立法者不明白加密后门程序问题

“我认为这很可能是几十年来最荒唐的公共政策提议之一,”RSA公司首席执行官Amit Yoran告诉记者,“这表明立法者完全不了解加密技术的工作原理。”

尽管其他信息安全专家也同意这一观点,但美国国会议员、政治家和FBI仍然继续在推动加密后门程序,他们认为这将让执法部门更容易拦截通信以阻止恐怖活动。

专家称,加密后门程序的最终结果将是降低公众和企业的安全性,因为后门程序也会是攻击的目标。

Privacy Professor公司首席执行官Rebecca Herold表示,这就像是锁上门,而把钥匙放在门槛底下以防警方进入。

“那些想要进屋的人很快会知道每个人都将自己的钥匙放在了门槛下,”Herold称,“无论何时将任何类型的后门程序内置到安全技术都会削弱技术,让它们很容易受到攻击。犯罪分析、恐怖分子和恶意内部人员都会试图利用这个漏洞,以获取有价值的数据和/或赚钱,”

Herold表示,加密后门程序不仅留下漏洞让恐怖分子利用,还让执法部门的内部人员可以有意或无意地利用该后门程序。

“这种权力可能被滥用,恶意内部人员可通过出售后门程序密钥给诈骗者和恐怖分子获得丰厚的利益,或者他们可以像斯诺登那样发表高度公开的政治声明,”Herold称,“同时,FBI和其他政府机构可能以国家安全和国土安全的名义滥用后门程序。例如,众所周知,FBI滥用National Security Letters来获取完整的Web浏览历史记录、与某个人通信的所有人的IP地址、电子邮件地址和从安全通信服务供应商获取所有在线购买记录,还有很多根本不必要的数据,而且都是以国土安全的名义进行。”

随着媒体对这个话题的报道不断扩大,选举周期变得更加激烈,候选人也开始谈论这个话题。在最近的共和党辩论中,大多数候选人都对加密含糊其辞,只有一位候选人提到了这个词。

“加密是一个很大的问题,”俄亥俄州州长John Kasick表示,“加州的老百姓可能在与FBI调查的人进行通信,但由于他们的电话被加密,情报人员看不到他们在与谁通信,这部分信息丢失了。我们必须解决加密问题,虽然这并不容易。”

然而,并没有证据表明San Bernardino枪击案中的射击者使用了加密通信。

当SearchSecurity问及参议员Dianne Feinstein对加密后门的支持时,该参议员办公室质疑这个说法的定义。

“参议员Feinstein没有说她支持后门程序;她说的是她支持根据法庭指令公司可访问其自己平台中的信息,”Feinstein的新闻秘书Tom Mentzer表示,“后门程序一般被理解为一个安全漏洞,它允许其他人访问企业信息,而不需要企业知晓或合作,这并不是参议员Feinstein所说的意思。”

该参议员的办公室拒绝澄清如何在使用终端到终端加密的平台获得这种访问,并表示遵从参议员Richard Burr做出的决定,Richard是立法负责人。

截至发稿时,Burr的办公室还没有对此事作出评论。

专家指出,如果后门程序获得批准,犯罪分子将会避免使用包含这种后门程序的美国产品。

“这些攻击者不会使用被美国政府和美国技术提供商内置后门程序的加密技术,”Yoran称,“如果我们对我们的技术内置后门,他们将会使用其他可行的技术。所以,我们不仅无法抓到最严重的威胁,而且还削弱了隐私性和我们珍视的东西,同时降低了美国高科技公司的竞争力。”

Herold称,讽刺的是,很多政治家推行更少的法规,声称这将会在财政上伤害企业,并想要减少加密技术,但实际上这将对美国企业的财务带来严重负面影响。

“如果这是他们的逻辑,那么这说明他们不了解现在的企业是如何依靠加密来保护个人数据,同时保持全球竞争力,”Herold表示,“任何涉及个人信息和其他类型敏感信息的企业都知道他们必须使用强大的加密技术,这不只是为了保护数据,而且是为了保持全球竞争力。我有很多来自澳大利亚、亚洲和欧洲的潜在客户想要购买我的服务,但他们突然不再考虑使用我的服务,因为他们告诉我,他们担心我和其他美国企业很快会被法律要求使用薄弱的安全保护,例如启用后门的加密程序。他们担心所有数据都会受到美国政府的监控。”

电子前沿基金会活动主管Rainey Reitman表示,美国议员需要警惕他们可能为世界各地的互联网政策“树立榜样”。

“破坏我们通信工具的安全性将会影响美国和世界各地的互联网用户,并创建一个我们谁也无法真正信任的网络环境,”Reitman在博客中写道,“如果我们希望确保美国人民通信的隐私性和安全性,而不被外国政府监控,那么,我们需要发挥带头作用,向他们展示民主国家不会强制科技公司构建后门程序。毕竟,如果技术公司为美国执法部门创建特殊访问权限,那这家公司怎么可能拒绝其他国家政府?”

Herold称,总之,其他国家也将尝试获得与美国执法击机构相同的访问权限,但可能不会得到回应。

“FBI似乎认为,如果他们要求美国每个人使用弱加密,他们将能够破解恐怖分子和诈骗者使用的任何加密技术,”Herold称,“他们似乎没有意识到:首先,现在不止一种加密技术解决方案;其次,很多其他国家也提供强大的加密,这些国家不会因为FBI而削弱其加密技术。”

Herold总结性指出,美国政府需要先解决自身的问题。

“在最近OPM事件中泄露了FBI内部的个人信息,其中发现大量个人信息以明文存储,”Herold称,“他们怎么可以在斥责OPM没有加强加密器个人数据的同时,要求其他人减弱其加密呢?缺乏对加密工作原理的认识以及加密的可用性似乎是这个问题的唯一答案。”

作者:Michael Heller 翻译:邹铮

来源:51CTO

时间: 2024-11-13 06:51:17

立法者不明白加密后门程序问题的相关文章

加密后门是否让美国科技企业面临倒退?

