英国政府暂停破坏端对端加密的计划，但隐私风险依然存在

发表于 2023年9月8日，由 Glyn Moody

英国即将通过一项新法律，这将对全球产生严重的负面影响。这是各国政府促使互联网公司破坏端对端加密、削弱全球隐私的一部分。我们两年前首次报道了英国的在线安全法案。自那时以来，这项法案在议会程序中不断演变，形成了一大堆复杂的想法，旨在处理模糊的“有害内容”概念。正如开放权利组织所解释的：

根据英国庞大的在线安全法案中的新年龄验证规则，所有拥有英国用户的互联网平台必须阻止未成年人访问由英国议会定义的“有害”内容。

这将影响成人网站，也会涉及用户之间的服务基本上是任何允许用户生成内容并可能被青少年访问的网站、平台或应用程序。

为了防止未成年人访问“有害”内容，各网站必须验证访客的年龄，可以通过要求提供政府签发的证件或使用面部扫描等生物数据来估算年龄。

尽管该法案的意图可能良好，但在线年龄验证系统却对隐私构成了威胁。法国数据保护机构CNIL在去年的一项研究中发现，主要的年龄验证系统“可被规避且具有侵入性”，并呼吁实施更友好的隐私模型。维基百科已表示将不会对其用户进行年龄验证，并如有必要将退出英国。

拟议的在线安全法案中最糟糕的部分是要求在线平台使用“认证技术”扫描消息，以查找儿童性虐待材料CSAM。打击儿童性虐待材料是一个高尚且必要的事业，但英国政府的做法将要求对所有使用消息服务的人进行大规模监控这对隐私是一个可怕的侵犯。这还将要求以某种方式破坏基本的端对端加密。

英国政府坚持认为，消息扫描可以在不损害端对端加密的情况下进行，但从未说明这一点如何可能。实际上，在线公司有责任提出解决方案。事实是，英国政府希望能够在保护隐私的同时扫描加密消息，并不意味着这是可能的。由70个组织、网络安全专家和民选官员签署的公开信解释说，消息扫描“给整个社会带来了严重的安全和隐私风险，而它能为执法提供的帮助最多也只存在问题。”今年6月，英国内政部长即内务大臣在一篇文章中声称：

安全科技挑战基金是英国政府资助的挑战项目，支持开发能够在端对端加密环境中检测儿童性虐待材料的概念验证工具。

通过这一项目，政府、科技专家和更广泛的行业伙伴已证明，在利用加密的环境中检测儿童性虐待是技术上可行的，同时也能充分维护用户隐私。

安全科技挑战基金详细介绍了其五个项目旨在在不破坏端对端加密的情况下进行消息扫描。在其新闻稿中，声称包括：

换句话说，其方法通常依赖于在内容加密之前进行的客户端扫描。两年前，这篇博客写过关于苹果公司提出此类客户端扫描材料的提案，以及这种方法可能对隐私造成的威胁。次月，世界顶尖的安全专家解释了为何客户端扫描并不是解决方案来扫描端对端加密材料。来自专家和隐私保护者的广泛批评导致苹果暂停了其推出。现已进一步取消了整个项目。苹果用户隐私和儿童安全总监Erik Neuenschwander被《连线》引用如下：

扫描每个用户私人储存的iCloud数据将为数据窃贼提供新的攻击面。它还将可能引发一系列意想不到的后果。以扫描一种内容为例，便可能开启大规模监控的闸门，并可能产生搜索其他加密消息系统中其他内容类型的需求。

苹果对客户端扫描的支持曾对英国政府的案例至关重要，认为可以找到解决方案来扫描端对端加密的消息。然而，苹果的最新声明确认，在不危害隐私的情况下，根本没有安全的方法来做到这一点，而公司现在明确反对尝试扫描加密消息。对五个安全科技挑战基金项目的安全专家评估发现，“考虑中的解决方案将大大削弱隐私，且没有任何内置保护措施来阻止此类技术被用于监控任何个人通信。”

在即将要求破坏端对端加密或离开英国的情况下，端对端加密消息服务Signal的总裁Meredith Whittaker告诉BBC，该组织“绝对 100会离开。”《连线》报道，Meta的WhatsApp消息服务负责人Will Cathcart也表示，WhatsApp“不会遵守任何削弱公司加密技术的努力。”

面对这些声明，以及世界顶级安全专家一再警告没有任何技术能够在不危害隐私的情况下扫描端对端加密消息，英国政府作出了最后时刻的让步。根据《金融时报》的报道，“英国政府将承诺，不会使用在线安全法案中有争议的权力进行消息应用程序的扫描，直到技术上可行为止。”这终于承认，根本没有可行的方法在不削弱人们隐私权的情况下进行消息扫描。虽然这仍然留有余地，未来英国政府可能会要求在线服务扫描加密消息，但《卫报》引述一位英国政府发言人的话称：“我们对此事的立场没有改变。”

英国政府保留这一权力还有另一个问题。早在2020年，五眼联盟的政府美国、英国、加拿大、澳大利亚和新西兰，以及印度和日本再次呼吁在端对端加密中嵌入后门，以便他们能够对这样的搜索进行监控。同样，欧盟的聊天控制提案旨在强迫在线服务自动搜索所有私人聊天、消息和电子邮件以查找可疑内容。英国的在线安全法案可能为当局提供了要求监控加密服务的新法律权力，即使这种权力无法立即使用，也可能会鼓励其他国家引入类似法律，从而形成对未来在线隐私的严重威胁。

封面图片由美国海军退役Don S Montgomery提供。