英国间谍如何对端对端的致命弱点开刀?!

全球一流间谍机构英国政府通信总部(GCHQ)信号情报部门的两名官员设计了一个可以解决棘手问题的“建议”,即 如何拦截端到端的加密通信 — — 而不会从表面上看到加密被破坏或削弱的结果。

包括澳大利亚在内的世界各国政府目前都在试图弄清楚如何避免他们感兴趣的任何人消失在加密技术的保护中,正是由于加密的流行趋势,老大哥们很焦虑。

安全研究人员警告说,迫使提供商和开发商削弱或破坏加密的风险是会直接引入系统性弱点,并使每个人的通信以及金融系统整体都处于危险之中。

然而,现在,GCHQ 的两位间谍技术总监 Ian Levy 和 Crispin Robinson 都认为他们可能会提出一个解决方案,令一切看起来还在加密,但同时允许政府机构窃听对话。

“在加密服务的世界中,潜在的解决方案也许可以追溯到几十年前。⚠️ 服务提供商可以相对容易地将当局老大哥静悄悄地添加到群聊或通话中。

因为服务提供商通常控制身份系统,因此是他们在真正决定谁是谁、以及涉及哪些设备 — — 他们通常参与介绍聊天或通话的各方。你最终得到的所有东西都是端对端加密的,但是,这个特定的沟通还有一个额外的“接收端”,“GCHQ 的间谍写道。

为了实现这一目标,老大哥被添加到对话中的通知必须不能出现在目标的设备上。这是唯一需要的东西,Levy 和 Robinson 说,“你根本不需要去碰加密,就直接解密了”。

Edward Snowden 立即对该提案进行了严厉抨击:“绝对的疯狂!英国当局希望公司可以秘密地将政府人员作为第三方加入私密谈话,这意味着你朋友名单上的任何人都会变成“你的间谍”。不再有任何公司介导的身份可以信任。”

安全研究员 Mustafa al-Bassam 指出,这一阴险的提案利用了这样一个事实,即 用户不会验证彼此的公钥,并且会注入错误的加密密钥。为了防止老大哥被静静地添加到用户的对话中,用户友好的密钥验证将变得越来越重要。 制作 Key Transparency 等系统,用于查找公钥,更加用户友好,以便在管理加密凭证的同时检测服务器的不当行为,即使用户不验证密钥也将有助于挫败 GCHQ 的阴险提议。

Two officers at Britain’s GCHQ signals intelligence agency have devised a proposal to solve that seemingly intractable problem, namely how to intercept end-to-end encrypted communications — without breaking or weakening the encryption. ‘Absolute madness: the British government wants companies to poison their customers’ private conversations by secretly adding the government as a third party, meaning anyone on your friend list would become “your friend plus a spy.” No company-mediated identity could be trusted’

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据