日前,美国中央情报局(CIA)局长对"加密后门程序可能给美国企业带来的影响"发表看法,而其评论让专家们感到惊讶.在参议院委员会听证中,CIA局长John Brennan表示,大家不需要担心加密后门程序会影响到美国企业. 随后参议员Ron Wyden质疑CIA支持使用加密后门程序削弱加密技术的做法,不过Brennan称CIA需要访问加密通信来追踪恐怖分子. "美国企业主导着国际市场,且我认为我们将继续主导市场,"Brennan称,"理论上,外国企业会为产品提

加密后门是否让美国科技企业面临倒退?

日前,美国中央情报局(CIA)局长对"加密后门程序可能给美国企业带来的影响"发表看法,而其评论让专家们感到惊讶.在参议院委员会听证中,CIA局长John Brennan表示,大家不需要担心加密后门程序会影响到美国企业. 随后参议员Ron Wyden质疑CIA支持使用加密后门程序削弱加密技术的做法,不过Brennan称CIA需要访问加密通信来追踪恐怖分子. "美国企业主导着国际市场,且我认为我们将继续主导市场,"Brennan称,"理论上,外国企业会为产品提

Ragente固件是如何创建Android后门程序的?

Ragentek固件被广泛应用在近300万预算设备中,而日前在Ragentek固件中发现了一个Android后门程序,该后门程序允许攻击者使用中间人攻击并获得完全root访问权限.那么,这个后门程序是如何运作的,我们该如何应对? Michael Cobb:固件是存储在非易失性内存(例如ROM.可擦除可编程只读内存或闪存)中的低级代码,用于更新.它在制造过程中嵌入到硬件中,并包含允许硬件运行的基本指令.与操作系统和应用软件一样,固件也可能包含可被利用的漏洞. BitSight Technologi

逃避云查杀的后门程序有新变种

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现一种后门程序变种Backdoor_Agent.VMT. 该变种运行后,会将其自身复制到受感染操作系统指定目录下,并创建恶意程序,写入17830.html">垃圾数据,以此逃避防病毒软件的云查杀功能.与此同时,该变种会提升自身权限,删除指定的注册表相关键值项,创建网络套接

求帮助啊 急用啊-利用C语言设计简单的文件加密解密程序

问题描述 利用C语言设计简单的文件加密解密程序 利用C语言设计简单的文件加密解密程序,并通过代码实现,希望得到源代码. 解决方案 最简单的用xor实现加密.http://blog.csdn.net/fdipzone/article/details/20413631 解决方案二: http://blog.163.com/chatter@126/blog/static/12766566120101020102247603/http://blog.csdn.net/szhhck/article/det

这是我的java加密日记本程序 哪里错了啊!!求解释

问题描述 这是我的java加密日记本程序 哪里错了啊!!求解释 public class Diary { public static void main(String args[])throws Exception;{ new LoginWindow(); Remember win=new Remember(); win.pack(); } } import javax.swing.*; import javax.swing.tree.*; import java.awt.*; import j

揭露路由器背后黑色产业链:厂商留后门程序

[导读]上网遇到广告弹窗,网页被跳转赌博网站:QQ网银无缘无故被盗--很多人不知道,这些作恶的源头多起于家中那台小小的路由器.揭露路由器背后黑色产业链:厂商留后门程序上网遇到广告弹窗,网页被跳转赌博网站:QQ网银无缘无故被盗--很多人不知道,这些作恶的源头多起于家中那台小小的路由器.记者调查发现,TP-Link.D-Link.腾达.网件等主流路由器品牌的多款产品,均使用了存在缺陷的漏洞固件.弱密码设置,导致黑客们可以轻而易举获得管理员权限.而在路由器劫持的背后,一条聚集了黑客.第三方平台.广告主

Geohot:iOS 7越狱工具不含中国公司后门程序

据国外http://www.aliyun.com/zixun/aggregation/31646.html">媒体报道,Evad3rs团队iOS 7越狱风波之后.另一知名软件破解团队Geohot表示,通过查看代码他们并没有发现 新的越狱工具Evasi0n 7会让iOS7留有后门,或者任何安全问题.此前Evad3rs团队表示发布了iOS 7破解工具Evasi0n7, 但是其中绑定了来自中国软件企业的软件太极助手,让 众多用户怀疑其中有中国企 业开的后门. Geohot团队表示,"我

恶意邮件附件病毒或恶意后门程序用户需小心谨慎

国家计算机病毒应急处理中心通过对互联网的监测发现,近期计算机用户受到一些恶意电子邮件的威胁,其附件是病毒或是恶意后门程序,提醒用户小心谨防. 通常情况,恶意电子邮件的附件会是.zip..rar等压缩附件形式嵌入到电子邮件中,而该恶意电子邮件的附件为.htm (H T M L)格式的网页文件,并且在其编码中嵌入了伪装的脚本程序. 专家说,一旦计算机用户点击电子邮件附件,网页文件中伪装的脚本程序会将操作系统中的浏览器IE重定向到一个嵌入恶意木马程序的软件Web站点上.与此同时,恶意脚本程序会注入We