打击滥用,没有后门

2020-10-21 00:52:13

上周日,英国政府发表了一份关于端到端加密和公共安全的国际声明,由美国、澳大利亚、新西兰、加拿大、印度和日本的代表共同签署。这份声明写得很好,很值得一读,但核心是:

我们呼吁科技公司[...]。使执法部门能够以可读和可用的格式访问内容,其中授权是合法颁发的,是必要的和相称的,并受到强有力的保障和监督。

换句话说,这是世界上七个最大的政府明确提出的要求,要求在端到端加密(E2EE)通信服务中设置后门:一个当局拥有密钥的后门,允许他们按需查看通信。这是个大新闻,与Matrix直接相关,因为Matrix是一种端到端的加密通信协议,其核心团队目前集中在英国。

现在,我们同情当局在这里的困境:我们完全憎恶虐待儿童、恐怖主义、法西斯主义和类似的东西-我们没有建造黑客帝国来实现这些。然而,不幸的是,试图通过后门来减少滥用是有根本缺陷的。

后门必然会为每个人的加密引入一个致命的弱点,然后成为攻击者的终极高价值目标。任何能够确定破解加密所需的秘密的人都将获得完全访问权限,并且您可以绝对确定后门密钥将会泄露-无论是通过入侵、社会工程、暴力攻击还是意外。即使你单方面相信你的现任政府会负责打开后门的钥匙,但单方面相信他们的继任者是明智的吗?计算机安全只是一个程度问题,要想像这样安全地保守秘密,唯一安全的方法就是让它从一开始就不存在。

如今,端到端加密是一种完全无处不在的技术;试图立法禁止它就像试图扭转潮流或宣布某一数学分支是非法的。即使Matrix确实泄露了其加密,用户也可以轻松地使用任何其他方法来额外保护他们的对话-从PGP、OTR,到使用一次性Pad,再到共享密码保护的ZIP文件中的内容。或者,他们可以直接切换到从司法管辖区运行的E2EE聊天系统,而不需要后门。

各国政府使用端到端加密来保护自己的数据,正是因为他们不希望其他政府能够窥探这些数据。因此,政府为后门辩护不仅是虚伪的,而且会立即使他们自己的政府数据面临被泄露的风险。此外,为后门创建基础设施为世界其他地区树立了一个令人难以置信的糟糕先例-在这些国家,不那么健康的政府将不可避免地使用同样的技术,严重损害其公民的人权。

最后,在Matrix的具体案例中:Matrix是一个加密的、分散的、由开源软件驱动的开放网络,任何人都可以在其中运行服务器。即使Matrix核心团队有义务增加一个后门,这对更广泛的世界来说也是可见的-而且没有办法让更广泛的网络采用它。这只会损害核心团队的可信度,将加密开发推向其他国家,更广泛的网络将无关紧要地向前发展。

简而言之,我们需要保持E2EE的现状,这样它才能让99.9%的优秀演员受益。如果我们实施后门并破坏它,那么糟糕的0.1%的人将简单地切换到非走后门的系统,而99.9%的人则会变得脆弱。

我们也不是唯一这样想的人:GDPR(世界领先的数据保护和隐私法规)明确呼吁将健壮的加密作为必要的信息安全措施。事实上,美国政府后门的风险明确导致欧洲法院(European Of Court Of Justice)宣布欧盟-美国数据的隐私盾牌无效。七国政府在这里的立场(以及欧盟专员最近关于加密“问题”的通信)是在保护基本隐私权方面的重大倒退。

七国政府的这一声明旨在保护普通公众免受不良行为者的伤害,但它显然破坏了好的行为者。我们真正需要的是授权用户和管理员在不破坏隐私的情况下识别并保护自己不受不良行为影响。

如果我们有一种标准的方式,让用户自己建立和分享他们自己的观点,看看其他用户、消息、房间、服务器等是否令人讨厌,会怎么样?如果您可以可视化并选择要应用于Matrix视图的筛选器,情况会怎样?

