應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

安全專家擔憂歐盟DMA會破壞WhatsApp等應(yīng)用的端到端加密

2022-03-29 09:53 cnBeta.COM

導讀:目前,每個信息服務(wù)都對自己的安全負責--穆菲特和其他人認為,通過要求互操作性,一個服務(wù)的用戶會暴露在可能由另一個服務(wù)引入的漏洞中。歸根結(jié)底,整體安全只有在最薄弱的環(huán)節(jié)才是最強大的。

3 月 24 日,歐盟管理機構(gòu)宣布《數(shù)字市場法案》(Digital Markets Act,簡稱DMA)已達成共識,將會對歐洲的大型科技公司進行全面的監(jiān)管。作為一項具有深遠影響的雄心勃勃的法律,該法案中最引人注目的措施將要求每個大型科技公司(在歐盟擁有超過 750 億歐元的市值或超過 4500 萬人的用戶群)創(chuàng)造可與小型平臺互操作的產(chǎn)品。

ibc6y8tn.webp

對于信息應(yīng)用來說,這將意味著讓 WhatsApp 這樣的端到端加密服務(wù)與 SMS 這樣不太安全的協(xié)議混在一起--安全專家擔心這將破壞在信息加密領(lǐng)域來之不易的成果。

DMA的主要關(guān)注點是一類被稱為“守門人”(gatekeepers)的大型科技公司,這類公司的定義是其受眾或收入的規(guī)模,并延伸到他們能夠?qū)^小的競爭對手行使的結(jié)構(gòu)性權(quán)力。通過新的法規(guī),政府希望“開放”這些公司提供的一些服務(wù),以允許小型企業(yè)參與競爭。這可能意味著讓用戶在 App Store 之外安裝第三方應(yīng)用程序,讓外部賣家在亞馬遜搜索中排名更靠前,或者要求消息應(yīng)用程序在多個協(xié)議中發(fā)送文本。

但這可能會給承諾端到端加密的服務(wù)帶來真正的問題:密碼學家的共識是,如果不是不可能,也很難在應(yīng)用程序之間保持加密,這可能會對用戶產(chǎn)生巨大影響。Signal 受到影響很小,不會受到 DMA 條款的影響,但 WhatsApp--使用 Signal 協(xié)議并由 Meta 擁有--肯定會受到影響。其結(jié)果可能是,WhatsApp 的部分(如果不是全部)端到端信息加密被削弱或取消,使 10 億用戶失去了私人信息的保護。

鑒于需要精確地執(zhí)行加密標準,專家們說,沒有一個簡單的解決方案可以調(diào)和加密信息服務(wù)的安全性和互操作性。知名互聯(lián)網(wǎng)安全研究員、哥倫比亞大學計算機科學教授史蒂文-貝羅文(Steven Bellovin)說,實際上,沒有辦法將具有不同設(shè)計特點的應(yīng)用程序的不同加密形式融合在一起。

Bellovin 說:“試圖調(diào)和兩種不同的加密架構(gòu)根本不可能做到;一方或另一方將不得不做出重大改變。一個只有在雙方都在線的情況下才能工作的設(shè)計與一個在存儲信息的情況下工作的設(shè)計看起來會非常不同....。你如何使這兩個系統(tǒng)互通有無?”

Bellovin說,使不同的信息服務(wù)兼容可能會導致最低共同標準的設(shè)計方法,其中使某些應(yīng)用程序?qū)τ脩粲袃r值的獨特功能被剝離,直到達到一個共同的兼容性水平。例如,如果一個應(yīng)用程序支持加密的多方通信,而另一個不支持,維持它們之間的通信通常需要放棄加密。

另外,DMA提出了另一種方法讓隱私倡導者來說同樣不滿意:在兩個加密方案不兼容的平臺之間發(fā)送的信息在它們之間傳遞時被解密和重新加密,打破了"端到端"的加密鏈,為不良行為者的攔截創(chuàng)造了一個漏洞。

Muffett 表示:“這就像是你走進麥當勞,為了打破行業(yè)壟斷現(xiàn)在要求你訂單必須要有來自其他餐廳的壽司拼盤。當要求的壽司從表面上要求的壽司店通過快遞到達麥當勞時,會發(fā)生什么?麥當勞能否以及是否應(yīng)該向顧客提供這種壽司?快遞員是合法的嗎?它是安全準備的嗎?”

目前,每個信息服務(wù)都對自己的安全負責--穆菲特和其他人認為,通過要求互操作性,一個服務(wù)的用戶會暴露在可能由另一個服務(wù)引入的漏洞中。歸根結(jié)底,整體安全只有在最薄弱的環(huán)節(jié)才是最強大的。