應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

安全專家擔(dān)憂歐盟DMA會(huì)破壞WhatsApp等應(yīng)用的端到端加密

2022-03-29 09:53 cnBeta.COM

導(dǎo)讀:目前,每個(gè)信息服務(wù)都對(duì)自己的安全負(fù)責(zé)--穆菲特和其他人認(rèn)為,通過(guò)要求互操作性,一個(gè)服務(wù)的用戶會(huì)暴露在可能由另一個(gè)服務(wù)引入的漏洞中。歸根結(jié)底,整體安全只有在最薄弱的環(huán)節(jié)才是最強(qiáng)大的。

3 月 24 日,歐盟管理機(jī)構(gòu)宣布《數(shù)字市場(chǎng)法案》(Digital Markets Act,簡(jiǎn)稱DMA)已達(dá)成共識(shí),將會(huì)對(duì)歐洲的大型科技公司進(jìn)行全面的監(jiān)管。作為一項(xiàng)具有深遠(yuǎn)影響的雄心勃勃的法律,該法案中最引人注目的措施將要求每個(gè)大型科技公司(在歐盟擁有超過(guò) 750 億歐元的市值或超過(guò) 4500 萬(wàn)人的用戶群)創(chuàng)造可與小型平臺(tái)互操作的產(chǎn)品。

ibc6y8tn.webp

對(duì)于信息應(yīng)用來(lái)說(shuō),這將意味著讓 WhatsApp 這樣的端到端加密服務(wù)與 SMS 這樣不太安全的協(xié)議混在一起--安全專家擔(dān)心這將破壞在信息加密領(lǐng)域來(lái)之不易的成果。

DMA的主要關(guān)注點(diǎn)是一類被稱為“守門人”(gatekeepers)的大型科技公司,這類公司的定義是其受眾或收入的規(guī)模,并延伸到他們能夠?qū)^小的競(jìng)爭(zhēng)對(duì)手行使的結(jié)構(gòu)性權(quán)力。通過(guò)新的法規(guī),政府希望“開(kāi)放”這些公司提供的一些服務(wù),以允許小型企業(yè)參與競(jìng)爭(zhēng)。這可能意味著讓用戶在 App Store 之外安裝第三方應(yīng)用程序,讓外部賣家在亞馬遜搜索中排名更靠前,或者要求消息應(yīng)用程序在多個(gè)協(xié)議中發(fā)送文本。

但這可能會(huì)給承諾端到端加密的服務(wù)帶來(lái)真正的問(wèn)題:密碼學(xué)家的共識(shí)是,如果不是不可能,也很難在應(yīng)用程序之間保持加密,這可能會(huì)對(duì)用戶產(chǎn)生巨大影響。Signal 受到影響很小,不會(huì)受到 DMA 條款的影響,但 WhatsApp--使用 Signal 協(xié)議并由 Meta 擁有--肯定會(huì)受到影響。其結(jié)果可能是,WhatsApp 的部分(如果不是全部)端到端信息加密被削弱或取消,使 10 億用戶失去了私人信息的保護(hù)。

鑒于需要精確地執(zhí)行加密標(biāo)準(zhǔn),專家們說(shuō),沒(méi)有一個(gè)簡(jiǎn)單的解決方案可以調(diào)和加密信息服務(wù)的安全性和互操作性。知名互聯(lián)網(wǎng)安全研究員、哥倫比亞大學(xué)計(jì)算機(jī)科學(xué)教授史蒂文-貝羅文(Steven Bellovin)說(shuō),實(shí)際上,沒(méi)有辦法將具有不同設(shè)計(jì)特點(diǎn)的應(yīng)用程序的不同加密形式融合在一起。

Bellovin 說(shuō):“試圖調(diào)和兩種不同的加密架構(gòu)根本不可能做到;一方或另一方將不得不做出重大改變。一個(gè)只有在雙方都在線的情況下才能工作的設(shè)計(jì)與一個(gè)在存儲(chǔ)信息的情況下工作的設(shè)計(jì)看起來(lái)會(huì)非常不同....。你如何使這兩個(gè)系統(tǒng)互通有無(wú)?”

Bellovin說(shuō),使不同的信息服務(wù)兼容可能會(huì)導(dǎo)致最低共同標(biāo)準(zhǔn)的設(shè)計(jì)方法,其中使某些應(yīng)用程序?qū)τ脩粲袃r(jià)值的獨(dú)特功能被剝離,直到達(dá)到一個(gè)共同的兼容性水平。例如,如果一個(gè)應(yīng)用程序支持加密的多方通信,而另一個(gè)不支持,維持它們之間的通信通常需要放棄加密。

另外,DMA提出了另一種方法讓隱私倡導(dǎo)者來(lái)說(shuō)同樣不滿意:在兩個(gè)加密方案不兼容的平臺(tái)之間發(fā)送的信息在它們之間傳遞時(shí)被解密和重新加密,打破了"端到端"的加密鏈,為不良行為者的攔截創(chuàng)造了一個(gè)漏洞。

Muffett 表示:“這就像是你走進(jìn)麥當(dāng)勞,為了打破行業(yè)壟斷現(xiàn)在要求你訂單必須要有來(lái)自其他餐廳的壽司拼盤。當(dāng)要求的壽司從表面上要求的壽司店通過(guò)快遞到達(dá)麥當(dāng)勞時(shí),會(huì)發(fā)生什么?麥當(dāng)勞能否以及是否應(yīng)該向顧客提供這種壽司?快遞員是合法的嗎?它是安全準(zhǔn)備的嗎?”

目前,每個(gè)信息服務(wù)都對(duì)自己的安全負(fù)責(zé)--穆菲特和其他人認(rèn)為,通過(guò)要求互操作性,一個(gè)服務(wù)的用戶會(huì)暴露在可能由另一個(gè)服務(wù)引入的漏洞中。歸根結(jié)底,整體安全只有在最薄弱的環(huán)節(jié)才是最強(qiáng)大的。