密碼學與真名實姓的政治學
關燈
小
中
大
為“隐寫術”,它涉及在圖像中添加極其細微的“噪聲”比特(圖片有很多比特,其中大部分是多餘的)。
當然,這種“噪聲”才是真正的信号,圖像隻是一個幌子而已。
政府必須禁止進口任何未被擦除的計算機和磁性介質。
類似地,薩莫爾(RSA中的S)最近描述了一種迷人的簡單技術,涉及用投影機膠片和傳真機來實現由投影模式構成的一次性密鑰。
請回想下一次性密鑰。
給定一張包含貌似靜态的一次性密鑰的膠片,收發雙方都擁有,一方可以通過傳真發送數據和密鑰的異或結果(經典的一次性密鑰的模式),接收方可以用傳真将膠片排成一隊,并恢複數據,其他人得到随機噪聲。
一次性密鑰膠片甚至可以制作成一張(非噪聲)圖片的樣子,從而隐藏其真正的用途。
這些技術将會擊敗任何海關檢查員,他們隻能看到(隐寫的)圖片,或是隻看到傳真,或隻看到膠片(在薩莫爾的一次性密鑰傳真系統中)。
擊敗這種傳遞機制需要擺脫傳真機,但無論如何,人們總可以使用紙質郵件來發送加密數據。
另外,那些試圖拒絕強加密系統商用的政府則要容易得多。
目前正在努力實現這一目标的政府包括美國聯邦政府、俄羅斯和歐洲共同體的大部分國家,都是剛剛起步(法國已經完全禁止非法的加密,除非政府被授予了密鑰。
法國和德國都需要密鑰注冊,出于競争的原因,法國政府經常監視國外公司設在法國的附屬機構,諸如IBM這樣的龍頭公司會定期發送虛假情報的“加密”鍊接給他們在法國的子公司)。
不同于個人,公司可以通過他們銷售的産品來看到。
這意味着,通過法律禁止特定種類的産品(從而控制他們的商業分銷)比控制高動機個體的私人使用更容易。
在美國,通過法律禁止所有先進密碼學的使用從未真正成功,因此,政府允許公司制造強密碼産品。
然而,對于他們是否能出口這些商品,商務部和國家安全局有着巨大的影響力,這些部門可以利用每一個比特。
簡言之,使用的密鑰超過了四十比特(從而使可能的密鑰空間超過了可以輕易搜索到的空間),或實現了加密會話的能力的(與一個僅用于身份驗證的簡單的數字簽名截然相反)任何加密産品在沒有特殊豁免(通常不會授予)的前提下出口到美國和加拿大以外的地區都是非法的——這通常都不被批準。
這怎麼可能?因為美國的加密産品受《國際武器貿易條例》(ITAR)的管制,認為它們是“軍火”,就像炸藥一樣。
ITAR可以是一種強大的武器。
通過禁止把強加密輕易出口到海外,ITAR意味着把加密技術用于自己産品中的美國制造商有兩個選擇:其一是做一個加強版本用于國内,再做一個弱化版本用于國際出口;其二是在所有地方都使用弱版本。
由于制造和儲備兩種不同産品的成本要遠遠高于一種産品,大多數美國公司都選擇後者作為解決方案。
這意味着,即使在國内,消費者得到的也隻是脆弱的保護,甚至根本沒有保護。
例如,蜂窩系統的世界領導者摩托羅拉沒有加密手機,因為他們為了出口不得不削弱加密(歐洲共同體也在效仿,最近發布的用于數字手機的跨歐洲标準GSM包含了非常安全的A5加密,卻在最後關頭被要求變更為薄弱很多的A5X,以确保政府可以竊聽。
沒有這個改變,手機就無法出口。
但是現在,一個标準分裂成至少兩個,市場也混亂不堪)。
使加密産品服從ITAR的背後官方想法源于冷戰思想,限制加密工具的出口對我們對手的傷害大于對我們自己的傷害。
然而,任何一個政府隻要願意都可以很容易地制作自己的加密工具。
正如上文所詳述的,所需要的技術是衆所周知的。
冷戰結束以來,其他的“妖魔”已經開始進入公共讨論當中,即所謂的“國家信息基礎設施的四騎士”——毒品販子、無名外國恐怖分子、有組織犯罪、兒童色情。
然而,“四騎士”中的每一個都有動機和能力通過非官方産品使用強加密。
此外,聯邦政府也知道這一點,上面的商業研究隻是衆多案例中的一個。
