)对互联网领土化的渴望。也许这些启示有助于某些技术和政策方面的发展。
斯诺登 10 年前揭露真相后,互联网工程任务组 (IETF) 的工程师和拥护者以几种方式做出回应。一个突出的回应是Farrell 和 Tschofenig发布了最佳当前实践文件“普遍监控是一种攻击” [ RFC7258 ] 。对斯诺登泄密事件的回应并不意味着 IETF 忽视了隐私和监视等问题。过去有工程师抵制监视的例子(我们没有深入研究这在保护人权方面有多成功)。但从历史上看,许多工程师认为广泛和习惯性的监视过于昂贵而不实用。事实证明他们错了。
在事件曝光之前,以权利为中心的活动家也参与了 IETF。例如,民主与技术中心 (CDT) 的工作人员正在 IETF 开展工作(并且是互联网架构委员会的成员),并举办了关于创建隐私保护协议和系统的挑战的研讨会。在斯诺登泄密之前,IETF 已经认识到国家安全局用来进行大规模监视的技术缺陷[ Garfinkel1995 ]、[ RFC6462 ]。2012 年,Joy Liddicoat 和 Avri Doria 在互联网协会撰写了一份报告,广泛讨论了人权和互联网协议的流程和原则[ Doria2012]。
或许斯诺登的爆料让 IETF 及其工作受到更多关注,因为它涉及隐私和言论自由等重要问题。它还可能加快并帮助更轻松地召集互联网研究任务组 (IRTF) 中的人权协议注意事项研究小组。由 Niels ten Oever(当时在 Article 19 工作)和互联网治理活动家 Avri Doria 共同主持,互联网研究工作组于 2015 年 7 月成立了一个“人权协议考虑因素”研究小组 (HRPC RG)。HRPC RG 的章程指出,该小组的成立是为了“研究标准和协议是否能够实现、加强或威胁人权,正如 UDHR 和公民权利和政治权利国际公约 (ICCPR) 所定义的那样。”
在过去的几十年中,在创建协议方面取得了一些成功的进展,这些协议在实施时旨在保护用户的隐私,并有助于减少无处不在的监视。这些努力符合 IETF 在 RFC 7258 中的共识。有时这些协议也具有反审查特性。几个例子立刻浮现在脑海中: 1) DNS 查询的加密(例如 DNS over HTTPS);2) 支持 Lets Encrypt 计划的 ACME 协议和 3) 注册数据访问协议 (RDAP) [ RFC7480 ]、[ RFC7481 ]、[ RFC9082 ]、[ RFC9083 ]、[ RFC7484]] , [ RFC8056 ]。(RDAP 与斯诺登的揭露有什么关系是值得商榷的,但它仍然是一个很好的例子,并且最终正在实施。)
通过 HTTPS 协议的 DNS 查询旨在加密 DNS 查询。在 RFC 7258 发布四年后,DoH 被开发用于处理 DNS 查询的主动和被动监控。它也是一种可以帮助打击审查制度的工具。Lets Encrypt 不是互联网协议,但它是一项旨在加密网络的倡议,后来一些自动化协议在 IETF ACME 工作组中被标准化。注册数据访问协议可以解决一个长期问题:编辑域名注册人(和 IP 地址持有人)的敏感个人数据,但同时允许合法访问这些信息。至于HRPC研究组的工作,迄今为止已经发布了[ RFC8280 ](十位Oever和Cath)和一些具有参考意义的互联网草案。
虽然我们不能真正争辩说,所有能够在基础设施层保护人权的运动和隐私保护协议和举措直接源于斯诺登的揭露,但我认为可以肯定地说,这些揭露有助于加快解决一些“技术上的”犹豫,这对修复能够保护人权的互联网协议产生了影响。
不幸的是,斯诺登的揭露尚未对我们采用人权方法产生有意义的帮助。出于多种原因,我们无法就在我们的互联网社区中优先考虑人权达成一致。这可能是由于:1) 人权有时会相互冲突 2) 根本不可能通过互联网协议来减轻侵犯人权的行为 3) 工程师们在事实面前并不明显互联网协议如何有助于保护人权以及他们如何解决问题 4) 议定书已经存在,但市场、法律和许多其他社会和政治问题不允许广泛实施。
