3 月 24 日,欧盟管理机构宣布《数字市场法案》(Digital Markets Act,简称DMA)已达成共识,将会对欧洲的大型科技公司进行全面的监管。作为一项具有深远影响的雄心勃勃的法律,该法案中最引人注目的措施将要求每个大型科技公司(在欧盟拥有超过 750 亿欧元的市值或超过 4500 万人的用户群)创造可与小型平台互操作的产品。
对于信息应用来说,这将意味着让 WhatsApp 这样的端到端加密服务与 SMS 这样不太安全的协议混在一起--安全专家担心这将破坏在信息加密领域来之不易的成果。
DMA的主要关注点是一类被称为“守门人”(gatekeepers)的大型科技公司,这类公司的定义是其受众或收入的规模,并延伸到他们能够对较小的竞争对手行使的结构性权力。通过新的法规,政府希望“开放”这些公司提供的一些服务,以允许小型企业参与竞争。这可能意味着让用户在 App Store 之外安装第三方应用程序,让外部卖家在亚马逊搜索中排名更靠前,或者要求消息应用程序在多个协议中发送文本。
但这可能会给承诺端到端加密的服务带来真正的问题:密码学家的共识是,如果不是不可能,也很难在应用程序之间保持加密,这可能会对用户产生巨大影响。Signal 受到影响很小,不会受到 DMA 条款的影响,但 WhatsApp--使用 Signal 协议并由 Meta 拥有--肯定会受到影响。其结果可能是,WhatsApp 的部分(如果不是全部)端到端信息加密被削弱或取消,使 10 亿用户失去了私人信息的保护。
鉴于需要精确地执行加密标准,专家们说,没有一个简单的解决方案可以调和加密信息服务的安全性和互操作性。知名互联网安全研究员、哥伦比亚大学计算机科学教授史蒂文-贝罗文(Steven Bellovin)说,实际上,没有办法将具有不同设计特点的应用程序的不同加密形式融合在一起。
Bellovin 说:“试图调和两种不同的加密架构根本不可能做到;一方或另一方将不得不做出重大改变。一个只有在双方都在线的情况下才能工作的设计与一个在存储信息的情况下工作的设计看起来会非常不同....。你如何使这两个系统互通有无?”
Bellovin说,使不同的信息服务兼容可能会导致最低共同标准的设计方法,其中使某些应用程序对用户有价值的独特功能被剥离,直到达到一个共同的兼容性水平。例如,如果一个应用程序支持加密的多方通信,而另一个不支持,维持它们之间的通信通常需要放弃加密。
另外,DMA提出了另一种方法让隐私倡导者来说同样不满意:在两个加密方案不兼容的平台之间发送的信息在它们之间传递时被解密和重新加密,打破了"端到端"的加密链,为不良行为者的拦截创造了一个漏洞。
Muffett 表示:“这就像是你走进麦当劳,为了打破行业垄断现在要求你订单必须要有来自其他餐厅的寿司拼盘。当要求的寿司从表面上要求的寿司店通过快递到达麦当劳时,会发生什么?麦当劳能否以及是否应该向顾客提供这种寿司?快递员是合法的吗?它是安全准备的吗?”
目前,每个信息服务都对自己的安全负责--穆菲特和其他人认为,通过要求互操作性,一个服务的用户会暴露在可能由另一个服务引入的漏洞中。归根结底,整体安全只有在最薄弱的环节才是最强大的。