那麼,ITAR對密碼學的限制是什麼? 正如曾為前副總統阿爾·戈爾負責基礎設施政策的湯姆·卡利爾對一位麻省理工學院的觀衆所解釋的,“我們正在采取拖延戰術”,讓美國公民無法獲得強加密技術,以便使他們的通信更容易被執法機關竊聽——表面上是為了抓捕“四騎士”。
然而,卡利爾承認,“四騎士”卻可以使用密碼(而且确實在用),即便他們可能無法馬上買到現成的。
于是,他立刻被問道:“你的威脅模式是什麼?例如,你真正想阻止的是什麼?”他的回答:“我無可奉告。
”不幸的是,ITAR所針對的實際威脅不是含混不清的就是保密的,但這就是事實(很可能,“拖延行動”正在試圖阻止商用強加密,直到能夠破解這種加密的量子計算機變成現實。
這是筆者的推測:在官方圈子裡,你不會發現任何人願意說這樣的話)。
在延緩公民獲得強加密的鬥争中,ITAR确實是一種有力的武器。
它的部分力量來自圍繞其使用的“恐懼、不确定和懷疑”(FUD)。
例如,由于加密系統是否被視為出口的詳細原則并未寫明,我們事先無法知道在“四十比特規則”(本身不是法律,隻是一種習慣)下未涵蓋的系統是否可以出口。
由于獲得出口批準可能需要多年時間,這比大多數軟件(甚至硬件)産品的壽命還要長幾倍,因此企業會顯得很弱勢。
另一個例子,PGP的原作者菲爾·齊默爾曼被指控違反了ITAR,因為PGP的副本在海外被找到了,盡管沒有證據表明他出口了這些副本(可能是被任意互聯網用戶出口的,犯罪嫌疑人的數目數以百萬計)。
經過兩年的法律鬥争,調查終于結束了,司法部沒有給出任何解釋——兩年來,齊默爾曼進入美國時都會被海關攔住、搜查、審問,除了司法部對他懷恨在心外,并沒有任何明确的理由。
事實上,圍繞ITAR的FUD因素可能會産生可笑的後果——當然,如果政府監視公民導緻公民自由受到潛在威脅被忽略的話。
以“機器可讀性”問題為例,上文提到過的布魯斯·施奈爾的《應用密碼學》是這個領域的經典。
這本書有加密系統的源代碼實例。
20世紀70年代,美國政府嘗試任何關于加密程序的出口或公開讨論要麼“天生保密”(如核武器技術),要麼受國家安全局的事先審查,這一嘗試最終失敗。
美國政府未能通過一項行政命令或法律規定禁止美國密碼學家去參加海外會議,以及在國際期刊上發表論文。
這種失敗也意味着像《應用密碼學》這樣的書在美國出口是不會被法律允許的。
然而,電子媒體并不像它的印刷品表親那麼幸運。
不同于許多人對印刷品的肯定,電子媒體在第一修正案中從未得到明确的保護,因而受到ITAR的支配。
特别是出口用與《應用密碼學》中相同的源代碼制作成的軟盤是不合法的,表面上因為它是“機器可讀的形式”。
人們認為,手動輸入書中的程序,和用掃描儀掃描它們并沒有什麼區别,然而軟盤仍然無法出口。
結果,一個聰明的英國人想出了一個四行的Perl腳本(一個微小的程序),實現了RSA。
他把它出口到了美國,方法是把它放進他發送的電子郵件的簽名檔中。
這個四行程序在美國被挑選出來,制成了一件T恤,相同的幾百個字符變成了機器可讀的條形碼,也印在了T恤上。
這件T恤可能因為上面的條形碼而無法出口,因而也成了一個古怪的政治抗議。
這對美國實業造成的損害是巨大的(對公民自由的損害将在下面讨論)。
因為其他國家可以自由制定自己的法律,并不禁止将加密産品出口到美國,因而美國的消費者通常面臨一個有趣的選擇:買劣質的美國貨,或購買外國産品保護自己的隐私。
許多美國公司都在國會做證說,這些政策削弱了其競争力,不僅在國内,也在國外市場,因為他們的技術被視為劣等貨——這是一個極具諷刺意味的結果,因為人們認為這些技術大多是美國發明的。
對于那些因為希望出口産品(不是寫學術論文)而移民國外(如澳大利亞,那裡不禁止加密出口)的美國知名密碼學家來說,這也是一個盡人皆知的問題。
