導讀:目前,每個信息服務都對自己的安全負責--穆菲特和其他人認為,通過要求互操作性,一個服務的用戶會暴露在可能由另一個服務引入的漏洞中。歸根結底,整體安全只有在最薄弱的環(huán)節(jié)才是最強大的。
3 月 24 日,歐盟管理機構宣布《數(shù)字市場法案》(Digital Markets Act,簡稱DMA)已達成共識,將會對歐洲的大型科技公司進行全面的監(jiān)管。作為一項具有深遠影響的雄心勃勃的法律,該法案中最引人注目的措施將要求每個大型科技公司(在歐盟擁有超過 750 億歐元的市值或超過 4500 萬人的用戶群)創(chuàng)造可與小型平臺互操作的產(chǎn)品。
對于信息應用來說,這將意味著讓 WhatsApp 這樣的端到端加密服務與 SMS 這樣不太安全的協(xié)議混在一起--安全專家擔心這將破壞在信息加密領域來之不易的成果。
DMA的主要關注點是一類被稱為“守門人”(gatekeepers)的大型科技公司,這類公司的定義是其受眾或收入的規(guī)模,并延伸到他們能夠對較小的競爭對手行使的結構性權力。通過新的法規(guī),政府希望“開放”這些公司提供的一些服務,以允許小型企業(yè)參與競爭。這可能意味著讓用戶在 App Store 之外安裝第三方應用程序,讓外部賣家在亞馬遜搜索中排名更靠前,或者要求消息應用程序在多個協(xié)議中發(fā)送文本。
但這可能會給承諾端到端加密的服務帶來真正的問題:密碼學家的共識是,如果不是不可能,也很難在應用程序之間保持加密,這可能會對用戶產(chǎn)生巨大影響。Signal 受到影響很小,不會受到 DMA 條款的影響,但 WhatsApp--使用 Signal 協(xié)議并由 Meta 擁有--肯定會受到影響。其結果可能是,WhatsApp 的部分(如果不是全部)端到端信息加密被削弱或取消,使 10 億用戶失去了私人信息的保護。
鑒于需要精確地執(zhí)行加密標準,專家們說,沒有一個簡單的解決方案可以調(diào)和加密信息服務的安全性和互操作性。知名互聯(lián)網(wǎng)安全研究員、哥倫比亞大學計算機科學教授史蒂文-貝羅文(Steven Bellovin)說,實際上,沒有辦法將具有不同設計特點的應用程序的不同加密形式融合在一起。
Bellovin 說:“試圖調(diào)和兩種不同的加密架構根本不可能做到;一方或另一方將不得不做出重大改變。一個只有在雙方都在線的情況下才能工作的設計與一個在存儲信息的情況下工作的設計看起來會非常不同....。你如何使這兩個系統(tǒng)互通有無?”
Bellovin說,使不同的信息服務兼容可能會導致最低共同標準的設計方法,其中使某些應用程序對用戶有價值的獨特功能被剝離,直到達到一個共同的兼容性水平。例如,如果一個應用程序支持加密的多方通信,而另一個不支持,維持它們之間的通信通常需要放棄加密。
另外,DMA提出了另一種方法讓隱私倡導者來說同樣不滿意:在兩個加密方案不兼容的平臺之間發(fā)送的信息在它們之間傳遞時被解密和重新加密,打破了"端到端"的加密鏈,為不良行為者的攔截創(chuàng)造了一個漏洞。
Muffett 表示:“這就像是你走進麥當勞,為了打破行業(yè)壟斷現(xiàn)在要求你訂單必須要有來自其他餐廳的壽司拼盤。當要求的壽司從表面上要求的壽司店通過快遞到達麥當勞時,會發(fā)生什么?麥當勞能否以及是否應該向顧客提供這種壽司?快遞員是合法的嗎?它是安全準備的嗎?”
目前,每個信息服務都對自己的安全負責--穆菲特和其他人認為,通過要求互操作性,一個服務的用戶會暴露在可能由另一個服務引入的漏洞中。歸根結底,整體安全只有在最薄弱的環(huán)節(jié)才是最強大的。