澳洲新法 讓政府取得加密訊息
13號,澳洲議會通過了俗稱「反加密法案」(anti-encryption law)的《2018年協助與存取法案》(Assistant and Access Bill 2018),未來澳洲執法單位就能透過依據新法,要求像Facebook、蘋果等科技公司交出旗下用戶透過Messenger、iMessage或WhatsApp等媒體傳遞的加密訊息。
為了打擊恐怖組織
澳洲政府表示,有超過 95%的犯罪活動是透過加密訊息的方式聯繫,這麼做是調查犯罪和打擊恐怖主義的必要手段,而澳洲也成為世界上第一個立法通過讓政府有權要求科技公司提供加密訊息的國家。
僅限恐怖主義、兒童性犯罪
由於「反加密法案」涉及傳訊媒體使用者的資安和隱私,在多方協議下,目前「反加密法案」的適用對象僅限於恐怖主義、涉及兒童性犯罪或其他可處監禁 3年以上的罪刑,這當中也包括毒品、槍枝暴力等相對輕微的犯罪
形同開了一道資安後門
然而,這項草案從推行之初一直備受爭議,除了密碼學家和隱私權倡議團體認為,這麼做會危害到這些傳訊媒體使用者的資安和隱私,就連Facebook、蘋果和Amazon等科技公司也反對這條法律。
原因在於這條法律一旦通過之後,科技公司形同為澳洲政府開了一道資安「後門」,來讓澳洲相關單位取得特定用戶的加密訊息。如此一來會削弱科技公司的訊息加密技術,就像澳洲在網路世界製造了資安的「全球弱點」。
不能有漏洞 但要新權限
通常,像是WhatsApp這些傳訊平台為了要保護用戶訊息不會被竊聽,都會架設端到端加密(end-to-end encryption)這種額外的安全通訊系統,讓訊息內容只有傳訊的人和收件人才能看見,而不會中途被電信公司、網路服務供應商或該平台的供應商看到。
面對外界質疑 「反加密法案」就像科技公司為澳洲政府開了一道「後門」,「反加密法案」開宗明義便強調,澳洲執法單位不能要求科技公司為澳洲政府打造「系統上的弱點」,來讓澳洲政府取得特定用戶的資料。
那澳洲政府該如何取得他們想要的加密資料呢?「反加密法案」寫到,如果澳洲執法單位在必要情況下,可以請求科技公司的幫忙,讓澳洲政府獲得新的權限,來取得特定嫌犯的加密資料。
2.0升級版內建政府監控功能
舉例來說,科技公司A底下有通訊軟體B,澳洲政府想要暗中調查的嫌犯C就是通訊軟體B的使用者。當科技公司A得知澳洲政府想要取得用戶C的加密訊息時,這時候科技公司A可以按照澳洲政府的需求,打造通訊軟體B的 2.0升級版,再建議用戶C下載更新。
一旦用戶C將通訊軟體B升級為 2.0新版本,內建澳洲政府監控功能的 2.0版就能讓有關單位取得用戶C的加密資料,而且這整個過程用戶C可能完全不知情。
量身打造升級功能
澳洲政府可以要求科技公司在升級系統中讓他們看到用戶輸入了哪些訊息,並且取得用戶行動裝置的地理位置資訊。
此外,澳洲政府也能委託科技公司建立一個看起來像是加密過的假網站,讓他們能以網路釣魚的方式取得特定用戶資料。
拒絕配合或失敗都開罰
如果科技公司A拒絕配合澳洲政府呢?
「反加密法案」則寫到,澳洲政府有權要求特定人士或團體暗中進行「產品升級」工作,如果拒絕配合澳洲政府或計畫執行失敗,都有可能面臨最高 1,000萬澳幣(折台幣約 2億2,182萬元)的罰款,如果是個人的話還有可能因此被關。
有了先例 就會想跟進
雖然目前只有澳洲推出了「反加密法案」,但不少技術員或資安專家認為,一旦澳洲通過「反加密法案」後,科技公司為了要配合澳洲執法單位的需求讓產品內建新功能,其他國家就有理由要求科技公司讓他們也能取得特定用戶的加密資料,特別是俗稱「五眼聯盟」(Five Eyes)的澳洲情報合作夥伴──美國、英國、加拿大和紐西蘭。
全球資訊網協會(W3C)技術架構小組的安全隱私研究員歐勒尼克(Lukasz Olejnik)便說,只要科技公司一推出這些功能,就會有不少團體想要取得類似的權限,造成更多國家跟進。
沒人知道是否被監聽
墨爾本大學資訊工程講師卡爾南(Chris Culnane)也說,大多數公司應該都會遵守這項法律,但問題是用戶無法得知自己的加密訊息是否能被第三方竊聽,而且科技公司也不可能針對特定人士單獨開一個「後門」讓執法單位能夠解密他的訊息。
卡爾南強調:「任何漏洞只會削弱現有的加密技術,影響到整體無辜的民眾」,只要一有安全上的漏洞,就很有可能會被有心人士濫用。