IETF 并没有故意花很长时间来采用支持人权的协议。技术和政治问题造成了障碍。例如,IETF 社区之前曾多次尝试创建一个协议,该协议将公开 IP 持有人和域名注册人的必要信息,同时保护他们的数据(CRIPS 和 IRIS 是两个例子)。然而,直到 RDAP 制定和通用数据保护条例 (GDPR) 颁布后,互联网名称与数字地址分配机构才不得不考虑指示注册管理机构和注册服务商实施 RDAP,并且其社区不得不提出隐私合规政策. 全面的,
有时协议可用,但监管框架和市场不允许实施。一个奇怪的例子是制裁及其对受制裁国家 IP 地址的影响。想象一下,如果我们认为 IPv4 的注册受到制裁的影响,因为它被视为一种经济资源,并且由于稀缺性和货币化。理论上,如果我们转向IPv6,就可以解决资源获取的问题,因为IPv6不是稀缺资源。然而,正如我们所知,IPv6 的采用不仅仅取决于技术可用性。采用IPv6也不是完整的解决方案,取决于法律政策和市场。
有时对协议的实施存在争论,因为人们认为,虽然它可以保护言论自由和减少监视,但它可能会妨碍其他人权。例如,我们仍然对通过 HTTPS 实施 DNS 持怀疑态度,而没有认真考虑它在对抗审查和为 DNS 查询带来加密方面的贡献。反对实施 DoH 的论点包括保护在线儿童和执法部门无法访问数据。
具有讽刺意味的是,我们提倡连接并相信在互联网上表达自己是一项人权,但当战争爆发时,我们诉诸于影响这一概念的工具。例如,一些人认为,通过对互联网的关键属性实施制裁,我们可以惩罚战争的肇事者。负责 IP 地址注册的区域互联网注册管理机构对这些请求表现出了弹性。然而,一些科技公司(例如 Cogent [ Roth2022 ])并没有回避不为受制裁国家提供服务,即使它过度合规并可能导致普通民众与外界脱节。
或许我们可以通过进行彻底的影响评估和背景分析来解决其中的一些问题,以揭示互联网协议如何以及为何影响人权(Fidler 和我主张[ Badii2021 ])。背景化和影响评估可以揭示每个互联网协议或每一行代码,在哪些系统中,如何影响哪些人的人权。
HRPC RG(我是其中的一员)和更大的人权和政策分析师社区仍在努力分析法律、社会和市场因素以及协议,以便更好地了解哪些因素会产生影响以及哪些因素必须改变. 这很难,但并非不可能。如果我们彻底记录和研究互联网协议的生命周期并将其置于上下文中,我们可能会更好地理解我们如何以及是否可以真正修复协议的哪些部分以保护人权。
总的来说,这些启示确实在某种程度上促进了我们思想和观点的演变。我们的下一步应该是研究互联网系统(包括互联网协议)对人权的影响,通过政策和宣传促进有利于人权的协议的实施,并关注我们可以标准化哪些技术部分以帮助更广泛地传播实施支持互联网协议的人权。
5. Steven M. Bellovin:政府与密码学:密码战争
5.1. 历史背景
这不是秘密:世界上许多政府不喜欢人们加密他们的流量。更准确地说,他们喜欢自己使用强密码术,但不喜欢其他人,无论这些人是普通公民还是其他国家。但历史比这更长、更复杂。
在大部分有文字记载的历史中,政府和个人都使用密码学来保护他们的信息。仅举一个著名的例子,据说 Julius Caesar 通过将字母表中的字母移动 3 [ Kahn1996 ]来加密消息。用现代的说法,3 是密钥,每个字母都用
-
C[i] = (P[i] + 3) mod 23
(在他那个时代,J、U 和 W 不存在于拉丁字母表中。)已知的关于密码分析的阿拉伯文字至少可以追溯到 8 世纪;它们的复杂性表明加密被合理地普遍使用。在 9 世纪,Abu Yusuf Ya'qub ibn 'Ishaq aṣ-Ṣabbah al-Kindh 开发并撰写了关于频率分析作为破解密码的方法[ Borda2011 ]、[ Kahn1996 ]。
