蘋果將再推一攬子隱私保護重大措施:雲備份擴充套件加密,停止CSAM
01
Apple公司宣佈icloud備份的端到端加密
Apple 公司2022年12月7日宣佈了一套資料安全改進措施——包括iMessage 聯絡人金鑰驗證、Apple ID 安全金鑰和 iCloud 高階資料保護。這一攬子措施計劃在未來幾個月推出,旨在保護消費者資料並抵禦駭客攻擊。Apple的軟體工程高階副總裁在公告中表示,新功能將為使用者提供“
三種強大的新工具
,以進一步保護他們
最敏感的資料和通訊
。”
在雲服務中部署資料安全措施,這並非Apple公司的首例。該公司已經在採用加密技術來保護 14種“預設使用端到端加密的敏感資料類別,包括iCloud鑰匙串和健康資料中的密碼”。新的高階資料保護功能將類別數量擴充套件至 23 個,包括對 iCloud 備份、備忘錄和照片、釋出狀態的端到端加密。該保護將不涵蓋 iCloud 郵件、通訊錄和日曆,因此它們可以繼續與其他非 Apple 全球系統進行互操作。
Tips:端到端加密
簡單來說,“加密技術”就是將訊息的內容或其他一些資料片段打亂,使其在沒有解密金鑰的情況下完全無用。“端到端加密”意味著只有終端計算機才儲存加密金鑰。端到端加密比當今的行業安全標準更先進,許多公司都正在使用該技術。
想了解更多“端到端加密”立法問題,可以閱讀本平臺釋出的《安全與隱私的衝撞——美國、英國、歐盟端到端加密監測法案評述》。
然而,在這三項改進中,最引人注目的功能是
iCloud 備份中擴充套件端到端加密——因為此舉必然會引起執法部門的關注。
長期以來,Apple一直在其裝置上提供強大的加密保護,包括iPhone、iPad和Mac電腦。在 2015 年聖貝納迪諾恐怖分子襲擊事件發生後,這些裝置保護措施就遭到了美國執法部門的強烈批評,特別是是美國聯邦調查局(FBI)。
02
背景:Apple公司與美國聯邦調查局(FBI)關於隱私與安全的爭論
從2015年12月開始,Apple公司與 美國聯邦調查局(FBI)之間的訴訟和公開辯論曾持續了數月,引發公眾的關注。FBI曾嘗試進入 iPhone 的後門以進行對恐怖分子的調查。時任 FBI 總法律顧問的 Jim Baker曾在一次峰會上描述了
加密帶來的“致黑問題”(going dark problem)——隨著加密“在全世界傳播,它變得更容易使用,併成為使用者的預設設定,會有更多人使用它。
”但是,他補充說,“對於恐怖主義,我們的失敗率是零。”
FBI 最終確實獲得了聖貝納迪諾恐怖分子的電話,儘管當時它並沒有與Apple公司分享它是如何做到的。Jim Baker在 2016 年公開表示:“我們喜歡加密措施,我也曾多次成為隱私犯罪的受害者,包括在美國人事管理辦公室。我希望資料已被加密。”
背景擴充套件:Apple公司與 FBI 的三輪交鋒
第一輪:公開的法律鬥爭
2015 年 12 月聖貝納迪諾襲擊事件期間,FBI沒收了一部犯罪嫌疑人使用的 iPhone,但由於 FBI和Apple 都無法訪問被沒收 iPhone 上的加密資料,於是FBI 向法院申請了一項命令,要求 Apple 公司建立一個自定義作業系統,以禁用 iPhone 上的關鍵安全功能。
在法院批准 FBI 的申請並向 Apple 公司發出命令後不久,FBI 開始解封檔案,並向媒體通報了其請求 Apple 公司協助處理此案的訊息。作為迴應,Apple 公司執行長蒂姆•庫克發表了一封致客戶的信,明確表示公司將反對該命令,該命令將開創“危險的先例”。
2016 年 2 月 25 日,Apple公司提出撤銷法院命令的動議,辯稱該命令是非法且違憲的。
在找到第三方公司為FBI破解它後,FBI 放棄了訴訟。
第二輪:Apple公司放棄iCloud加密計劃
2018年,據一些內部人士透露,Apple公司曾告訴 FBI,他們正計劃在使用者將手機資料儲存在 iCloud 上時為使用者提供端到端加密。根據該主要旨在阻止駭客的計劃,Apple 公司將不再擁有解鎖加密資料的金鑰,這意味著即使在法院命令下,它也無法以可讀的形式將材料移交給當局。
然而,當Apple 公司在第二年私下與 FBI 談論其在手機安全方面的工作時,卻表示,端到端加密計劃已經被放棄。路透社經過多次採訪,也無法確定蘋果放棄該計劃的確切原因。
第三輪:Apple公司的“配合”不能令FBI滿意