就像Web、电子邮件或整个互联网一样,Matrix中的内容不可能被单方面审查或屏蔽。但我们能做的是提供一流的基础设施,让用户(以及房间/社区版主和服务器管理员)自己决定信任谁,允许哪些内容。这还将为当局提供一种发布有关非法内容的声誉数据的方法,提供一种尊重隐私的机制,管理员/MODS/用户可以使用该机制将非法内容远离他们的服务器/客户端。

任何人都可以收集有关Matrix聊天室/用户/服务器/社区/内容的声誉数据,并根据自己的喜好将其发布给更广泛或更窄的受众,从而提供他们对Matrix中的内容在给定环境中是正面还是负面的主观评分。

此声誉数据以隐私保护的方式发布-即,如果您知道要查询的ID,则可以查找声誉数据,但数据以假名方式存储(例如,通过散列ID进行索引)。

任何人都可以订阅信誉提要,并将它们混合在一起,以便告知他们如何过滤其内容。馈送可以是他们自己的数据,或者来自他们的朋友,或者来自可信的来源(例如,事实核查公司)。他们的混合饲料可以作为自己的饲料重新发布。

为了防止用户陷入他们自己设计的派系过滤气泡中,我们将提供UI来可视化并警告他们的过滤范围--并让他们可以根据需要轻松而有趣地转换他们的观点。

然后,在特定辖区运行服务器的管理员可以选择在他们的服务器上实施他们需要的任何规则(例如,他们可能想要订阅来自可信来源(如IWF)的信誉馈送,识别儿童性虐待内容,并使用它从他们的服务器阻止它)。

这不仅仅是为了打击滥用--同样的系统也可以用来授权用户根据自己的条件过滤掉垃圾邮件、宣传、不想要的NSFW内容等。

这就形成了一个相对的声誉体系。尽管这可能令人不舒服,但一个人的恐怖分子是另一个人的自由斗士,不同的司法管辖区有不同的法律--扮演上帝和裁决并不是Matrix.org基金会的事。每个用户/版主/管理员都应该可以自由地做出自己的决定,并决定与哪些声誉源保持一致。这并不是说这个系统将帮助用户定位极端内容-声誉数据的隐私保护性质意味着它只对过滤掉你本来可以看到的材料有用-而不是定位新内容。

就这与端到端加密和减少滥用的交互方式而言:现实情况是,Matrix、Web或电子邮件等公共网络中的绝大多数滥用行为都是从公共未加密域中看到的。辱骂的社区通常想要吸引/招募/培养用户-这意味着提供一个公共前门,这将由一个声誉系统来标记,比如上面提出的一个。与此同时,完全私人和完全加密的社区通常仍然与世界其他地方有接触点-即使那样,他们也极有可能避免任何假想的后备服务器。简而言之,调查这类社区需要当局传统的渗透和监控,而不是无效的后门。

现在,这种方法听起来可能完全是科幻小说,而且雄心勃勃得令人难以置信(我们的专长!)-但我们实际上已经开始成功地构建这个方法,我们在过去几年里一直在提炼这个想法。MSC2313是发布和订阅声誉数据的想法的第一个切入点-从简单的二进制禁令规则开始。它已经实现并投入生产一年多了,用来维护matrix.org和mozilla.org社区使用的共享名单。下一步是对其进行扩展,以支持可混合的声誉数据连续体(而不仅仅是二进制禁止列表),使其保护隐私,并开始在客户端UX上进行配置和可视化。

最后:我们将继续聘请一支专门的声誉团队,全职致力于这一点的建设。这是对Matrix未来的一项重大投资,坦率地说,这是在烧钱,我们并没有真正的钱-但这对该项目的长期成功至关重要,也许对整个互联网的健康也是至关重要的。毕竟,没有什么好的相对声誉系统是Matrix所特有的,而且许多其他人(分散的或其他的)显然也迫切需要一个。我们正在积极寻找资金来支持这项工作,所以如果你感到富有和慈善(或者政府想要支持更开明的方法),我们希望通过[电子邮件保护]听到你的消息!

在这个世界里,用户拥有出色的在线保护工具,他们的安全不会因为加密后门而受到损害。在这个世界里,用户拥有出色的在线保护工具,他们的安全不受加密后门的影响。