當然,這意味着澳大利亞可以從美國研究人員的培訓和背景,以及他們所使用
當然,這種“噪聲”才是真正的信号,圖像隻是一個幌子而已。
政府必須禁止進口任何未被擦除的計算機和磁性介質。
類似地,薩莫爾(RSA中的S)最近描述了一種迷人的簡單技術,涉及用投影機膠片和傳真機來實現由投影模式構成的一次性密鑰。
請回想下一次性密鑰。
給定一張包含貌似靜态的一次性密鑰的膠片,收發雙方都擁有,一方可以通過傳真發送數據和密鑰的異或結果(經典的一次性密鑰的模式),接收方可以用傳真将膠片排成一隊,并恢複數據,其他人得到随機噪聲。
一次性密鑰膠片甚至可以制作成一張(非噪聲)圖片的樣子,從而隐藏其真正的用途。
這些技術将會擊敗任何海關檢查員,他們隻能看到(隐寫的)圖片,或是隻看到傳真,或隻看到膠片(在薩莫爾的一次性密鑰傳真系統中)。
擊敗這種傳遞機制需要擺脫傳真機,但無論如何,人們總可以使用紙質郵件來發送加密數據。
另外,那些試圖拒絕強加密系統商用的政府則要容易得多。
目前正在努力實現這一目标的政府包括美國聯邦政府、俄羅斯和歐洲共同體的大部分國家,都是剛剛起步(法國已經完全禁止非法的加密,除非政府被授予了密鑰。
法國和德國都需要密鑰注冊,出于競争的原因,法國政府經常監視國外公司設在法國的附屬機構,諸如IBM這樣的龍頭公司會定期發送虛假情報的“加密”鍊接給他們在法國的子公司)。
不同于個人,公司可以通過他們銷售的産品來看到。
這意味着,通過法律禁止特定種類的産品(從而控制他們的商業分銷)比控制高動機個體的私人使用更容易。
在美國,通過法律禁止所有先進密碼學的使用從未真正成功,因此,政府允許公司制造強密碼産品。
然而,對于他們是否能出口這些商品,商務部和國家安全局有着巨大的影響力,這些部門可以利用每一個比特。
簡言之,使用的密鑰超過了四十比特(從而使可能的密鑰空間超過了可以輕易搜索到的空間),或實現了加密會話的能力的(與一個僅用于身份驗證的簡單的數字簽名截然相反)任何加密産品在沒有特殊豁免(通常不會授予)的前提下出口到美國和加拿大以外的地區都是非法的——這通常都不被批準。
這怎麼可能?因為美國的加密産品受《國際武器貿易條例》(ITAR)的管制,認為它們是“軍火”,就像炸藥一樣。
ITAR可以是一種強大的武器。
通過禁止把強加密輕易出口到海外,ITAR意味着把加密技術用于自己産品中的美國制造商有兩個選擇:其一是做一個加強版本用于國内,再做一個弱化版本用于國際出口;其二是在所有地方都使用弱版本。
由于制造和儲備兩種不同産品的成本要遠遠高于一種産品,大多數美國公司都選擇後者作為解決方案。
這意味着,即使在國内,消費者得到的也隻是脆弱的保護,甚至根本沒有保護。
例如,蜂窩系統的世界領導者摩托羅拉沒有加密手機,因為他們為了出口不得不削弱加密(歐洲共同體也在效仿,最近發布的用于數字手機的跨歐洲标準GSM包含了非常安全的A5加密,卻在最後關頭被要求變更為薄弱很多的A5X,以确保政府可以竊聽。
沒有這個改變,手機就無法出口。
但是現在,一個标準分裂成至少兩個,市場也混亂不堪)。
使加密産品服從ITAR的背後官方想法源于冷戰思想,限制加密工具的出口對我們對手的傷害大于對我們自己的傷害。
然而,任何一個政府隻要願意都可以很容易地制作自己的加密工具。
正如上文所詳述的,所需要的技術是衆所周知的。
冷戰結束以來,其他的“妖魔”已經開始進入公共讨論當中,即所謂的“國家信息基礎設施的四騎士”——毒品販子、無名外國恐怖分子、有組織犯罪、兒童色情。
然而,“四騎士”中的每一個都有動機和能力通過非官方産品使用強加密。
此外,聯邦政府也知道這一點,上面的商業研究隻是衆多案例中的一個。
