英国要求iCloud备份加密开后门
Matthew Green
发表于 Apple, backdoors
2025年2月12日 更新于2025年2月13日
2,255词
我本应完成关于证明系统的技术系列文章(第一部分和第二部分),并承诺本周完成。在此期间,我被一些国际事件分散了注意力。
上周,《华盛顿邮报》发布了一篇爆炸性报道,称英国已提交"技术能力通知",要求苹果修改其iCloud高级数据保护(ADP)系统中使用的加密。对于那些不了解ADP的人来说,这是一个为iCloud备份(包括照片和其他数据)提供完整"端到端"加密的系统。这意味着您的备份数据应该使用手机密码进行加密——关键是,苹果和黑客都无法访问它。英国的要求将秘密削弱至少部分用户的此功能。
我与Alex Stamos一起在《华尔街日报》撰写了一篇简短评论文章(无付费墙版本),并想在此进一步阐述这一新闻。
什么是iCloud和ADP?
大多数苹果手机和平板电脑都配置为自动将其内容备份到名为iCloud Backup的服务,该服务维护手机上每个文件的近乎镜像副本。这包括您的私人笔记、联系人、私人iMessage对话、个人照片等。到目前为止,对于典型的苹果用户来说,我说的这些应该不足为奇。
许多人不知道的是,在正常操作下,此备份并非端到端加密。也就是说,苹果持有一个可以访问您所有数据的解密密钥。这在某些方面是好的——如果您丢失了手机并且忘记了密码,苹果可能仍然能够帮助您访问数据。但这也造成了一个巨大的弱点。两种不同类型的"坏人"可以利用此漏洞:一类包括黑客和犯罪分子,包括复杂的国家资助的网络入侵团体。另一类是国家政府:通常是执法和国家安全机构。
由于苹果的服务器持有解密密钥,该公司可以被要求(或其服务器可能被黑客入侵)在任何时候提供您手机的完整备份副本。值得注意的是,由于这一切都发生在服务器端,您甚至永远不会知道它发生了。每晚您的手机上传其内容副本,然后您只能希望没有其他人获取它们。
这是一个糟糕的情况,而苹果在补救方面有些缓慢。这令人惊讶,因为谷歌自2018年以来已启用端到端加密备份。通常苹果是在隐私和安全方面领先的公司,但在这方面他们却落后了?为什么?
过去我们看到了各种暗示。例如,在2020年,路透社发布了一篇报道,称联邦调查局已说服苹果因该机构的压力而放弃加密备份计划。这很糟糕!当然,苹果从未证实这一点,但苹果从不确认任何事情。
2021年,苹果提出了一个复杂的用于执行iCloud Photos客户端扫描的新系统,以检测儿童性虐待材料(CSAM)。技术专家指出,这是一个奇怪的架构,因为客户端扫描是当您无法在服务器上扫描照片时才会做的事情——通常是因为该数据已加密。然而,当时苹果拒绝考虑他们正在考虑对备份数据进行端到端加密的想法。
然后,在2022年底,苹果终于公布了另一项举措。他们部署的新功能称为高级数据保护(ADP),它将最终为iCloud Backup和iCloud Photos启用端到端加密。这是一个选择加入模式,因此您必须手动开启。但如果您这样做,您的备份将使用手机密码安全加密——这是您应该记住的,因为您每天都需要输入它——甚至苹果也无法访问它们。
联邦调查局对此感到非常不安。但是,在一个拥有第四和第一修正案的国家,至少原则上,如果一家美国公司想要部署使用户能够加密自己数据的软件,他们无能为力。
进入"设置",输入"高级数据"并开启它。
但是……其他国家呢?
苹果在数百个不同的国家运营,并非所有国家都有类似美国的法律。我之前写过苹果在中国的立场——令人惊讶的是,这似乎不涉及任何加密后门。但当然,这个故事涉及在地理和政治上都更接近美国的国家。
2016年,英国通过了《调查权力法案》(IPA),有时被称为"窥探者宪章"。IPA包含一个条款,允许英国政府向苹果等技术公司提交技术能力通知。根据英国法律,技术能力通知(TCN)是一项秘密请求,政府要求技术提供商悄悄修改其系统的操作,使其不再提供向用户宣传的安全功能。在这种情况下,大概这将涉及削弱内置到iCloud/ADP中的端到端加密系统,以便英国即使在没有用户密码或设备访问权限的情况下也能请求加密用户备份的下载。
TCN过程中隐含的保密性在这里是一个巨大的问题,因为它实际上要求苹果向其用户撒谎。为了遵守英国法律,他们必须发誓产品是安全的并以某种方式工作——这种撒谎必须针对民用用户和美国政府用户、商业用户等——而苹果被迫积极重新设计其产品以不同的方式工作。这里的危险应该是显而易见的,以及对苹果作为可信赖提供商声誉的巨大风险。我要重申,据我们所知,这甚至不是中国要求苹果做的事情,所以这相当令人震惊。
这里的第二个风险是英国法律并没有明确将这些请求限制在英国客户。在苹果2024年提交的一份文件中,该公司的律师明确指出了这一点:
[此处应有引文,但原文未提供具体引文内容]
当您思考时——这部分我承认是推测——英国在没有至少与美国同行沟通的情况下向一家美国公司提出这些要求,这似乎真的很令人惊讶。毕竟,英国和美国是一个名为"五眼"的情报联盟的一部分。他们在这方面合作!这里至少有两种可能性:
- 英国独自行动,对美国公司的网络安全和业务构成严重风险。
- 美国和英国的情报机构(也许还有一些执法机构)已经讨论了该请求,并且双方都认为英国拥有此能力有显著好处。
我们无法真正知道这里发生了什么,但两种选择都应让我们感到不安。第一种意味着英国正在独断专行,可能损害美国的安全和商业,而后者意味着某种级别的美国机构正在默许一项可能被非法用于对抗美国用户的能力。
我们从最近的《邮报》文章中知道的是,据称苹果对最近的英国请求感到非常不安,以至于他们"很可能停止在英国提供加密存储",即,他们至少要在英国关闭高级数据保护。这可能解决也可能没有解决与英国政府的争议,但至少表明苹果不会悄悄接受这些请求。
其他国家呢?
