我们正向一个世界迈进,在这个世界里,移动应用之间的通信将是完全安全的。无论是语音还是文本,被监控的流量都将被加密且不可破解,即使与应用程序或设备开发商合作。
最近的一个例子,Facebook的WhatsApp的据报道,它引起了执法部门的关注,因为它似乎不受解密努力的影响。政府立法强制供应商加入某种类型的后门密码似乎是唯一的选择,但在国际应用程序开发和发行的背景下,立法可能无法强制执行。
辩论包括法律政策和安全架构,对于外行奸诈主题:自称我们这些地区没有深刻的认识;但我们确实写的移动应用程序,并要求了解一些关于他们。这列是一个移动应用程序开发者的观点。
多年来,应用程序开发人员没有考虑安全性非常重要。例如,谷歌最近开始封杀应用程序与“信任所有的服务器”SSL(HTTPS)在Play商店的客户。只有谷歌的工程师知道这是怎么懒许多应用程序开发人员追赶但编程论坛表明这是一个很大的数字。同样的,很多语音和文字通信,即使在今天,都设有克莱尔传输。
但是,加密越来越广泛地实施,由于在移动设备上的隐私越来越尊重。作为正在进行的隐私措施为例,Android和iOS最近开始隐藏设备的MAC地址,同时具有过空中(用匿名探测请求)和应用程序(退出提供全局设备特定标识的API)。加密通信的发展趋势是该河段的隐私的后果。应用程序开发人员大多是找一个安全的疼痛和用尽可能少的努力得到的,但他们了解用户需要隐私。
同时,加密有了长足的进步。做一个几乎无法破解的加密系统所需要的原则,虽然复杂,现在被广泛的理解。然而,实施细则仍然复杂,有许多机会设计,在意外的漏洞。但是,加密理论与实践之间的差距正在缩小:移动应用程序加密软件大为改善。开发者现在可以访问到正确执行加密众多测试软件库和开放源代码项目。
安全通信的另一个驱动因素是具有端到端加密的对等体系结构。以前,许多应用程序都是通过一个中央云服务器路由流量,建立一个用户-服务器-用户连接,并且经常在服务器上对消息进行解密。但包括隐私在内的几股力量正在促使应用转向p2p架构,在这种架构中,流量将直接路由到收件人。不再有通信量可以被解密的中心点。当加密是端到端进行时,窃听者必须首先确定连接通过互联网的路由,并应用窃听,然后着手破解加密。
实施良好的端到端加密系统提供了几乎没有机会的窃听者,无论是政府支持的还是非法的。他们可能会试图夺取该设备并恢复加密密钥。但随着应用程序设计和设备加密技术的改进,检查用于交换的设备并提取密码将变得越来越困难。
第二种方法是尝试没有密码的知识解码侦听业务。这是不切实际的现代,精心设计的加密系统。这使得打开的检测和开发实施的缺陷,它可以缩小为一个强力攻击的搜索空间的可能性。但缺陷会随着时间变得越来越少,白帽子黑客发现它们,并提交实施修复。
第三,密码可以由用户通过网络钓鱼或类似的弄虚作假,或者依法需要应用开发者设计的后门密码,并披露他们点播(在法律点播)恢复。所有的替代品,这是唯一一个有可能经得起时间的考验:其余的将变得越来越不可行。
因此,需要开发人员设计的特定漏洞或后门密码是满足执法的需要,唯一的长期解决方案。但也有执行后门设计和披露实际障碍。软件产业的手段各国政府的国际性质就无法约束应用程序开发人员无需非常紧张的国际合作和控制。和未经授权的应用程序分配将是一个恒定的问题,需要国家的防火墙,以防止国外应用程序商店或国际配送下载电子邮件或其他方式。
在现代世界的大多数情况下,这些都不是切实可行的解决方案:我们必须学会与任何人(即使是其创造者)都无法破解的通信方式共存。斯科特·麦克尼利(Scott McNealy)的著名格言将被推翻:“通讯应用程序的用户将拥有100%的隐私,克服它吧。”