然而,在识字率最低的时代,加密的使用并不多,原因很简单,因为大多数人既不会读也不会写。政府对外交信息使用加密,密码分析家紧随其后。文艺复兴时期著名的 Black Chambers 阅读了来自许多不同政府的信息,而早期的密码学家设计了越来越强大的密码 [ Kahn1996 ]。在英国伊丽莎白时代,弗朗西斯沃尔辛厄姆爵士的情报机构截获并解密了来自苏格兰女王玛丽的信息;这些信息构成了对她不利的一些最有力的证据,并最终导致她被处决[ Kahn1996 ]。
这种模式持续了几个世纪。在美国,托马斯·杰斐逊在 18 世纪末发明了所谓的轮式密码;它在大约 100 年后由 Etienne Bazeries 重新发明,并作为标准美国军事密码使用到第二次世界大战 [ Kahn1996 ]。杰斐逊和那个时代的其他政治家在相互交流时经常使用密码学。加密信息甚至是 Aaron Burr 1807 年叛国罪审判中引入的证据的一部分[ Kerr2020 ],[ Kahn1996 ]。Edgar Allan Poe 声称他可以对发送给他的任何消息进行密码分析[ Kahn1996 ]。
电报时代提高了赌注。在美国,就在塞缪尔·莫尔斯 (Samuel Morse) 在巴尔的摩和华盛顿之间部署他的第一条电报线路一年后,他的商业伙伴弗朗西斯·史密斯 (Francis Smith) 发布了一本密码本,以帮助客户保护他们的通信免受窥探 [ Smith1845 ]。1870年,英国将国内电报网国有化;作为回应,罗伯特·斯莱特 (Robert Slater) 出版了一本更复杂的密码本 [ Slater1870 ]。在政府方面,英国利用其作为世界国际电报网络中心节点的优势,读取了大量经过该国的流量 [ Headrick1991 ],[ Kennedy1971 ]. 他们也在战略上使用了这种能力——1914 年战争爆发时,英国海军切断了德国的海底电报电缆,迫使他们使用无线电;对所谓的齐默尔曼电报的拦截,在进行密码分析时,可以说导致美国参战,从而导致德国战败。美国参战后,它要求国际电报线路的用户交存他们用于压缩的密码本的副本,以便审查员可以检查消息中是否含有违禁内容[ Kahn1996 ]。
在维多利亚时代的英国,私人公民(通常是恋人)在报纸的个人专栏中使用加密技术在父母不知情的情况下进行交流。查尔斯·惠斯通 (Charles Wheatstone) 和查尔斯·巴贝奇 (Charles Babbage) 曾经例行公事地解决这些基本密码,以供他们自己娱乐[ Kahn1996 ]。
这种模式持续了很多年。政府经常使用密码和代码,而其他国家则试图破解它们;个人有时会使用加密,但不经常使用,而且很少用得好。但两次世界大战标志着翻天覆地的变化,这一变化很快就会波及平民世界。
第一次世界大战的特点是各方都进行了大规模的军队调动。这反过来又需要大量加密通信,通常是通过电报或无线电。这些消息通常很容易被批量拦截。此外,加密大量明文的困难导致了各种机械加密设备的开发,包括德国著名的 Enigma 机。第二次世界大战放大了这两种趋势。它还催生了机器辅助密码分析,例如英国的炸弹(源自波兰早期的设计)和 Colossus 机器,以及美国破解日本 PURPLE 系统的设备。美国还使用基于穿孔卡的制表机来协助破解其他日本密码,例如日本帝国海军的 JN-25 [ Kahn1996 ],[罗莱特 1998 ]。
这些发展为战后 SIGINT(信号情报)环境奠定了基础。许多政府内部消息是通过无线电发送的,很容易被拦截;先进的密码分析机使密码分析更容易。不过,密码变得越来越强大,政府 SIGINT 机构也不想放弃对数据的访问。虽然无疑有许多发展,但有两个是众所周知的。
