端对端加密的确可以被绕过,但不是那么容易被破解。
由于美国对WL创始人的起诉,一些中国朋友再次谈及WL曾经发布过的经典文件,其中之一就是 Vault 7;这套泄漏文件的确非常惊人,它展示了中情局的黑客工具无孔不入的危险程度。
对于普通互联网用户来说,该文件中提示的技术工具引起了一个争议 —— “如果间谍已经可以入侵端对端加密应用,那端对端还有用吗?”
如果您自2013年5月以来在任何时候使用过互联网,您可能都听说过这样的建议:要使用加密通信。斯诺登揭露的大规模监视显示间谍机构一直在记录所有人的电话、短信和电子邮件,这引发了加密应用和服务的开发和使用的激增。
仅仅几年后,加密技术就被广泛用于日常通信,这是斯诺登带来的最明显变化之一,虽然监视本身并没有被阻止。
如果您使用这些加密工具,可能也听说过 “端到端加密” 或 “E2EE” 这个词。这个概念很直接:端到端意味着内容从一个端点(通常是你的手机或电脑)到另一个端点(你的信息的预期收件人的手机或电脑)进行加密。但这对于我们这些用户来说,它承诺的安全程度究竟如何呢?
自特朗普执政以来,美国海关和边境保护局(CBP)加强了对旅客隐私的侵犯。CBP一直要求搜查美国公民和所有游客的手机和笔记本电脑,他们还要求旅客提供密码或登录个人的社交媒体账户,以允许当局搜查。不遵守的旅行者将面临被拒绝入境的威胁。
2017年3月7日,Wikileaks 公布了大量泄露的中情局文件 Vault 7,包括中情局花钱买来的漏洞和漏洞知识,并对公众保密。现在这些信息已经泄露,知道这些漏洞的不再只是中情局,而是所有人。
换句话说,您的对手不再只有那些间谍,而是知道怎么使用这些技术的任何坏蛋。
然而《纽约时报》和其他主流媒体的报道对此的解释是错误的,他们说,“中央情报局破坏了 Signal 和 WhatsApp 等应用程序中的加密”,而实际上,中央情报局所做的是针对性地损害了特定人群的 Android 设备。
简而言之,这一揭露反而证实了使用端到端加密通信的重要性,它阻碍了国家层面的行为者进行大规模监控的能力。E2EE仍然很重要。
有关 Vault 7 的许多媒体解读给人的印象是,诸如 Signal 之类的加密应用已被破坏。而实际上,入侵是在设备级别上的 —— 也就是 “端”。没有理由相信加密本身不起作用。
那么,危险在哪里?
首先,重要的是要明白,如果你能读到一条信息,那就说明它是明文 —— 也就是说,不再是加密的。通过端对端加密,安全链中的薄弱环节就是你和你的设备,以及你的收件人和他们的设备。如果你的收件人可以读取你的信息,任何可以访问他们设备的人也同样可以读取这条信息。
一个卧底警察可以偷窥你的收件人的手机以读取你发送的信息 —— 比如肩膀冲浪,或者警察可以没收你的收件人的设备并将其破解。如果这些风险中有任何一种可能发生,你应该在发送任何你不想与政府间谍分享的东西之前三思而行。
思考方式至关重要!安全不是一个人能完成的工作,也不是哪个软件能帮您做到的,您需要科学的协作才能真正获得安全
“Vault 7” 的泄漏恰恰证实了这点,它展示了如果你的对手(如CIA)获得了你的电子设备、或你的联系人的电子设备的物理访问权限,并能够解锁它,像 Signal、WhatsApp 和 Telegram 这样的应用程序就完全没用了。