加密是使您的私人信息保密的最佳方式。 这不是一个新概念。 根据 WhatIsMyIPAddress.com 的创始人 Chris Parker 的说法,手动加密一直是一种选择。
“任何人都可以编写代码来隐藏他们所说的内容,并在需要时与其他人共享该代码。” 但在数字时代,加密有了新的含义,因为您不必创建自己的代码。 (阅读加密与解密:有什么区别?)
“用一个简单的工具和一个密码,你就可以保护一些东西,以至于需要数年——甚至几十年——才能破解它,而对于这种加密,实际上没有什么可以做的,”他解释道。
既然这是你的数据,这不是你的隐私权吗? 也许,也许不是。 虽然加密对用户有益,但它会给执法带来严重问题。 (阅读隐私合规性:为 2020 年做好准备。)
那么,前者应该超过后者吗?
加密的好处
技术使创建数据变得异常容易,但也很容易让数据被劫持。 Tetra Defense 数字取证总裁 Cindy Murphy 解释说:“当数据存储在硬盘驱动器、手机或云中时,加密可以保护静态数据,它还可以保护传输中的数据,因为它从一个设备移动到另一个设备。”
“在这些情况下,加密的作用是保护数据,包括个人身份信息、健康信息和财务信息,如果被拦截则不会被不当使用,”她说。
医疗保健行业的网络安全战愈演愈烈,金融和能源行业总是受到不良行为者的欢迎。 然而,根据 Vectra 的说法,正如物联网设备可以危害家庭一样,工业物联网设备也增加了制造业遭受网络攻击的风险。 事实上,没有哪个部门真正免受网络犯罪分子的侵害。 (直接阅读专家的意见:如何使用工作场所物联网设备限制网络安全风险。)
ProPrivacy 的数字隐私专家 Ray Walsh 表示:“加密被广泛认为是确保数据可以在两种资产之间安全存储或传输的唯一有效方式。”
“如果没有安全加密,数据总是有被黑客攻击的风险,因此,所有消费者和企业数据安全需求的主要解决方案都围绕有效实施加密展开。”
为什么加密出错
但是,加密也可能存在问题。 “加密是公司用来确保机密性的最常用技术之一,但是当加密密钥是从密码派生出来的,而持有密码的人死了时会发生什么?” Relativity 产品安全高级经理 Evan Larkin 问道。 他以 QuadrigaCX 的首席执行官 Gerald Cotten 为例,QuadrigaCX 曾经是加拿大最大的加密货币。
然而,2018年12月,科顿(当时30岁)突然离世。 “他是唯一拥有密码的人,可以保护欠投资者的价值 1.9 亿美元的比特币,”拉金解释说。 “当他去世时,没有活着的人能够获得加密的财富。”
Cotten 使用受密码保护的笔记本电脑和 U 盘管理整个公司。 (安永受雇寻找欠 115,000 名投资者的钱,并最终能够访问他的六个线下加密货币钱包——但它们都是空的。现在有人猜测 Cotten 可能伪造了自己的死亡。)
为什么加密对执法来说是个问题
将您的数据保密是一个好主意——除非它不是。 科顿是后者的一个引人注目的例子。 然而,加密通常会引发关于谁有权解密数据的拉锯战。
KeyNexus 首席执行官兼创始人 Jeff MacMillan 表示:“问题在于各方从各自特定的角度和目标来看待这个问题。”
政府机构对普通公民的私人数据本身不感兴趣; 他们只是被驱使并专注于解决犯罪、追踪国家安全威胁和维护社区安全。”
这是有道理的。 例如,您是否知道,如果您将车停在消防栓旁边,而附近区域恰好发生火灾,消防员很可能会用水管穿过您的汽车,从而造成重大损失。 但是你的车不是他们关心的(而且这是避免停在消防栓旁边的 PSA)。 消防队员正在集中精力控制火势。
同样,当人们路过一辆热车并看到里面有孩子(或者在某些情况下,是一个看起来像孩子的洋娃娃)时,他们会打破车窗——根本不考虑车主的车——因为孩子处于危险之中 情况。
这就是执法机构倾向于查看解密数据以便检索数据的方式。 Atlantic.Net 总裁兼首席执行官 Marty Puranik 说:“例如,如果有数据可能显示儿童在绑架后被带到哪里,那么不仅获取数据而且及时获取数据也很重要。”
Entrust Solutions 的漏洞运营负责人 Darren Deslatte 对此表示同意。 “加密经常阻止地方和国家层面的执法部门访问可能对他们的调查有用的数据,甚至阻止潜在犯罪的发生。”
例如:他说他们可能想访问一个消息应用程序来查看嫌疑人的谈话历史——这些信息可以挽救某人的生命或防止犯罪。 “这些消息传递应用程序中的大多数通常使用端到端加密 (E2EE),这意味着只有发送者和接收者可以访问数据,而不是任何中介,包括托管公司,”Deslatte 说。
这就是服务级加密产品(如 Facebook 的 WhatsApp)引发争议的原因。 “该公司一直被迫安装安全后门,以允许政府在认为必要时阅读消息,但到目前为止 Facebook 拒绝了,”帕克解释道。
在试图平衡个人隐私和集体安全时,这场争论实际上给执法部门造成了双输局面。 “人们同意当局不应无故侵犯个人自由,但会想知道为什么没有对恐怖分子进行足够密切的观察以防止他们的犯罪行为——即使可能没有理由怀疑他们,”帕克说。
当所有其他方法都失败时
但是,总是有不同的方法可用于访问数据。 “最近有各种例子,科技公司拒绝向执法部门提供加密密钥或设备访问权限,最终,他们不得不求助于第三方公司来破解设备并解密内容,”Liron 说 Lev,Pico 高级工程师 — Get Personal。
“举一个当今的例子,我们可以看到 FBI 如何利用以色列网络安全公司 Cellebrite 破解 2015 年圣贝纳迪诺袭击事件中的 iPhone 设备,因为苹果拒绝授予对该设备的访问权限,”Lev 说。
这只是一个例子,但它可能是一个令人信服的论据,说明为什么执法部门需要不受限制的访问。 Walsh 说:“这导致英国和澳大利亚等国家/地区通过了可用于强制公司在其加密中创建后门的立法。” (阅读加密后门:网络安全的致命弱点?)