第一个涉及 CryptoAG,一家瑞典(后来是瑞士)的加密设备制造商。该公司的负责人鲍里斯·哈格林 (Boris Hagelin) 是美国密码学先驱威廉·F·弗里德曼 (William F. Friedman) 的朋友。在 1950 年代,CryptoAG 将其设备出售给其他政府;显然,在弗里德曼的要求下,哈格林以一种让美国国家安全局读取流量的方式削弱了加密[ Miller2020 ]。
涉及英国人的故事记录较少,也不太清楚。当英国的一些前殖民地获得独立时,英国政府给了他们缴获的、战争剩余的 Enigma 机器,以保护他们自己的交通。一些作者认为这是骗人的,因为这些前殖民地没有意识到英国人可以阅读受 Enigma 保护的流量;其他人声称这是显而易见的,但这些国家并不关心:英国不再是他们的敌人;他们担心的是邻国。不过,这再次涉及政府对加密的使用[ Kahn1996 ]、[ Baldwin2022 ]。私人用途仍然很少。
5.2. 加密战争开始
个人对隐私的渴望与政府对流量的渴望之间的冲突始于 1972 年左右。苏联粮食歉收;由于苏联和美国的关系暂时比较暖和,苏联粮食公司——当然是苏联政府的一个部门——开始与美国私营公司进行谈判。当时美国人并不知道,苏联情报机构正在拦截美国谈判小组的电话。换句话说,私营公司必须将国家行为者视为一种威胁。最终,美国情报部门了解到这一点,并意识到:私营部门也需要强大的密码学来保护美国的国家利益[ Broad1982 ],[约翰逊 1998 ] )。这强调了使用强大的密码学来保护美国民用交通的必要性——但 SIGINT 人员对他们无法破解的更多加密的想法感到不满。
与此同时,五角大楼担心保护其非机密数据[ Landau2014 ]. 1973 年和 1974 年,国家标准局 (NBS) 呼吁采用强大的现代加密算法。IBM 提交了内部开发的算法 Lucifer。它看起来很强大,所以 NBS 将其发送给 NSA 以获取他们的意见。最终的设计于 1976 年被采用为数据加密标准 (DES),它与 Lucifer 在两个重要方面有所不同。首先,DES 密码强度的来源,即所谓的 S 盒发生了变化,并且显然不是由随机整数组成。许多研究人员声称 S-box 包含 NSA 后门。20 年后真相大白:S 盒实际上得到了加强,而不是被削弱了。最有可能的是,IBM 独立发现了现在称为差分密码分析的攻击,尽管一些学者怀疑 NSA 告诉了他们这件事。非随机 S-box 防止这种攻击。然而,另一个变化显然是 NSA 坚持的:密钥长度被缩短,从 Lucifer 的 112 位到 DES 的 56 位。我们现在知道 NSA 想要 48 位密钥大小,而 IBM 想要 64 位;他们以 56 位妥协。
斯坦福大学的 Whitfield Diffie 和 Martin Hellman 对 56 位密钥感到疑惑。1979 年,他们发表了一篇论文,证明美国政府(但很少有人)有能力建造一台蛮力破解机,一台可以尝试所有 2^56 种可能的密钥来破解一条消息的机器。NSA 否认篡改设计;参议院调查委员会发现这是正确的,但没有讨论缩短的密钥长度问题。
然而,这并不是 Diffie 和 Hellman 对密码学的最大贡献。几年前,他们发表了一篇论文,发明了现在所谓的公钥密码术。1978 年,Ronald Rivest、Adi Shamir 和 Leonard Adelman 设计了 RSA 算法,使其可用。(一位美国国家安全局的员工私自发了一封信,警告密码学学术会议可能违反美国出口法。)
大约在同一时间,威斯康星大学的 George Davida 申请了流密码专利;美国国家安全局对该申请下达了保密令。这甚至禁止他谈论他的发明。宣传是毁灭性的;美国国家安全局不得不让步。
加密战争由此开始:平民正在发明强大的加密系统,而美国国家安全局正在篡改或试图压制它们。时任美国国家安全局局长的 Bobby Inman 曾尝试为学术论文创建一个自愿审查程序,但很少有研究人员有兴趣参与[ Landau1988 ]。
