在全球大规模秘密监控数据和监听通话的美国国家安全局正在国际机构参与加密标准制订。
尽管这家情报机构提出的加密技术在论证过程中受到广泛质疑和抵制,但是目前距离成为国际标准仅一步之遥。
谍影重重
路透社21日援引多名知情人士的话及内部往来电子邮件的内容报道,美方2014年向国际标准化组织推荐国安局开发的两款数据加密技术,分别名为“西蒙”和“斯佩克”。参加标准讨论的美方代表团成员包括国安局官员。
国安局方面称,这两款加密技术既能保护美国政府部门电脑和通信设备,又不消耗大量计算能力。国安局希望这种技术能被与政府做生意的企业采用,如果被定为国际标准,实现这一目标的可能性将增加。
但是,由于国安局承包商前雇员爱德华·斯诺登曝光了“棱镜”大规模监控项目,参加国际标准化组织技术讨论的许多专家对美方的动机产生怀疑,担心国安局开发的这两项技术有“后门”。这些专家在往来电子邮件和论证评价中表达了这一忧虑。
即使来自美国盟国的专家也对国安局加密技术的安全性存有疑虑。日本代表团团长松尾慎一郎(音译)说,美方2014年提交方案之初,多个国家的专家就提出保留意见。以色列代表团成员、海法大学计算机科学教授奥尔·邓克尔曼说:“我不信任设计者。”
被问及国安局自身是否能破解这两项加密技术时,国安局方面没有明确回答,只是告诉路透社记者:“我们坚信它们的安全性。”
国安局还表示,这是两项“防御性”技术。但是,曾领导国安局防御性加密技术开发部门的柯蒂斯·杜克斯告诉路透社记者,他的部门没开发过“西蒙”和“斯佩克”,因为相似加密技术已经存在,“有理由质疑这两项技术是否必要”。
杜克斯领导的部门已经解散,他今年早些时候退休。
这种不信任还源于本世纪初国际标准化组织通过的一项同样来自美国国安局的加密技术。2007年,业界专家发现,这项技术可能暗藏“后门”,理论上能帮助美国国安局在不被发现的情况下截获通信内容。路透社报道,美国政府曾向美国RSA网络安全公司支付1000万美元,把这项加密技术嵌入一种在世界范围内使用的软件开发工具。
国际标准化组织及其他标准制订组织随后不再支持这项技术。英国代表团成员克里斯·米切尔说,虽然迄今没人成功破解“西蒙”和“斯佩克”加密技术,但国安局早先提供的技术涉嫌留“后门”事件曝光后,“对美国政府参与标准制订的信任已经荡然无存”。
美方则继续力推“西蒙”和“斯佩克”。在2015年10月的会议上,美方代表团中的国安局官员质疑反对者的专业能力。与会的德国代表克里斯蒂安·文策勒—本纳随后向数十名专业人士发送电子邮件,希望他们一起反对把美方技术定为标准。他写道,德方代表团7名成员一致对美方技术抱有“严重忧虑”,国安局先前提供的技术已经使国际标准化组织的安全标准信誉受损,难以期望企业和个人认可同样基于国安局技术的新标准。
明年成国际标准?
在美方的坚持推动下,2016年10月国际标准化组织的会议上,多数专家以个人身份支持这两项技术。但是,在后续以国别为单位的表决中,它们以一票之差遭否决。
最终,在2017年3月的会议上,美方顺应了其他代表团提出的要求之一,发布了一份技术开发说明和破解测试概要。
美方在会上还做出另一项妥协。“西蒙”和“斯佩克”分别针对硬件和软件,各自包括“重量级”和“轻量级”版本。美方同意撤回多数“轻量级”版本。
今年8月的会议上,“重量级”版本仅以一票优势通过,但是日本、德国和以色列代表团仍投了反对票。
最终投票定于明年2月举行。
美国代表团中的牵头方美国国家标准化研究所表示,这一机构只是向国际标准化组织提交而并非支持国安局的方案。