密碼戰爭

密碼戰爭（英語：Crypto Wars）是一個非正式術語，指美國及盟國政府企圖限制公眾和其他國家的資訊保密，以防其獲得足以抵禦國家情報機構的解密能力之加密技術，所採取的一系列措施。（特別是美國國家安全局（NSA））^[4]。該術語有時也指人權與加密（英語：Human rights and encryption）的爭端。^[5]

一件印有RSA原始碼的「軍火」T恤（"munitions" T-Shirt）。RSA原始碼在美國被視為軍火管制出口，印有原始碼的T恤同樣受到限制^[1]，用於抗議出口禁令對言論自由的限制。 背面印有蓋上VOID標記的美國憲法第一、第五、第四跟第九修正案全文^[2][3]。隨著出口法規的放鬆，此T恤的法律問題已經不存在

美國的密碼技術出口管制

主條目：美國的加密技術出口管制

冷戰時期

在冷戰初期，美國及其盟國制定了一系列詳盡的出口管制法規，旨在防止西方國家陣營的各種重要技術落入敵人手中，特別是東方集團。被歸類為「關鍵（Critical）」的技術，都需要經過授權才能出口。西方各國對出口管制的協調，由輸出管制統籌委員會（CoCOM，又稱巴黎統籌委員會，中文簡稱巴統）負責。^[6]

兩類技術受到了保護：只會與軍事（軍需品）有關的技術，以及可以同時具有軍事和商業雙重用途的技術。在美國，前者的出口由國務院管理，後者的由商務部管理。由於在第二次世界大戰後不久，加密市場幾乎完全是軍事市場，因此加密技術及裝置（在計算機對密碼學變得重要後，也包括了加密軟體）也被列為美國軍需品清單（英語：United States Munitions List）第十一類—雜項（MISCELLANEOUS ARTICLES）當中（19 FR 7403）。在冷戰時期，西方世界的多國通過巴黎統籌委員會控制了加密技術的出口。^[6]

但到了1960年代，金融機構在有線匯款領域的增長需要更強大的商業加密技術。美國政府於1975年發布的資料加密標準（DES）意味著高品質的商用加密將會變得普遍，並會開始出現嚴重的出口管制問題。通常，計算機製造商（例如IBM）以及其大型企業客戶，需要逐案向有關單位申請出口授權許可。

個人電腦普及後

隨著個人電腦逐漸普及，加密技術的出口管制已經成為公眾關注的問題。菲爾·齊默爾曼在1991年於網際網路上發布加密軟體PGP^[7]，成為密碼出口管制方面的首個主要的「個人挑戰」。1990年代，電子商務的發展為相關法規製造了更多壓力。^[8]1995年，網景推出安全通訊協定（SSL），被廣泛採用，成為使用公開金鑰加密保護信用卡交易的一種方法。這是後來傳輸層安全性協定（TLS）的前身。

SSL加密採用RC4演算法，金鑰長度為128位元。超過40位的金鑰長度在美國出口法規中被視為軍需品，需要申請授權許可。^[9]

少於40位的金鑰長度無需單獨申請出口許可 ，因此網景開發了兩個版本的網頁瀏覽器。「北美版」有著完整的128位元強度。通過公開SSL安全協定中的88位元金鑰，「國際版」的有效金鑰長度減少到40位。即使是在美國，購買北美版也需要經過很麻煩的手續，大多數電腦使用者最終還是購買了「國際」版本， ^[10][11]一台個人電腦可以在數日內破解40位金鑰。出於相同的原因，IBM的Lotus Notes也發生了類似的情況。^[12]

彼得·榮格（英語：Peter Junger）和其他公民自由主義者、隱私權倡導者所發起的一系列訴訟，加密軟體在美國以外的廣泛可用性，以及許多公司認為對弱加密的負面宣傳限制了其銷售業和電子商務的發展，這使美國放寬了一系列出口管制。最終在1996年由比爾·柯林頓總統簽署了13026號行政命令^[13]，將商業加密從軍需品清單中轉移到商業管制清單。此外該命令指出，從出口管制條例的意義上說，「軟體不應被視為或對待為『技術』」。該命令使美國商務部於2000年修訂出口管理條例，大幅簡化包含加密技術在內的專有和開源軟體的出口。^[14]