1980 年代几乎没有重大的公开斗争,因为那段时间几乎没有民用密码学的新的主要用例。不过有一个值得注意的事件:Shamir、Amos Fiat 和 Uriel Feige 发明了零知识证明并申请了美国专利。作为回应,美国陆军对该专利下达了保密令。在所有组织(包括美国国家安全局)的大量公愤和干预之后,该命令基于非常狭隘的理由被解除:发明者不是美国人,并且一直在全世界讨论他们的工作[ Landau1988 ]。
然而,在 20 世纪 90 年代,一切都变了。
5.3. 战斗已加入
1990 年代初期,密码学出现了三个主要发展。首先,Phil Zimmerman 发布了 PGP(Pretty Good Privacy),一个用于加密电子邮件信息的包。1993 年,AT&T 计划发布 TSD-3600,这是一款针对商务旅行者的易于使用的电话加密器。此后不久,Netscape Corporation 发布了 SSL(安全套接字层),作为使用其浏览器和 Web 服务器启用基于 Web 的商务的一种方式。所有这些都被美国国家安全局和联邦调查局视为威胁。
至少可以说,PGP 受到所谓的 ITAR(国际武器贸易条例)的保护——根据美国法律,加密软件被视为武器,因此出口需要许可证。它还被指控侵犯了 RSA 算法的专利。不用说,这两个问题对于开源软件来说都是有问题的。最终,对 Zimmerman 在 PGP 海外传播中的作用的刑事调查被撤销,但此类调查的威胁仍然存在以阻止其他人[ Levy2001 ]。
TSD-3600 是另一回事。AT&T 是一家不想与美国政府挑起争端的大公司,但国际商务旅客被视为该设备的主要市场。在政府的“要求”下,DES 芯片被所谓的 Clipper 芯片所取代。Clipper 芯片使用 Skipjack,这是一种带有 80 位密钥的密码;因此,它比 DES 更能抵抗暴力攻击。但是,它提供了“密钥托管”。无需详细说明,密钥托管机制允许美国政府窃听者查询一对(可能是安全的)内部数据库并解密所有受芯片保护的通信。事实证明,Clipper 芯片在业界极不受欢迎;AT&T 贝尔实验室的 Matt Blaze 发现了设计中的弱点[ Blaze1994 ], 一个让你在没有密钥托管功能的情况下使用 Skipjack 的软件并没有帮助它的声誉。
第三个主要发展,SSL,甚至更棘手。SSL 的目标是电子商务,当然 Netscape 希望能够在美国以外销售其产品。这将需要出口许可证,因此他们与政府达成协议:非美国用户将收到一个使用 40 位密钥的版本,该密钥长度远短于美国国家安全局 20 年前同意的长度。(先讲故事:有一种折衷的操作模式,其中出口级浏览器在与金融机构对话时可以使用强加密。这种混合模式导致大约 20 年后发现的加密弱点 [ Adrian2015 ]。)
技术专家和美国工业界进行了反击。IETF 采用了[ RFC3365 ]中描述的 Danvers Doctrine :
-
在 1995 年 4 月于马萨诸塞州丹弗斯举行的第 32 届 IETF 上,IESG 要求全体会议就 IETF 标准应提供的安全强度达成共识。尽管摆在 IETF 面前的紧迫问题是是否支持标准中的“出口”级安全性(即弱安全性),但该问题提出了普遍的安全性问题。
-
压倒性的共识是 IETF 应该标准化使用可用的最佳安全性,而不管国家政策如何。这种共识通常被称为“丹弗斯主义”。
然后,美国公司开始将业务输给不必遵守美国出口法的海外竞争对手。所有这一切都导致了一个似乎令人高兴的结论:美国政府大幅放松了对加密软件的出口规定。一切都很好——或者看起来是这样……
5.4. 隐藏的战斗
强大的密码学将继续存在,它不再是美国的垄断,如果它曾经是的话。美国国家安全局的信息保障理事会是该机构中负责保护美国数据的部门,它对强大的密码学的传播感到高兴。举行高级加密标准 (AES) 竞赛时,没有任何 NSA 恶意干扰的指控;事实上,获奖作品是由两位欧洲人 Joan Daemen 和 Vincent Rijmen 设计的。但是 NSA 及其 SIGINT 需求并没有消失——该机构只是采用了其他技术。
