由于联邦调查局和司法部的修辞和法律风波对苹果的加密打继续升级,这是很自然的辩论,即对个人隐私和共生作用,现在我们的手机在我们的生活中扮演中心。。即使是总统奥巴马本人,西南会议与FBI偏袒在南说:“你不能把这个绝对主义立场。它是我们的盲目迷恋手机上面所有其他价值,而不可能是正确的答案。”
随着讨论的重点是隐私和犯罪,什么是大多丧失是潜在的商业和政府的分析意义,不仅影响到苹果公司,技术供应商,执法机构,但影响到更广泛的商业界和日常运作成千上万的机构,在各级政府。从这一点来看,总统的声明可能会成为,采取“......它是一个盲目迷恋有限集上述所有其他价值高度严重罪行的调查。”
日常工作我作为一个IT安全行业分析师。以前在Gartner公司,在那里我是为数据中心加密首席分析师研究副总裁,我现在经营自己的公司。在过去的15年里,我一直在使用加密系统建议一些大公司和政府机构的世界。我已经写了多篇研究论文,我继续工作,大多数主要的加密技术厂商。
知道加密是如何在整个商业世界中,很显然,我们最根本的安全工具之一是在一个公民权利中心的辩论,丝毫失误可以通过几十年的倒退企业和政府安全。
在SXSW,奥巴马总统警告不要服用“专制主义”的立场。
加密是技术的骨干,我们打破这一切的时候
加密是在数字世界中无处不在。我们使用它的每一笔信用卡交易,每次我们解开了智能钥匙的汽车,我们每次登录到几乎任何使用密码时,请访问一个安全的网站,连接到无线网络,更新软件,或做几乎任何事情与银行。学会依靠加密远不仅仅是保护我们的电话和在线聊天等等。
加密仅仅是数学,而不是巫术。这是数学与工作在公共领域的广泛身体重的研究领域。美国政府曾限制的强加密产品的出口,迫使企业在海外使用较弱的版本,并在这里支持较弱的加密在家里,因为互联网没有国界。这是一个决定,我们还是付出代价每天,因为今年早些时候研究人员在发现大约三分之一的互联网的另一个漏洞直接原因是上世纪90年代这种刻意弱化了。
战斗是被称为加密战争,和政府,在克林顿总统,最终还是心软了。在控制这些尝试做多一点削弱的产品和业务的安全性。加密算法是不是核离心机,当所有你需要做的是打印源代码软件的一本书,运海外有人扫描到计算机和编译,限制有点数学与国界的想法变成了闹剧。尤其是当数学已经是法律和公众。
美国政府支持下的战斗进行加密,因为它是在互联网上运行的企业和政府服务至关重要。尝试允许境外加密只在减弱的状态留给大家都容易受到攻击,因为国内的系统也需要支持较低的安全级别。这些早期尝试的残余仍然有后反响十年。
即使没有加密的限制,正确实施是困难的。当我撰写了本文在iOS上的卫冕企业数据7,我不得不说明如何围绕苹果的不完整的加密,很是开始这场辩论,并在后来的iOS 8封闭孔最好的作品。
该司法部,在其最新简而言之,态“这个包袱,这是没有道理的,是苹果故意营销决策,使政府无法搜索到他们,即使有令,设计其产品的直接结果。”该声明是伪装成一厢情愿彻底的谎言。改进的iOS 8的加密是安全决策,一个由IT保障部门无处不在,谁早已被加密的笔记本电脑成相同规格的称赞。
加密是够硬,而无需添加后门或不能很好地扩展安全密钥共享机制。
每金钥匙是万能钥匙
在他的西南偏南讲话,奥巴马总统说, “I suspect the answer will come down to how we create a system where the encryption is as strong as possible, the key is as secure as possible, it’s accessible by the smallest number of people possible, for the subset of issues that we agree is important.”
有现有的技术,以使第三方获得高度加密的系统。一种广泛使用的方法使用的另一种密钥来解密数据。企业往往会支持一个数据或因各种原因,如确保IT部门如果员工尝试将其锁定仍然可以恢复企业系统中的计算机上有多个按键。
苹果和其他技术供应商可以使用这个众所周知的方法,使政府系统的访问。事实是这样的,可以相对安全地完成。我们知道如何保持令人难以置信的敏感密钥的安全。它通常涉及多个人只持有总钥匙,广泛的物理安全和非联网系统的片段。无视国际隐私的考虑,以及对这些技术供应商的国际业务运营的影响,如果在创建并在罕见的情况下使用这样的系统,这是极不可能被打破。
问题是,它是不可能的扩展这种系统。首先,如果FBI真的想消除权证,证明(适当加密)存储和通信,他们将需要在互联网上的每一个加密的产品和服务的关键。他们需要高度安全的机制,每个软件开发商和硬件制造商提供他们的钥匙。因为这是完全不可行,也许只有大型制造商和开发商在一定规模必须参加。
然后有访问的问题。难道只有FBI获得使用该系统的恐怖主义案件?难道当地执法人员可以访问抓孩子大鳄?毒品交易者?难道这是仅限于美国?或将其他国家,包括那些和中国一样,认为美国政府本身公开指责黑客攻击的企业系统,也获得或需要自己的备用钥匙?这些都是合法的,复杂的问题,不是单纯的aggrandized滑坡参数。越能获得有一个键,它更经常被使用,不太安全的它是由定义。
忽略了隐私问题,对企业和政府系统(因此操作)的影响可能变得沉重。
对设备的影响
当我建议企业上正常从密钥管理的复杂加密笔记本电脑,放在一边,我必须引导他们通过所有的潜在弱点。例如,我告诉他们,如果他们正在穿越某些国际边界或保留在Mac上高度敏感的信息,他们可能会失去的物理控制,以确保系统始终关闭,无法进入睡眠状态,因为加密密钥通常存储在nonvolitile RAM,留下了Mac脆弱。
哪些设备需要恢复密钥?就在美国或任何地方?
这不是妄想。我们知道一个事实,即某些政府破解企业(和其他国家政府),以及被盗的笔记本电脑可以是信息的重要来源。这同样适用于工业间谍活动(它真实的)真正的或有针对性的犯罪攻击。企业花费数百万美元,以使用企业软件加密安全移动电脑,还有数百万人在管理安全手机和平板电脑。
如果FBI强制要求备选的解密密钥的所有设备,这些密钥将可能需要为所有的企业系统,不只是消费者的手机产生。如果这样的法律并不适用于笔记本电脑,这将是裙子要求的简便方法。如果是的话,那么政府获得所有这些系统的直接访问,以及复杂的密钥交换机制将需要创建和每一个企业或政府机构,加密必须提供恢复密钥。
那么如何将企业办理国际业务?或国际公司与美国工人呢?这之前,我们甚至进入需要他们自己的访问密钥其他国家的问题。一个结果可能是,国际上的加密设备是由不可访问美国,与美国系统在其他国家,除非政府在重大案件和交换证据,这并非没有先例合作是安全的。
如果范围只限于手机,只有在美国,只为恐怖主义和其他一些情况下,风险和负担,美国公司将可能是可控的。但基于美国联邦调查局和美国总统奥巴马的既定目标,这是合理的假设范围更广,这是很难想象,仅美国将强制规定把金钥匙,只为手机。即使没有某些恶意黑客窃取的钥匙,最终的结果是企业的设备,尤其是那些与国际旅行使用,再也无法在许多现实世界的情况下可以考虑安全性。