現今

截至2009年，從美國出口非軍事加密演算法均由美國商務部工業和安全域（英語：Bureau of Industry and Security）（BIS）控制。^[15]即使是大眾市場上的產品，仍然存在一些限制，尤其是向流氓國家和恐怖組織的出口。軍用的加密裝置、經過TEMPEST（英語：Tempest (codename)）認證的電子產品、客製化的加密軟體，乃至加密諮詢服務，仍然需要出口許可證^[15]:6-7「具有超過64位元金鑰長度，面向的大眾市場加密商品，軟體和組件」需要在依法向BIS註冊（75 FR 36494）。以及，出口到大多數國家之前，其他物品需要由BIS進行一次性審查或通知BIS。例如，儘管不需要審查，但在網際網路上公開提供開放原始碼的加密軟體之前，必須通知BIS。^[16]出口法規儘管已較1996年以前的標準放寬，但仍然複雜。其他國家^[17]有類似的限制，特別是簽署瓦聖納協定的國家。^[18]

英國的密碼技術出口管制

1996年之前，英國政府會在出口商不願使用比較弱的加密演算法或較短的金鑰長度時，扣留其出口許可證，並且通常不鼓勵採用公鑰加密演算法。^[19]一場關於NHS加密演算法的辯論公開了這一點。

相關事件

Clipper晶片

主條目：Clipper晶片

Clipper晶片組是1990年代生產的用於手機，具有加密功能的晶片組，由NSA開發。該晶片組中有聯邦政府的後門，聯邦政府試圖讓手機製造商採用該晶片組，但沒有成功。該計劃最終在1996年被取消。 ^[20][21][7]

A5/1（GSM通訊加密）

主條目：A5/1

A5/1是在GSM行動電話標準中提供行動通訊保密性的一種串流加密法。

安全研究人員羅斯·安德森（英語：Ross J. Anderson）在1994年的報告中說：「在1980年代中期，北約訊號情報機構之間就GSM的加密是否應該擁有較高的安全性，有著激烈的爭論。德國方面認為應該如此，因為的德國邊界有很長一部分與華沙公約組織接壤，但其他北約成員國沒有這個狀況，目前採用的演算法是法國設計。」^[22]

根據Jan Arild Audestad教授的說法，在1982年開始的標準化過程中，A5/1最初被提議金鑰長度為128位元。在當時，128位元的安全性被預計至少能持續15年；而截至2014年，128位元仍是安全的。Audestad、Peter van der Arend和托馬斯·豪格（英語：Thomas Haug）表示，英國堅持使用較弱的加密，豪格稱英國代表告訴他這是安全的。為了讓英國特工更容易實現竊聽，英國建議使用48位元的金鑰長度，而西德希望使用更強的加密來防止東德間諜活動。最終的折衷的方案的56位金鑰長度。^[23]通常意義上，56位長度的金鑰是${\displaystyle 2^{128-56}=2^{72}=4.7\times 10^{21}}$次，比128位元長度的金鑰容易被破解。

DES挑戰

更多資訊：EFF DES破解機 § DES挑戰賽

在被廣泛採用的資料加密標準（DES）中，IBM最初計劃其金鑰長度為128位元。^[24]披露的檔案指出，NSA曾企圖說服IBM使用48位元的金鑰長度。而最終的折衷方案是金鑰長度為64位元，其中8位元是奇偶校驗位，因此實際有效金鑰長度為56位。^[25]DES早在1977年就被認為是不安全的^[26]，並且在2013年愛德華·史諾登洩漏的檔案中表明它實際上很容易被NSA破解，但仍被國家標準技術研究所（NIST）所推薦。DES挑戰是RSA Security發起的一系列蠻力攻擊競賽，目的是強調資料加密標準（DES）缺乏安全性。作為挑戰成功的參賽者之一，電子前哨基金會（EEF）開發了一個專業的DES破解機，暱稱「深譯」（Deep Crack） 。

1997年，NIST開始競選DES的替代品 ，最終在2000年發布了進階加密標準（AES）。^[27]截至2019年，AES仍被認為是安全的，NSA認為AES足以保護歸類為「最高機密」級別的資訊。^[28]

Bullrun計劃

主條目：Bullrun (NSA計畫)

由於擔心密碼學的普遍使用，NSA著手暗中影響和削弱加密標準，以及取得主金鑰——通過協定、法律強制力或是電腦網路研究（駭客攻擊）的手段。^[29][30]

