我本该完成关于证明系统的系列文章(这里和这里),我保证这周会完成。在此期间,我被一些世界事件分散了注意力。
上周,《华盛顿邮报》发表了一篇爆炸性报道,宣布英国已提交"技术能力通知",要求苹果修改其iCloud高级数据保护(ADP)系统中使用的加密。对于那些不了解ADP的人来说,这是一个为iCloud备份(包括照片和其他数据)提供完整"端到端"加密的系统。这意味着您的备份数据应该使用手机密码进行加密——关键是,苹果和黑客都无法访问它。英国的要求将秘密削弱至少部分用户的这一功能。
我与Alex Stamos一起在《华尔街日报》撰写了一篇简短的观点文章(无付费墙版本),并想在这里进一步阐述这一新闻。
什么是iCloud和ADP?
大多数苹果手机和平板电脑都配置为自动将其内容备份到名为iCloud Backup的服务,该服务维护您手机上每个文件的近乎镜像副本。这包括您的私人笔记、联系人、私人iMessage对话、个人照片等。到目前为止,对于典型的苹果用户来说,我说的这些应该不会太令人惊讶。
许多人不知道的是,在正常操作下,此备份不是端到端加密的。也就是说,苹果被授予了一个可以访问您所有数据的解密密钥。这在某些方面是好的——如果您丢失了手机并且忘记了密码,苹果可能仍然能够帮助您访问数据。但这也造成了一个巨大的弱点。两种不同类型的"坏人"可以利用此漏洞:一类包括黑客和犯罪分子,包括复杂的国家支持的网络入侵组织。另一类是国家政府:通常是执法和国家安全机构。
由于苹果的服务器持有解密密钥,该公司可以被要求(或者他们的服务器可能被黑客入侵)在任何时候提供您手机的完整备份副本。值得注意的是,由于这一切都发生在服务器端,您甚至永远不会知道它发生了。每晚您的手机都会上传其内容的副本,然后您只能希望没有其他人获取它们。
这是一个糟糕的情况,而苹果在补救方面有些缓慢。这令人惊讶,因为谷歌自2018年以来已经启用了端到端加密备份。通常苹果是在隐私和安全方面领先的公司,但在这个案例中他们却落后了?为什么?
过去我们看到过各种暗示。例如,在2020年,路透社发表了一篇报道,声称联邦调查局已说服苹果因该机构的压力而放弃加密备份计划。这很糟糕!当然,苹果从未确认这一点,但苹果从不确认任何事情。
2021年,苹果提出了一个复杂的新的iCloud照片客户端扫描系统,以检测儿童性虐待材料(CSAM)。技术专家指出,这是一个奇怪的架构,因为客户端扫描是当您无法在服务器上扫描照片时才会做的事情——通常是因为该数据是加密的。然而,当时苹果拒绝考虑他们正在考虑对备份数据进行端到端加密的想法。
然后,在2022年底,苹果终于揭晓了另一只鞋。他们部署的新功能称为高级数据保护(ADP),它将最终为iCloud备份和iCloud照片启用端到端加密。这是一个选择加入模式,因此您必须手动开启它。但如果您这样做了,您的备份将使用手机密码安全加密——这是您应该记住的,因为您每天都需要输入它——甚至苹果也无法访问它们。
联邦调查局对此感到非常不安。但是,在一个拥有第四和第一修正案的国家,至少原则上,如果一家美国公司想要部署使用户能够加密自己数据的软件,他们无能为力。
进入"设置",输入"高级数据"并开启它。
但是……其他国家呢?
苹果在数百个不同的国家运营,并非所有国家都有类似美国的法律。我之前写过苹果在中国的立场——令人惊讶的是,这似乎不涉及任何加密后门。但当然,这个故事涉及在地理和政治上都更接近美国的国家。
2016年,英国通过了《调查权力法案》(IPA),有时被称为"窥探者宪章"。IPA包括一个条款,允许英国政府向苹果等技术公司提交技术能力通知。根据英国法律,技术能力通知(TCN)是一项秘密请求,政府要求技术提供商悄悄修改其系统的操作,使其不再提供向用户宣传的安全功能。在这种情况下,推测起来,这将涉及削弱内置到iCloud/ADP中的端到端加密系统,以便英国即使在没有用户密码或设备访问权限的情况下也可以请求加密用户备份的下载。
TCN过程中隐含的保密性在这里是一个巨大的问题,因为它实际上要求苹果向其用户撒谎。为了遵守英国法律,他们必须发誓产品是安全的并以某种方式工作——这种撒谎必须针对 civilian 用户和美国政府用户、商业用户等——而苹果被迫积极重新设计其产品以不同的方式工作。这里的危险应该显而易见,同时对苹果作为可信赖提供商的声音也构成巨大风险。我要重申,据我们所知,这甚至不是中国要求苹果做的事情,所以这相当令人震惊。
这里的第二个风险是,英国法律显然没有将这些请求限制在英国客户。在苹果于2024年提交的一份文件中,该公司的律师明确指出了这一点:
(此处应有引用的法律文件内容,但原文未提供具体引文)
当您思考时——这部分我承认是推测——英国在至少没有与美国同行沟通的情况下向一家美国公司提出这些请求,这似乎真的令人惊讶。毕竟,英国和美国是一个名为"五眼"的情报联盟的一部分。他们在这方面合作!这里至少有两种可能性:
- 英国独自行动,对美国公司的网络安全和业务构成严重风险。
- 美国和英国的情报机构(也许还有一些执法机构)已经讨论了该请求,并且双方都认为英国拥有这种能力有显著好处。
我们无法真正知道这里发生了什么,但两种选择都应该让我们感到不安。第一种意味着英国正在独断专行,可能损害美国的安全和商业,而后者意味着某种级别的美国机构正在默许批准一种可能被非法用于针对美国用户的能力。
我们从最近《邮报》的文章中知道的是,据称苹果对最近的英国请求感到非常不安,以至于他们"可能停止在英国提供加密存储",即,他们至少要在英国关闭高级数据保护。这可能解决也可能没有解决与英国政府的争议,但至少表明苹果不会 quietly 接受这些请求。
其他国家呢?