2019年12月,一名在美國軍方受訓的沙烏地阿拉伯學員在彭薩科拉海軍航空站開火,造成傷亡11人。FBI 找到兩部 iPhone手機,在無法訪問其資料後,要求 Apple公司解鎖它們。Apple公司拒絕了,但最終FBI在沒有Apple公司幫助的情況下至少解鎖了其中一個,並發現槍手與恐怖組織之間存在實質性聯絡。
比較奇怪的是,在這輪交鋒中,美國總檢察長威廉•巴爾在2020年1月表示Apple公司沒有提供解鎖手機的“實質性幫助”;而Apple公司在一份電子郵件宣告中,拒絕接受威廉•巴爾關於它沒有在彭薩科拉調查中提供實質性幫助的描述,Apple公司還分享了有關其對 FBI 求助請求的迴應的一些細節。
之後,Apple 公司發言人拒絕就該公司對加密問題的處理方式或與 FBI任何相關討論發表評論;FBI 也沒有就 Apple 的任何討論發表評論。
然而隨著此次 Apple 公司將加密措施擴充套件到 iCloud,FBI 再次表達了它的擔憂。FBI本週表示,它“深切關注端到端和僅限使用者訪問的加密構成的威脅。……這阻礙了我們保護美國人民免受犯罪行為侵害的能力,包括網路犯罪、針對兒童的暴力行為、販毒、有組織犯罪和恐怖主義等”,並補充說執法部門需要“有意設計的合法訪問途徑”。
Apple公司 CEO 蒂姆•庫克在 2022全球隱私峰會的主題演講中表示,保護隱私並不容易,但“這是我們這個時代最重要的戰鬥之一”。他還重申,Apple公司 繼續“支援沒有後門的加密——因為我們知道,如果你安裝後門,任何人都可以使用它。”
Apple公司在本週的公告中表示,“比以往任何時候都更迫切需要增強雲中使用者資料的安全性。”與公告一起,該公司釋出了一份由 Stuart Madnick 教授撰寫的《雲計算對消費者資料的威脅日益嚴重》白皮書發現:全球資料洩露的數量在 2013 年至 2021 年期間增加了兩倍多;美國 1,000 家最大的公司中有60% 以上的公司發生過資料洩露,並且在 2021 年,超過一半的受訪組織經歷過勒索軟體攻擊。
▲ 圖片:摘自Stuart Madnick 教授撰寫的白皮書《雲計算對消費者資料的威脅日益嚴重》
隨著越來越多的客戶和企業線上開展業務,網路犯罪是一項價值數十億美元的業務。
03
兒童性虐待材料(CSAM)檢測計劃暫停
Apple公司還停止了掃描使用者照片以查詢儲存在 iCloud 中的兒童性虐待材料的計劃。2021年,Apple公司就此招致了隱私倡導者的批評,並於 2021 年 9 月表示將暫停推出,“以在釋出前收集意見並做出改進”。針對收到的反饋,“iCloud 照片的 CSAM 檢測工具已失效”。
Apple公司 現在將其反CSAM工作的重點放在其“通訊安全”功能上。在提供給連線的一份宣告中,Apple公司表示,“無需公司梳理個人資料,兒童就可以得到保護,我們將繼續與政府、兒童倡導者和其他公司合作,幫助保護年輕人,維護他們的隱私權,以及讓網際網路成為兒童和我們所有人更安全的地方。”
04
其他安全措施
Apple公司還推出了iMessage 聯絡人金鑰驗證和安全金鑰。儘管對普遍的使用者都有幫助,但這些強有力的保護措施主要是針對“面臨非凡數字威脅的使用者”——例如記者、人權活動家和政府成員。
啟用 iMessage 金鑰服務之後,如果裝置遭到駭客成功侵入雲伺服器並在加密通訊中插入竊聽軟體,使用者會收到自動警報。
最後,Security Keys 將允許使用者利用第三方硬體安全金鑰來增強 iCloud 中的資料安全保護。Apple公司 釋出宣告稱,這使iPhone的雙要素身份驗證更進一步,甚至可以防止高階攻擊者在網路釣魚詐騙中獲得使用者的第二要素。
05
Apple公司新安全設定將再次推動行業變革
約翰霍普金斯大學密碼學教授馬修格林將此次安全措施的推出描述為“一件大事”。
他表示,因為 Apple公司為消費者的安全雲備份設定了標準,即使作為一項可選擇的功能,這一舉措也會在整個行業產生影響,競爭對手會迅速就此作出反應。
作者:Jedidiah Bracy
,國際隱私協會(IAPP)的主任編輯。
譯者:《網際網路法律評論》
【
免責宣告
】本文撰寫所需的資訊採集自合法公開的渠道,我們無法對資訊的真實性、完整性和準確性提供任何形式的保證。
本文僅為分享、交流資訊之目的,不構成對任何企業、組織和個人的決策依據。