我经常注意到,一个人没有经过严格的安全检查,一个人绕过它。当强加密变得越来越普遍和必要时,美国国家安全局开始绕过它,将计算机和它们运行的软件作为目标。很明显,他们相信 AES 非常强大;他们甚至认可将其用于保护 TOP SECRET 信息。但该认可附有一个星号:当且仅当正确使用和实施时,AES 才是合适的。这就是问题所在。
2007 年发现了第一个已知的篡改外部密码机制的尝试,当时两位 Microsoft 研究人员 Dan Shumow 和 Niels Ferguson 注意到 NIST 标准化随机数生成器 DUAL_EC_DRBG 的一个奇怪属性。(NBS 将自己更名为 NIST,即美国国家标准技术研究院。)随机数、不可预测的数字对于密码学至关重要,但 Shumow 和 Ferguson 表明,如果以特定方式选择 DUAL_EC_DRBG 中的某些常量,并且具有已知但-隐藏其他数字,任何知道该数字的人都可以从给定几个样本字节开始的系统中预测所有未来的随机数[ Kostyuk2022 ]. 这些样本字节可能来自已知的密钥、随机数或其他任何东西。DUAL_EC_DRBG 中的常量从何而来,它们是如何选择或生成的?没有人知道的在说话。但是,尽管密码学家和安全专家非常怀疑——Bruce Schneier 在 2007 年写道,在更多事实出来之前,“NIST 和 NSA 都需要做一些解释”;我让我的学生阅读这个主题——这个问题直到六年后才真正引起人们的注意,当时爱德华·斯诺登披露的文件中有这样的信息,即美国国家安全局确实篡改了一个主要的密码标准。
启示并没有就此停止。有指控称,美国国家安全局向一些公司支付费用,让他们在其产品中使用 DUAL_EC_DRBG。有些人声称有人试图修改一些 IETF 标准以使足够的随机字节可见,以帮助利用随机数生成器。网络设备的主要供应商 Juniper 确实在其某些产品中使用了 DUAL_EC_DRBG,但具有不同的常量[ Checkoway2016 ]。这些是从哪里来的?他们是来自国家安全局还是其他政府?他们的源代码树会不会被情报机构入侵了?大约在同一时间[ Moore2015 ]对他们的代码进行了一次不同的破解。没有人在说话。
斯诺登的爆料还包括表明美国国家安全局拥有全球窃听网络和一个尝试对非常具体的目标系统进行非常具体、有针对性的黑客攻击的组织的数据。回想起来,这两者都不令人惊讶:“间谍会监视”。NSA 的业务是信号情报;当然,他们会尝试拦截流量。事实上,DUAL_EC_DRBG 篡改对任何没有收集消息进行解密的人来说都是无用的。有针对性的黑客攻击是绕过强加密的自然方法:在加密之前或解密之后收集数据,不要担心算法的强度。
全世界的隐私社区都感到震惊,尽管他们本不应该如此。这让人想起卡萨布兰卡的克劳德·雷恩 (Claude Rains) 的名言:“我很震惊,很震惊地发现这里正在进行赌博。” 立即和持续的反应是部署更多加密。这些标准早已存在;缺少的是收养。一个障碍是获得用于 TLS 的证书的难度和费用;Let's Encrypt [ LE ]填补了这个空白,这使得免费证书很容易在线获得。今天,大多数 HTTP 流量都经过加密,以至于谷歌的搜索引擎降低了不使用它的网站的排名。主要电子邮件提供商统一使用 TLS 来保护所有流量。WiFi 虽然是本地问题,但现在使用更强大的加密。
软件方面的消息不太好。人们无时无刻不在读到组织受到勒索软件攻击的消息。不用说,任何能够加密磁盘的威胁行为者也能够窃取磁盘上的信息;事实上,这是一项经常伴随的活动,因为泄露的威胁是为那些确实有足够好的备份的网站付费的另一种动机。主要供应商已付出大量努力来保护他们的软件,但最终用户站点的错误和操作错误仍然存在。