英国有大约6800万人,这不是一个小数字。但与苹果销售的其他市场相比,这不是一个大地方。
过去,像WhatsApp和Signal这样的美国公司曾 plausible 威胁要退出英国市场,如果英国政府兑现要求加密后门的威胁。我毫不怀疑,如果被迫,苹果也愿意为此抗争——只要只涉及英国。这对英国用户来说真的很可悲,他们理应拥有好东西和安全的设备。
但有比英国更大的市场。欧盟有4.492亿客户,并且一直在辩论要求访问加密消息的法律。中国的客户数量是它的两到三倍。这些都是因加密而 risk 的大市场!此外,苹果在中国制造了许多手机(和手机部件)。虽然我对人类道德——即使是在大公司内部——持乐观态度,但我怀疑苹果能否说服其股东,他们与中国的关系值得因信任价值或端到端加密消息或iCloud这样抽象的东西而冒险。
这就是如果苹果屈服于英国要求所面临的风险。如果苹果在这里屈服,中国没有理由不要求同样的事情,也许这次应用于苹果流行的iMessage服务。老实说,他们没错?同意英国的请求可能允许英国和五眼联盟做出损害中国自己用户的事情。简而言之,在一个地方放弃苹果的原则意味着他们最终必须在任何地方(或更糟)屈服,或者——这是一个现实的替代方案——苹果被迫离开世界许多地方。两者都对美国不利,也对所有国家的人民不利。
那么我们在法律上应该做什么?
如果您阅读了社论,它有一个简单的建议。美国应该通过法律,禁止美国公司应外国要求安装加密后门。这将使像苹果这样的公司陷入困境。但这是一个好的困境!为了满足一个国家的法律,苹果将不得不违反其本国的法律。这创造了一个"法律冲突" situation,至少,简单的、quiet 的 compliance 违背美国公民和客户利益不再是苹果的选择——即使股东可能理论上更喜欢它。
我希望这是一个许多人无论政治立场如何都能同意的政策。
那么我们在技术上应该做什么?
我在这里要再提出一个在社论中无法容纳但值得说的观点。如果苹果当初更广泛地部署端到端加密备份,并且在游戏早期就部署,我们就不会陷入这种困境。
在过去的十年里,我目睹了各国政府大力推动停止设备加密,为端到端加密消息添加"搜查令" capability,然后安装扫描系统以监控非法内容。几乎所有这些尝试都失败了。失败的最大贡献者是加密的广泛部署和采用。
一旦一个系统被广泛部署并且人们意识到它正在为系统增加价值和安全性,他们就不愿意改动那个系统。您首先在设备加密上看到这种模式,然后在消息传递上看到。一项技术起初是有争议的,起初是站不住脚的,然后突然它对于数字安全是 mandatory 的。甚至执法机构最终也开始恳求人们开启它:
(此处应有引用的推文或类似内容,但原文未提供具体内容)
这种转变发生的一个关键因素是必须有大量的人依赖该技术。如果1-2%的客户群使用可选的iCloud加密,那么关闭该功能很容易。也许对一小部分人口来说很烦人,但政府冒险可能在政治上是可行的。在25%的采用率下,情况就不那么一样了,在50%或100%的采用率下,情况就不成立了。
苹果早在2016年就构建了部署iCloud端到端加密的技术。然后他们 fiddled around,即使作为一个选项也没有部署它,超过六年。最终在2022年底,他们允许人们选择加入高级数据保护。但即使那时他们也没有将其设为默认,他们在设置过程中不会问您是否想开启它。他们甚至几乎不向任何人宣传它。
如果有人构建了一个加密功能但没人听说,它还会存在吗?
来自英国的这一消息是对苹果的一个警钟,他们需要更快地行动。他们可能因为五眼国家的反弹而感到 intimidated,这可能是他们 reticence 的原因。但为时已晚,猫已经出袋。人们注意到他们未能开启此功能,并且——虽然我确信他们有充分的理由缓慢推进——但沉默和 slow-rolling 开始显得软弱,甚至像是在与外国政府合作。
见鬼,甚至连谷歌都提供这个功能,并且默认开启!
所以,作为一名技术专家,我希望苹果认真对待这项技术。它很重要,而且球很大程度上在苹果的 court 里,开始推动这些数字上升。世界不是一个安全的地方,而且它并没有变得更安全。苹果应该在这里做正确的事,因为他们想要这样做。但如果不这样做,他们应该做,因为不这样做会带来太大的 liability。