监听与反监听,加密需求呈爆发式增长
一直到去年七月,斯诺登事件爆发开始,美国普通互联网用户才意识到“被监控”的可怕。而美国《华盛顿邮报》在经过4个月的调查后发现,美国国家安全局 (NSA) 在进行数字窃听时,瞄准的对象中普通互联网用户远远多于合法的外国嫌疑目标。这些普通互联网用户既包括美国公民,也包括非美国公民。
于是乎,反监控产品出现了一个量的爆发。电子前哨基金会(Electronic Frontier Foundation)中一位专门调查监控案件的律师预测:我敢说,当你明年再查看有关报告的时候,一定会发现,使用加密技术的人和公司数量还会大幅增加。
使用简单 安全才是王道
可是你的加密工具足够简单吗?我记得当年斯诺登制作的整整12分钟demo都没能教会记者 Glenn Greenwald 打开自己发的邮件。现在Wired爆出,在月底的纽约 HOPE 黑客大会上,开发者 Nadim Kobeissi 会放出一款开源并且免费的万能文件加密工具——miniLock。作为浏览器插件,miniLock 可以在数秒之内给文件加密,并且外界几乎无法破解。
miniLock 主打的就是使用简单、易操作,而且用户可以很快理解不会有任何问题。我的口号就是让它 “do more with the less”。
Kobeissi 是这样介绍他的发明的。不过他也说,miniLock 只是一个试验阶段的产品,以简单取胜,但也意味着它不能被用来给高机密文件加密。
为什么说 miniLock 使用简单呢?比如用户在 Chrome 里加入 miniLock 之后,就可以直接将想要加密的文件拖放(Drag Drop)到工具中,可以用于加密你的任何东西,从邮件里的视频到 U 盘里存储的照片,或者是云存储Dropbox和Google Drive。
和早期 PGP 相似,miniLock 提供Public-key Systems,也就是一个公匙密码加一个私匙密码,所有的发件人分享同一个公匙,但收件人只能用自己的私匙打开专属文件。不同的是,miniLock 简化了流程,用户甚至不需要注册或登录,只用输入密码即可,不过这串密码可能需要30个字符以上,包含数字和符号。密码设定后便生成一个公匙——miniLock ID,以及一个私匙。如果加密工具被关闭,私匙也会随之被永久删除。这样做的好处是,用户可以在任何电脑上使用该工具调取加密文件,不用担心安全问题。
事实上 miniLock 用的是椭圆曲线密码体制 (Elliptic Curve Cryptography,简称ECC),是基于椭圆曲线数学的一种公钥密码的方法。椭圆曲线在密码学中的使用是在 1985 年由 Neal Koblitz 和 Victor Miller 分别独立提出的。ECC 的主要优势是在某些情况下它比其他的方法使用更小的密钥——比如 RSA 加密算法——提供相当的或更高等级的安全。ECC 的另一个优势是可以定义群之间的双线性映射,基于 Weil 对或是 Tate 对;不过一个缺点是加密和解密操作的实现比其他机制花费的时间长。这种技术在 PGP 出现后就没有很多人继续开发了。
miniLock 会在 Github 上线,等到确保没有什么 bug 后,就会出现在 Chrome Web Store 了。
加密技术损害了谁的利益?
随着加密技术的发展,执法部门也开始担忧对于嫌疑犯资料的抓取问题。美国法院系统曾经统计,2012 年有 9 个案件因为嫌疑人个人资料加密而无法正常调查,2013 年增加到 9 个,而在此之前这个数字是 0。但光是 2013 年,Feds 和州警察就对嫌疑人的手机短信和其他通讯工具至少监听过 3500 次。在这么多次监听中,仅仅只遇见过 41 例加密文件,简直少之又少。
但是这并不影响 FBI 等部门对加密技术的深恶痛绝,在去年 4 月 4 日,美国缉毒署(Drug Enforcement Administration)就曾经抱怨,苹果的 iMessage 妨碍他们监听嫌疑人的对话,因为“完全不可能拦截两个苹果设备之间的 iMessage”……(苹果好样的),FBI 组长 Robert Mueller 把它称作“无尽的黑暗”。
最后说句题外话,其实被监听的烦恼,大人物比我们多得多。之前德国《周日图片报》就有爆出,美国情报机构破译了德国总理默克尔和内阁成员的黑莓10智能加密手机,而且这些加密手机还是在窃听事件曝光后,最近换上的。虽然手机公司否认自己的产品存在漏洞,白宫也不对此表示评论,但《周日图片报》说,美方还在继续窃听多位德国政府成员以及德国政界和经济界要人的手机通讯。
AD:云之家,一种新的工作方式。
,