5.5. IETF 何去何从?
信号情报机构,不仅是美国国家安全局,而且它在全球的同行——大多数主要国家都有自己的机构——不会消失。困扰 NSA 的挑战对所有这些机构来说都是共同的,他们的解决方案可能也是一样的。问题是如何保护个人隐私。一些强大的民主国家,例如澳大利亚和英国,已经开始限制加密。在联邦调查局和其他执法机构投诉的推动下,美国国会经常考虑通过法案来做同样的事情。
IETF 长期以来一直致力于强大、无处不在的加密。这是一件好事。它需要继续,从一开始就将密码学和其他安全功能设计到协议中。但也有维护的需要。密钥长度和模数大小年龄等参数;今天可以接受的价值可能在 10 年后就无法接受了。(我们已经从 RFC 中指定的 1024 位模数中看到了明显的问题,当技术改进到足以攻击基于它们的加密变得可行时,RFC 没有被修改。[Adrian2015])IETF对代码无能为力供应商发货或网站使用,但它可以提醒世界它认为事情已经发生了变化。
密码敏捷性越来越重要。在接下来的几年里,我们将拥有所谓的后量子算法。协议和密钥长度都需要改变,也许是彻底的改变。IETF 准备好了吗?如果密钥长度变得非常长,DNSSEC 会发生什么?向后兼容性仍然很重要,但这当然会为其他攻击打开大门。我们考虑了很久;我们需要确保我们的机制发挥作用。
我们还需要更多地担心元数据。美国国家安全局和中央情报局前任局长迈克尔海登将军曾说过,“我们根据元数据杀人” [ Ferran2014 ]。但谨慎是必要的;试图隐藏元数据可能会产生副作用。举一个简单的例子,Tor 非常强大,但如果您的出口节点与您所在的国家/地区不同,则使用 IP 地理定位的网站可能会以您不熟悉的语言呈现其内容。更一般地说,许多尝试隐藏涉及信任不同方的元数据;该方可能会被证明是不可信任的,或者它本身可能成为攻击的目标。正如另一位著名的 IETFer 所说,“不安全感就像熵;你不能摧毁它,但你可以移动它。”
最后,IETF 必须记住它的中间名是“工程”。对我来说,工程的特性之一是在过度约束的环境中选择正确解决方案的艺术。情报机构不会消失,国家对密码学的限制也不会消失。我们必须选择正确的道路,同时坚持我们的原则。
6.致谢
Susan Landau 在 Steve Bellovin 的文章中添加了许多有价值的评论。
本文档是应艾略特·李尔 (Eliot Lear) 的要求创建的,他也参与了一些编辑工作。
7.安全考虑
每个或任何作者都可能忘记或遗漏了一些东西或者弄错了。如果是这样的话,我们很抱歉,但这是像这样的回顾的本质。不过,此类缺陷几乎肯定不会恶化安全或隐私。
8. IANA 考虑
本备忘录未对 IANA 流程进行任何更改。
原文地址:https://www.ietf.org/archive/id/draft-farrell-tenyearsafter-00.html
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):斯诺登泄密事件十年回顾
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论