ADD / XOR / ROL: 修复瓦森纳协议的尝试

去年五月，我曾详细论述2013年《瓦森纳协议》“入侵软件"修正案存在的多种缺陷，以及这些缺陷对全球IT基础设施安全努力构成的严重威胁。此后，各方辩论持续升温——包括美国国会举行的听证会（会上几乎一致谴责这些修正案），也包括像James Bamford这样在专栏文章中支持这些管制措施的声音。当前讨论的格局过于复杂，无法在此全面总结（感兴趣的读者可以在此处查看近期发展的部分综述）。

虽然讨论各方的共识不多，但几乎所有人都同意一点：“当专制政权无法自行获得先进监控软件时，从国外购买复杂监控软件是件坏事”。如何防止这种情况发生尚在讨论中，出口管制（特别是《瓦森纳协议》）是否是完成此任务的合适工具尚不明确。

为了探究出口管制措辞是否能够有效运作，我与同事Mara Tam和Vincenzo Iozzo合作，共同尝试提出对《瓦森纳协议》措辞的修正案，力求满足以下标准：

• 确保点击即用的监控框架（如HackingTeam或Gamma销售的软件）受到捕获和控制
• 确保防御网络所需的技术（包括漏洞、概念验证漏洞利用、网络扫描器等）不被捕获和控制

为实现这一目标，我们必须脱离"传统"的瓦森纳语言（侧重于性能指标和技术属性），更加注重"意图”，特别是"用户的知情同意"。我们以相关软件的设计意图是否针对未同意使用的用户作为善恶的分界线。

截至目前，我们正在更广泛地传播我们的草案。我们不能100%确定我们的措辞能够实现预期目标，甚至不确定我们的目标是否可以通过出口管制语言实现——但我们已经非常努力地测试了我们的措辞在所有能想到的场景下的表现，效果良好。

我们希望通过传播我们的提案，能够在一定程度上消除讨论的两极化，尝试找到一个让各方都能满意的中间立场——或者，如果失败，至少表明即使付出巨大努力，2013年的修正案最终可能无法修复。

无论如何，如果您对我们的文档感兴趣，可以在此处下载。随着我们获得更多反馈，文档将更新并替换为新版本。

发布时间：2016年1月27日凌晨1:23
作者：halvar.flake