加密技术主要是窃贼、国际恐怖分子及其他恶棍干坏事的时候用——这种常见认知并不正确。
事实上,很多政府监管机构、技术人员和隐私及安全倡导者都热衷加密。加密已成为在线商务与通信的事实标准,受到世界各地技术人员和安全专家的欢迎。
相反,有些政府则惯于通过立法、监管或独裁命令来破坏加密。要求设备制造商和技术提供商实现后门就是常见做法之一,这么做往往是要破坏端到端加密以监视所谓高风险的会话。隐私权倡导者对此种行径提出了强烈抗议。
此外,或许是由于欧盟《通用数据保护条例》(GDPR) 已然生效实施,且激发了世界其他地方的隐私立法行动,大众对用户隐私的关注度也在提升。各项监管规定与来自用户的关注迫使技术供应商改变了隐私实现操作,比如说:
- 苹果在其世界开发者大会上宣布:数据隐私是一项基本人权,居于苹果所有产品的核心;
- 谷歌撤销了第三方开发者对谷歌用户数据的访问权;
- Facebook 在近期多件丑闻压力下修正公司隐私立场。
所有这些汇聚到一起,就将隐私推到了主流业务、政府和社会变迁的中心舞台。事实是,加密是数字时代保护设备及信息安全极为可靠的方法,是现代计算与协作的事实基础。虽然企业可能面临的所有问题不能经由加密全部解决,但加密确实在遭遇入侵和数据泄露时能提供有力支撑与最后的保障。
举个例子,或许有人会认为加密对防止数字资产被盗没什么用处。但网络罪犯对技术是相当敏感的,一直在提升安全保卫战的难度;事实上,公司资产每天都在被各类人士盗取。无论是放在公司网站上、政府数据库中,还是别的什么地方,只要是资产,就有被盗取的风险。而一旦数据被盗,加密就是防止窃贼利用数据的最后一道防线。
就在最近几周,涉及敏感客户信息的重大数据泄露就发生了几起:
- 美国医疗托收机构 (AMCA) 大型数据泄露事件令医疗测试巨头 Quest Diagnostics(1,190 万患者记录)和 Lab Corp(770 万患者记录)的数据落入未知黑客之手。
- 房地产产权保险巨头 First American Financial 泄露数亿数字化客户文档。
- Digital Shadows 发表的研究也报告称有 23 亿文件被盗。
- vpnMentor 研究团队的报告揭示某错误配置的云服务暴露 1,100 万张照片。
这些数据泄露事件自然占据了各大媒体头条,引发客户持续担忧,但若被泄文件加了密,情况就会大不一样了。
加密错误认知及其意外后果
如果隐私问题暂且不论,只考虑政府后门接入需求,这种动作实际上可能会招致意外的反效果。比如说,政府会强迫手机制造商安装后门,以便恐怖主义事件之类险情发生时突破加密取得信息。但只要存在这种机制,在当今网络威胁十分活跃的环境下,似乎不太可能只有政府机构能访问并利用该后门。切合实际地讲,好人和坏人都有可能利用该后门,设置后门可能引发的问题会比原本想解决的问题多得多。
关于加密,还有其他一些常见的错误认知需要消除。比如:因为很难用,只有高级用户才能利用加密技术。实际上,加密已不再仅仅是锁定硬盘,而是事关信息创建时的防护与数据传输、存储及使用过程中的策略动态更新问题。现代加密方法应用起来并不难。
另外一个常见错误认知,是加密很容易被破解。确实,资源充足的国家黑客能动用庞大算力解密受保护的资产,但这并非一般情况。说实话,换个没加密的数据存储来攻击对黑客而言更方便。
最后, 还有很多人都以为加密助长了大量不好的行为——只有窃贼/国际恐怖分子和其他大坏蛋才用加密。这种认知并不现实。加密实际上是我们数字生活的核心,驱动着以万亿美元计的安全商业行为,从银行交易到无数日常在线消费及企业服务都离不开加密。
加密塑造了虚拟世界的基础。谈及加密应用方式的时候,我们需要慢下来,分清现实与虚幻,负责任地应用该有力工具来推动系统及数据安全,让我们的现代生活方式更加惬意舒服。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】