據《紐約時報》報道 ：「到了2006年，通過破解保護性的VPN，該局已攻破了三家外國航空公司、一個旅行預訂系統、一個外國政府的核能部門，以及另一個外國政府網際網路服務的通訊系統。到了2010年，英國反制加密的Edgehill計劃已成功破解了30個目標的VPN，而且設立了再破解300個的目標」 ^[30]

作為Bullrun計劃的一部分，NSA也積極致力於「將安全漏洞插入到目標所使用的商用加密系統、IT系統、網路和端點通訊裝置中」。^[30]《紐約時報》報道說，亂數生成器Dual_EC_DRBG包含NSA的一個後門，這使NSA可以通過該亂數生成器來攻破加密。^[31]儘管在該標準發布後不久，Dual_EC_DRBG就已被知曉是一種不安全且緩慢的亂數生成器，並且在2007年發現了潛在的NSA後門，沒有這些缺陷的亂數生成器替代品也已經過認證並廣泛可用，但RSA Security仍繼續在公司的BSAFE toolkit（英語：BSAFE toolkit）和Data Protection Manager（英語：Data Protection Manager (RSA Security)）產品中使用了Dual_EC_DRBG，直至2013年9月。雖然RSA Security否認有意在BSAFE中插入後門，但其沒有解釋為何在2006和2007年Dual_EC_DRBG的明顯缺陷被發現後仍繼續使用。^[32]有自稱內部人士表示，RSA Security接受了NSA的一筆1000萬美元付款，以將該亂數生成器設為預設設定。^[33][34]洩漏的NSA備忘錄中稱這個任務是「需要精妙應對的挑戰」，並寫到「最終， NSA成為了唯一的編撰者。 」。

到2010年，NSA已開發出針對網際網路加密流量的「開創性的手段」。GCHQ的一份檔案警告說，「這些手段是訊號情報專案中最脆弱的一部分，不慎披露這一簡單的「事實」可能會警醒對手，並立即導致該手段的無效化。」 ^[30]另一份內部檔案指出，「它們不存在『必要知悉（英語：need to know）』」。包括布魯斯·施奈爾和克里斯多福·索霍安（英語：Christopher Soghoian）在內的許多專家紛紛猜測，這是指對RC4的成功攻擊，這種1987年的加密演算法仍在至少50%的SSL/TLS的流量中使用，並考慮到RC4有數個已知的弱點，這是一個合理的途徑。^[35]其他人則猜測，NSA已獲得破解1024位元RSA和迪菲-赫爾曼金鑰交換公鑰的能力。^[36]一組研究人員指出，一些非一次性的1024位元素數在迪菲-赫爾曼金鑰交換的實現中廣泛重用，且NSA對這些素數進行了預先計算，以利用它們來即時的攻破加密。^[37]

Bullrun計劃受到了爭議，因為有觀點認為，NSA在其NOBUS（英語：NOBUS）（Nobody but us)政策下故意插入或自己保留漏洞而不披露，會影響守法的美國公民以及NSA的目標。^[38]從理論上講，國家安全局有兩個工作：防止影響美國的漏洞，以及發現以打擊美國為目標的漏洞；但是正如布魯斯·施奈爾所論證的，NSA似乎優先考慮發現（甚至建立）並自行保留而不披露漏洞。布魯斯·施奈爾呼籲將NSA分解，以使負責加強加密的小組不會屈服於想要攻破其目標之加密的小組。^[39]

智慧型手機的上儲存數據的加密

在2013年，美國前中央情報局雇員愛德華·史諾登爆出稜鏡計劃後，很多分析認為該稜鏡計劃透露出，情報機構可合法地命令Google和蘋果公司繞開特定Android或iOS智慧型手機上的資料加密措施被人們所知。^[40][41][42]對此，Google和蘋果公司在2014年左右重新設計了其加密方式，使他們也沒有能力繞過加密，僅在知曉使用者密碼的前提下才能解鎖手機。^[43][44]

即是有逮捕令時也無法訪問嫌犯的資料，這對執法人員來說是難以接受的，包括歐巴馬政府的總檢察長埃里克·霍爾德^[45][45]在內的各個執法官員均對此強烈譴責。最具代表性的一則回應是，芝加哥警察部門說：「蘋果手機將成為戀童癖的首選」。^[46]《華盛頓郵報》發表社論，堅持「智慧型手機使用者必須接受，只要搜尋令有效，使用者就不可以凌駕於法律之上」，並且在同意後門受到普遍的不歡迎之後，建議利用一個「金鑰匙（golden key）」形式的後門，來讓警察憑手令解鎖數據。^[47][48]

