---尽管已经许以重诺,但雅虎和谷歌未必会拥护端到端加密。
去年3月,时任雅虎公司信息安全负责人的亚历克斯?斯塔莫斯(Alex Stamos)展示了一款用于加密敏感电子邮件信息的原型软件。据斯塔莫斯介绍,这款新型工具将在2016年初完成一切部署筹备工作。新工具具有“端到端”加密的特点,这意味着,即使雅虎公司本身也无法破解保存在自身服务器上的信息。
雅虎公司曾承诺利用谷歌公司正在开发的端到端电子邮件加密开源软件,以确保这种加密技术便于供所有人使用。谷歌的软件采用了一种被称为OpenPGP的标准,该标准以菲尔?齐默曼(Phil Zimmerman)在1991年开发的加密系统“完美隐私”(Pretty Good Privacy,PGP)为基础。
如果雅虎和谷歌能够在今年充分利用其市场权重——更不要提他们雄厚的开发者资源——开展端到端电子邮件加密工作,那么一定会引发大批政府部门的不悦。这些政府部门声称,此项技术正在阻碍他们监听坏人的电子通信,也就是说无法阻止他们“黑暗化”。
美国联邦调查局局长詹姆斯?科米(James Comey)表达过类似的意见,他曾在2015年7月份向参议院司法委员会表示:“目前的主流产品和服务以一种前所未有的规模使用户对其数据享有唯一控制权。”他指出了技术公司在其中的核心作用,他说:“我们要强调的是,‘黑暗化’问题本质上就是一种技术选择和能力。”
科米此番言论的意义不言而喻:如果法律禁止公司提供此类隐私保护,那么科米提到的这些产品和服务便必须关停——至少在美国如此。但美国政府在短期之内不可能采取这种措施。实际上,奥巴马政府曾在2015年10月份放出信号,表示不会让技术公司在其加密产品中植入“后门”,这是因为考虑到如果增加“后门”,安全性会不断弱化,那么犯罪黑客和怀有恶意的外国机构就能破坏比当前更多的系统。
然而,在大西洋彼岸的欧洲,这种顾虑却并不强烈。特别是在英国,首相戴维?卡梅伦曾在2015年7月份表示,他计划宣告,那些未给政府主管部门提供内容解密方式的加密信息系统都是非法的。同年11月,英国内政大臣特雷莎?梅推出了一项监控法案,判定端到端加密是非法的。在未来几个月内,英国立法者们将着手替换即将于2016年到期的《2014年数据保留和调查权力法案》,对此的争论势必继续发酵。
那么,谷歌和雅虎是否要在端到端电子邮件加密方面与英国政府发生正面冲突呢?据位于巴的摩尔的约翰?霍普金斯大学的密码学专家马修?格林(Matthew Green)所言,可能并不会。“我认为这两家公司并没有投入开发工作所需要的资源。”格林如是说。他估计,谷歌公司只有一两名开发人员负责端到端电子邮件加密的工作,这么少的人员配备根本无法应对创造一套真正通用的加密系统所面临的挑战。格林还认为,雅虎公司同样也没有为该项目投入足够的资源,根本无法取得成功。他说:“我想最终他们只能让自己难堪。”
美国公民自由联盟的首席技术专家克里斯托弗?索戈延(Christopher Soghoian)亦持有类似的怀疑态度,他把谷歌和雅虎公司开展的这些项目定义为后斯诺登时期的“利好”举措。索戈延表示,强大的电子邮件加密功能与这些公司的自身利益是背道而驰的:“谷歌公司的目标是成为用户的大脑。”它做的是这类事情,例如,在用户收到机票购买成功的确认邮件之后就把飞行时间自动添加到用户的日历中。“他们只有在明确掌握用户一举一动的情况下才能成为这样的个人数字助手。”
约瑟夫?博诺(Joseph Bonneau)是位于旧金山的电子前沿基金会的技术专家。他既认同谷歌和雅虎能从这些项目中获得公关价值,也认为这些技术巨头在开发端到端电子邮件加密技术方面的兴趣是比较诚恳的。他表示:“这绝对是谷歌和雅虎公司想要解决的一个问题。”只是电子邮件加密方面的挑战实在是太艰巨了。这包括:如何管理用户的加密密钥,使得其既安全又不会使用户有可能失去访问存档邮件的权限;如何在只有终端用户才能读取邮件的情况下过滤垃圾邮件;以及如何使用户能够搜索过去的消息。“如果没有搜索功能,谷歌邮箱的使用体验绝对会有天壤之别。”博诺如是说。
由于谷歌和雅虎都拒绝接受采访,因此我们很难判断这两家公司是否真正决意在今年为用户提供加密的电子邮件服务。即使他们最终为研发工作投入了大量资源,开发工作仍有可能出现延迟。如果要预测本年度的加密战主战场,与其说是电子邮件领域,倒不如说是iMessage和WhatsApp这类即时通信服务,其用户对于垃圾邮件过滤和搜索的期望值没那么高。博诺表示,颇具讽刺意义的是,即时通信服务中的端到端加密功能之所以既有吸引力又颇为普及,是因为“没人知道即时通信服务有这个功能”。
作者:David Schneider