在一场旷日持久的端到端加密之战中,英国政府在最后一刻做出让步,科技公司和隐私活动人士宣布取得了胜利。
专家们认为,英国《网络安全法案》(online Safety Bill)中所谓的“间谍条款”(spy clause)将使端到端加密在英国几乎不可能实现,但在政府承认,在不损害用户隐私的情况下,安全扫描加密信息以寻找儿童性虐待材料迹象(CSAM)的技术尚不存在后,该条款将不再执行。包括WhatsApp和Signal在内的安全通讯服务曾威胁称,如果该法案获得通过,它们将退出英国。
“这绝对是一场胜利,”运营Signal信息服务的Signal基金会总裁梅雷迪思?惠特克表示。惠特克一直是该法案的坚定反对者,他一直在与活动人士会面,并游说修改该法案。“它承诺不使用有缺陷的技术或技术来破坏端到端加密。”
英国数字、文化、媒体和体育部没有回应置评请求。
英国政府没有具体说明平台应该使用什么技术来识别通过加密服务发送的CSAM,但最常被引用的解决方案是一种称为客户端扫描的技术。在使用端到端加密的服务中,只有消息的发送者和接收者可以看到其内容;即使是服务提供商也无法访问未加密的数据。
客户端扫描意味着在发送消息之前(即在用户设备上)检查消息的内容,并将其与其他地方服务器上保存的CSAM数据库进行比较。萨里大学(University of Surrey)网络安全客座教授艾伦·伍德沃德(Alan Woodward)表示,这相当于“政府批准的间谍软件扫描你的图像,可能还有你的(文本)。”
去年12月,苹果搁置了为iCloud开发客户端扫描技术的计划,后来表示该系统无法在不侵犯用户隐私的情况下运行。
该法案的反对者表示,在人们的设备中植入后门来搜索CSAM图像几乎肯定会为政府更广泛的监控铺平道路。伍德沃德说:“把这些工具交到他们手中,就使大规模监控几乎成为不可避免的事情。”“总会有一些‘特殊情况’,(安全部队)认为有理由搜查其他东西。”
尽管英国政府已经表示,它现在不会强迫科技公司使用未经证实的技术,而且它基本上不会使用该法案下的权力,但这些有争议的条款仍在立法中,仍有可能通过成为法律。伍德沃德说:“它并没有消失,但这是朝着正确方向迈出的一步。”
非营利组织开放权利组织(Open Rights Group)的竞选经理詹姆斯·贝克(James Baker)一直在反对该法案的通过,他说,法律规定的权力继续存在,意味着未来仍有可能引入破坏加密的监控。他补充道:“如果这些权力完全从法案中删除,情况会更好。”
但一些人对这种明显的转变不太乐观。“一切都没有改变,”总部位于英国的Element公司首席执行官马修·霍奇森(Matthew Hodgson)说,该公司为军队和政府提供端到端加密信息。“只有法案中实际写的内容才重要。扫描从根本上说与端到端加密消息应用程序不兼容。扫描绕过加密以便扫描,将您的消息暴露给攻击者。所以,“在技术上可行之前”意味着为未来的扫描打开大门,而不是今天的扫描。这不是改变,这是把问题拖到以后解决。”
惠特克承认,仅仅不积极执行这项法律是“不够的”。“但这很重要。我们可以承认胜利,但不必说这是最后的胜利。”
惠特克说,英国政府的让步,哪怕只是部分让步,其影响将远远超出英国。世界各地的安全部门一直在推动采取措施削弱端到端加密,欧洲也在围绕CSAM展开类似的斗争,欧盟负责内政事务的专员伊尔瓦·约翰逊(Ylva johnson)一直在推动类似的、未经验证的技术。
惠特克说:“就阻止这种放任的国际先例而言,这是巨大的。”“英国是第一个推行这种大规模监控的司法管辖区。它阻止了这种势头。这对世界来说意义重大。”