那麼,ITAR對密碼學的限制是什麼? 正如曾為前副總統阿爾·戈爾負責基礎設施政策的湯姆·卡利爾對一位麻省理工學院的觀衆所解釋的,“我們正在采取拖延戰術”,讓美國公民無法獲得強加密技術,以便使他們的通信更容易被執法機關竊聽——表面上是為了抓捕“四騎士”。
然而,卡利爾承認,“四騎士”卻可以使用密碼(而且确實在用),即便他們可能無法馬上買到現成的。
于是,他立刻被問道:“你的威脅模式是什麼?例如,你真正想阻止的是什麼?”他的回答:“我無可奉告。
”不幸的是,ITAR所針對的實際威脅不是含混不清的就是保密的,但這就是事實(很可能,“拖延行動”正在試圖阻止商用強加密,直到能夠破解這種加密的量子計算機變成現實。
這是筆者的推測:在官方圈子裡,你不會發現任何人願意說這樣的話)。
在延緩公民獲得強加密的鬥争中,ITAR确實是一種有力的武器。
它的部分力量來自圍繞其使用的“恐懼、不确定和懷疑”(FUD)。
例如,由于加密系統是否被視為出口的詳細原則并未寫明,我們事先無法知道在“四十比特規則”(本身不是法律,隻是一種習慣)下未涵蓋的系統是否可以出口。
由于獲得出口批準可能需要多年時間,這比大多數軟件(甚至硬件)産品的壽命還要長幾倍,因此企業會顯得很弱勢。
另一個例子,PGP的原作者菲爾·齊默爾曼被指控違反了ITAR,因為PGP的副本在海外被找到了,盡管沒有證據表明他出口了這些副本(可能是被任意互聯網用戶出口的,犯罪嫌疑人的數目數以百萬計)。
經過兩年的法律鬥争,調查終于結束了,司法部沒有給出任何解釋——兩年來,齊默爾曼進入美國時都會被海關攔住、搜查、審問,除了司法部對他懷恨在心外,并沒有任何明确的理由。
事實上,圍繞ITAR的FUD因素可能會産生可笑的後果——當然,如果政府監視公民導緻公民自由受到潛在威脅被忽略的話。
以“機器可讀性”問題為例,上文提到過的布魯斯·施奈爾的《應用密碼學》是這個領域的經典。
這本書有加密系統的源代碼實例。
20世紀70年代,美國政府嘗試任何關于加密程序的出口或公開讨論要麼“天生保密”(如核武器技術),要麼受國家安全局的事先審查,這一嘗試最終失敗。
美國政府未能通過一項行政命令或法律規定禁止美國密碼學家去參加海外會議,以及在國際期刊上發表論文。
這種失敗也意味着像《應用密碼學》這樣的書在美國出口是不會被法律允許的。
然而,電子媒體并不像它的印刷品表親那麼幸運。
不同于許多人對印刷品的肯定,電子媒體在第一修正案中從未得到明确的保護,因而受到ITAR的支配。
特别是出口用與《應用密碼學》中相同的源代碼制作成的軟盤是不合法的,表面上因為它是“機器可讀的形式”。
人們認為,手動輸入書中的程序,和用掃描儀掃描它們并沒有什麼區别,然而軟盤仍然無法出口。
結果,一個聰明的英國人想出了一個四行的Perl腳本(一個微小的程序),實現了RSA。
他把它出口到了美國,方法是把它放進他發送的電子郵件的簽名檔中。
這個四行程序在美國被挑選出來,制成了一件T恤,相同的幾百個字符變成了機器可讀的條形碼,也印在了T恤上。
這件T恤可能因為上面的條形碼而無法出口,因而也成了一個古怪的政治抗議。
這對美國實業造成的損害是巨大的(對公民自由的損害将在下面讨論)。
因為其他國家可以自由制定自己的法律,并不禁止将加密産品出口到美國,因而美國的消費者通常面臨一個有趣的選擇:買劣質的美國貨,或購買外國産品保護自己的隐私。
許多美國公司都在國會做證說,這些政策削弱了其競争力,不僅在國内,也在國外市場,因為他們的技術被視為劣等貨——這是一個極具諷刺意味的結果,因為人們認為這些技術大多是美國發明的。
對于那些因為希望出口産品(不是寫學術論文)而移民國外(如澳大利亞,那裡不禁止加密出口)的美國知名密碼學家來說,這也是一個盡人皆知的問題。
當然,這意味着澳大利亞可以從美國研究人員的培訓和背景,以及他們所使用