聯邦調查局局長詹姆士·柯米列舉了一些案例以支援解密智慧型手機的需求的看法。^[49]

布魯斯·施奈爾將加密智慧型手機儲存資料的權利爭議稱為「第二次密碼戰爭」（Crypto Wars II），^[50]而科利·多克托羅稱其為「密碼戰爭的復興」（Crypto Wars redux）。^[51]

美國加利福尼亞州^[5][52]和紐約州^[53]皆有議員提出法案，提議禁止銷售採用不可破解的加密技術的智慧型手機。截至2016年2月，尚無任何法案通過。

2016年2月，聯邦調查局獲得一份法院命令，要求蘋果公司開發並進行數位簽章一份新軟體，以使聯邦調查局能夠解鎖在2015年聖貝納迪諾槍擊案中其中一名槍手處提取的iPhone 5c。^[54]蘋果對此命令提出質疑。最終，FBI雇用了第三方人員來破解該手機。另見蘋果公司與聯邦調查局加密爭端。^[55][56]

2016年4月，黛安·范士丹和理查·波爾提出了一項十分含糊的法案，該法案可能使所有形式的強加密（英語：strong encryption）被定性為刑事犯罪。^[57][58][59]

2019年12月， 美國參議院司法委員會舉行了一次關於加密和合法訪問的聽證會，重點是智慧型手機上儲存的加密資料。地方檢察官Cyrus Vance Jr.，Matt Tait教授，蘋果公司的Erik Neuenschwander和Facebook的Jay Sullivan作證。主席林賽·格雷厄姆在開幕詞中表示:「我們所有人都希望使用能夠保護我們隱私的裝置。（all of us want devices that protect our privacy.）」 他還說，執法部門應該能夠讀取裝置上儲存的加密數據，並威脅說如果必要的話，可以通過立法「你們要想辦法做到這件事，否則我們就會幫你們去做。（You’re going to find a way to do this or we’re going to do this for you.）」。"^[60][61]

配備端到端加密和負責任加密的訊息軟體

2017年10月，美國司法部副部長Rod Rosenstein（英語：Rod Rosenstein）呼籲將「負責任的加密」作為一項解決方案^[62]來解決日益「走入暗處」的問題。^[63]此術語意指法院命令和警察措施中的「竊聽」正日益無效化，因為強有力的端到端加密已越來越多地添加到廣泛使用的即時通訊軟體中。負責任的加密意味著公司需要引入金鑰代管（英語：key escrow），使他們可以在客戶忘記密碼的情況下為其提供一種恢復其加密資料的方式，從而避免永久遺失。按照Rosenstein的論證，這種局面下只留給使用者無奈是不負責任的。作為有益的副作用，指示通訊軟體業者解密數據，然後公司將能夠遵守命令提供這些數據。由業者而不是政府機構從回收來的關鍵證物解析出儲存數據，被視為一個額外的保障措施。

「前門」（多重託管）

2015年，國家安全局局長Michael S. Rogers（英語：Michael S. Rogers）建議在加密中引入「前門」而不是「後門」來進一步分權金鑰代管。^[64][65]這樣，金鑰將分為兩半，其中一半由政府機構儲存，另一半由負責加密產品的公司儲存。如此，政府仍必須獲得搜查令才能從公司取得另一半金鑰，並且該公司也無法濫用金鑰代管之權來訪問使用者資料。專家們沒有留下深刻印象。^[66]

輕量級加密

2018年，NSA推廣了「輕量級加密」的使用，尤其是其面向的物聯網裝置的加密演算法Simon（英語：Simon (cipher)）和Speck。^[67]但由於密碼學專家委員會的嚴厲批評，激起了人們對NSA擁有如何破解攻破這些演算法的非公開方法的擔憂，這些加密演算法的ISO標準化嘗試失敗了。^[68]

2015年英國呼籲禁止無「後門」的加密演算法

在2015年查理週刊總部槍擊案發生後，時任英國首相戴維·卡梅倫呼籲取締非後門加密技術，稱不應有「我們無法閱覽」的「通訊方式」。^{[7][69][70][71][72]}美國總統歐巴馬對此觀點表示贊同。^[73][74][75]

參見

• 加密演算法進口限制（英語：Restrictions on the import of cryptography）
• 通訊協助執法法
• 人權與加密（英語：Human rights and encryption）
• 40位加密（英語：40-bit encryption）