英国有大约6800万人,这不是一个小数字。但与苹果销售的其他市场相比,这不是一个大地方。
过去,像WhatsApp和Signal这样的美国公司曾做出可信的威胁,如果英国政府兑现要求加密后门的威胁,他们将退出英国市场。我毫不怀疑,如果被迫,苹果也愿意为此抗争到底——只要只涉及英国。这对英国用户来说真的很遗憾,他们理应拥有好东西和安全设备。
但有比英国更大的市场。欧盟有4.492亿客户,并且一直在辩论要求访问加密消息的法律。中国的客户数量是它的两到三倍。这些都是因加密而冒险的大市场!此外,苹果在中国制造大量手机(和手机部件)。虽然我对人类道德——即使在大公司内部——持乐观态度,但我怀疑苹果能否说服其股东,他们与中国的关系值得因为信任价值或端到端加密消息或iCloud这样抽象的东西而冒险。
这就是如果苹果屈服于英国要求所面临的风险。如果苹果在这里屈服,中国没有理由不要求同样的事情,也许这次应用于苹果流行的iMessage服务。老实说,他们没错?同意英国的请求可能允许英国和五眼联盟做出损害中国自己用户的事情。简而言之,在一个地方放弃苹果的原则意味着他们最终必须在任何地方屈服(或更糟),或者——这是一个现实的替代方案——苹果被迫离开世界许多地方。两者都对美国不利,也对所有国家的人民不利。
那么我们在法律上应该做什么?
如果您阅读社论,它有一个简单的建议。美国应该通过法律,禁止美国公司应外国要求安装加密后门。这将使像苹果这样的公司陷入困境。但这将是一个好的困境!为了满足一个国家的法律,苹果将不得不违反其本国的法律。这造成了一种"法律冲突"的情况,在这种情况下,至少,简单的、安静的、违背美国公民和客户利益的合规对苹果来说不再是一个选项——即使股东在理论上可能更喜欢它。
我希望这是一项许多人无论政治立场如何都能同意的政策。
那么我们在技术上应该做什么?
我在这里要提出另一点,这一点在社论中无法容纳,但无论如何都值得一说。如果苹果当初更广泛地、更早地部署端到端加密备份,我们就不会陷入这种困境。
在过去的十年里,我目睹了各国政府大力推动停止设备加密,为端到端加密消息添加"搜查令"功能,然后安装扫描系统以监控非法内容。几乎所有这些尝试都失败了。失败的最大贡献者是加密的广泛部署和采用。
一旦一个系统被广泛部署,并且人们意识到它正在为系统增加价值和安全性,他们就不愿意改动那个系统。您首先在设备加密中看到这种模式,然后在消息传递中看到。一项技术起初有争议,起初站不住脚,然后突然它对数字安全变得必不可少。甚至执法机构最终也开始恳求人们开启它:
[此处应有引文/推文,但原文未提供具体内容]
这种转变发生的一个关键因素是必须有大量的人依赖该技术。如果1-2%的客户群使用可选的iCloud加密,那么关闭该功能很容易。对一小部分人口来说可能很烦人,但政府冒险在政治上可能是可行的。在25%的采用率下,情况就不那么一样了,在50%或100%的采用率下,情况就不成立了。
苹果早在2016年就构建了部署iCloud端到端加密的技术。然后他们折腾了六年多,甚至没有将其作为选项部署。最终在2022年底,他们允许人们选择加入高级数据保护。但即使在那时,他们也没有将其设为默认,在设置过程中也不会问您是否要开启它。他们甚至几乎不向任何人宣传它。
如果有人构建了一个加密功能但没人听说,它还会存在吗?
来自英国的这一消息是对苹果的一个警钟,他们需要更快地行动。他们可能因为五眼国家的反弹而感到 intimidated,这可能是他们 reticence 的原因。但为时已晚,猫已经出袋。人们注意到他们未能开启此功能,并且——虽然我确信他们有充分的理由缓慢推进——但沉默和缓慢推进开始显得软弱,甚至像是与外国政府合作。
见鬼,连谷歌都提供这个功能,而且是默认开启的!
所以,作为一名技术专家,我希望苹果能认真对待这项技术。这很重要,而且球很大程度上在苹果的 court 里,开始提高这些数字。世界不是一个安全的地方,而且它并没有变得更安全。苹果应该在这里做正确的事,因为他们想这样做。但如果不这样做,他们应该这样做,因为不这样做的责任太大了。