那么,它是如何工作的呢? 根据 Gillware Data Recovery 的联合创始人 Brian Gill 的说法,政府可以要求在该国销售的设备具有后门,以便执法部门能够轻松绕过加密。 但后门和说服并不是唯一的选择。 “他们还可以破解或暴力破解用户身份验证,”吉尔说。
“这不同于暴力强制加密,而是试图欺骗设备执行自然解密过程。” 不过,他解释说,设备类型和设备操作系统将决定这种方法的可行性。
后门方法的问题
虽然创建后门可能有利于执法,但对其他人来说,它违背了加密的目的。 根据 SafeLogic 通信副总裁 Walter Paley 的说法,无论意图或效果如何,加密都可以平等地保护守法公民和罪犯。
“提倡立法和强制执行的后门或万能钥匙的执法者不明白这将是一个设计缺陷,”他说。
“这将是一个作为功能呈现的漏洞,并且可以利用该漏洞的人没有限制,”Paley 解释说。 那是因为如果执法部门可以使用后门,那么其他人也可以。
沃尔什同意,并表示有正当理由的政府机构不会是唯一访问私人数据的人。 他说:“你也在关注服务提供商、这些服务中的流氓员工、发现后门的外国政府,以及想方设法利用那些故意在系统中制造的弱点的网络犯罪分子。” (阅读您的企业打印机是否受到网络犯罪分子的保护?)
这可能会使其他选择之一——虽然相当棘手——成为更好的选择。 “例如,执法部门强迫嫌疑人解锁其设备的能力不会从根本上破坏密码学,尽管它会威胁到其他公民权利,”沃尔什说。 “可以肯定的是,这是一次非常微妙的谈话。”
事实上,对于负责确保个人信息免受网络攻击的公司来说,Walsh 说这造成了不可能的情况。 “消费者之间的私人信息往往包含高度敏感的个人信息,这是指定给任何人的。 “因此,加密后门可能会导致个人身份数据遭到破坏——这最终可能导致这些企业被罚款,”他说。
Lev 表示,还有其他问题需要考虑。 “谁是权威,或者什么权威将决定应该访问哪些数据,以及在什么情况下?” 他说不可能授予部分访问权限。 “如果加密密钥在他们手中,他们就可以访问所有数据,我们如何确保监管链得到保留,并且不会发生未经授权使用密钥的情况?”
解决方案
不幸的是,可能没有。
“数据隐私和安全的最佳解决方案不仅是允许强大的端到端加密,而且要求它,”Walsh 说。 但是,虽然新兴立法会在消费者数据处理不当时处以巨额罚款,但也正在通过立法来削弱加密。
沃尔什解释说:“这两种对立的意愿正在创造一种不可能的二元性,在这种二元性中,问题的解决方案——加密——在制度上遭到要求使用加密的同一权威机构的反对。”
吉尔同意并说找到平衡点是不可能的。 “执法人员想要后门,如果植入,这些设备将不那么安全,将更难销售,也更难保护数据。” 当政府通过法律规定不安装后门是非法的时,他预测这将减少创新并增加设备的不安全性。
他警告说:“这将造成更多问题,甚至可能比政府无法访问加密数据的问题更大。”
它可能会进一步促使公司对抗政府。
“这与平衡无关,更多的是各国政府需要做出的二元决定,然后公司将需要决定他们是想在那个国家销售设备还是放弃那个市场——或者可能出售他们的不安全版本 该市场的产品,并维护两个产品堆栈,”吉尔说。
此外,政府机构最好记住,他们也受益于防止网络犯罪分子获取其信息的加密。 “与其对私营部门施加限制并要求禁止、削弱某些形式的加密或引入后门,执法部门应该资助对创新加密系统的研究,这些系统将允许安全的执法访问,同时仍提供使加密成为可能的整体安全性 一开始就很有吸引力,”Deslatte 推荐道。
他说,任何认为后门仅供执法部门使用的论点都是不现实的。 但 Deslatte 仍然保持乐观。
“虽然目前还没有针对这个问题的实际解决方案,但我相信在不久的将来,整个网络安全社区将能够实施稳定、可信和安全的加密,而不会妨碍我们的社会安全或个人隐私。 过程。”
