政府要求系統開設後門
較早前美國華盛頓郵報報道,英國政府可能利用《調查權法案》向蘋果施壓,要求在帳戶設置後門,允許英國政府存取任何蘋果用戶的iCloud進階加密儲存。政府的理據是打擊非法活動,而民眾關心的是基本私隱的權利受到侵犯。事件亦引起其它國家關注,因為一旦設置後門,就可能取得別國用戶資料,影響全球所有用家。在民主國家,或許在制度上仍有一定制衡,極權國家就可被濫用。除此之外,一旦設置後門,整個系統的資訊安全便出現新的弱點,一來後門可被內部有權限的人利用,鼓勵滲透活動,二來亦可受黑客攻擊,再有就是萬一後門外洩,後果更是災難性。消費者的信心每每建基於產品的安全性,私隱受到保障,任何產品一旦被揭發或表明有後門,品牌價值將大受影響。除了極權地區剝削民眾選擇權,這些產品將被市場力量唾棄。問題是即使政府強迫設置後門,並不能達到其目的,因為任何服務只要表明有後門,有組織的不法份子當然有所準備,預先自行加密,或採用其它途徑,又怎會給後門機會?反過來是政府官員及企業不留神,敏感資訊被他人經後門竊取。倒不如花精力堵截來自極權國家傾銷電子設備的後門及安全隱患更迫切。
密匙存放位置你要知
為何只針對蘋果的進階數據保護?其實上傳iCloud的部份資料,例如個人筆記及照片等,蘋果預設解密鎖匙存放於伺服器,法例已賦予執法者要求提供解密鎖匙,理論上蘋果無可反駁。但進階數據保護是特別功能,當用戶啟動時就可對儲存iCloud的資料進行額外加密,鎖匙留在裝置,蘋果並無解密鎖匙,這就是「後門」要求的由來。事件帶出一個重點,誰擁有解密鎖匙,誰人就可取得資料。所以確保你是解密鎖匙的唯一擁有者,且鎖匙不曾對外分享,對私隱極其關鍵。筆者經常宣傳一個簡單概念,密碼就是生成密匙的關鍵部份,任何聲稱資料加密儲存的服務,如果你忘記密碼,服務商能夠提供一個連結,讓你可以直接重設密碼,這個舉動已可肯定這個服務管有你的解密鎖匙,否則系統根本不可能再解密你的資料,更遑論設定新密碼取回資料。筆者使用的重要數碼服務,在建立帳戶時必提出警告,若失去密碼,將無法復原,必須預設另一復原方案,而這個復原方案的運作是利用復原字串或金鎖,將解密鎖匙加密,然後才存於系統,所以系統並無直接儲存解密鎖匙。但讀者必須弄清這個邏輯關係,即使服務聲稱失去密碼不能復原,未必一定代表系統沒有你的解密鎖匙,必須經第三方獨立審計,又或設計是開源,再加上解密在裝置內進行而不是在伺服器上,才能確認用戶是解密鎖匙的唯一擁有者。
及早安排避免陷阱
事件帶出的「後門」問題,值得大家密切留意事態發展及加強防範意識。首先,請檢查所有重要帳戶,了解其重設密碼處理的方法,任何可利用連結直接更新密碼的帳戶記錄在案,並按風險逐步將這些帳戶轉移。若帳戶有提供進階保護功能,例如類似蘋果的進階資料保護,建議先啟動,並妥善儲存復原資訊。請注意,谷歌Drive及微軟One Drive暫無類似iCloud進階保護功能,若有敏感個人資料,應先加密再儲存雲端或轉移。其次,重要的電子服務,包括電郵、雲端儲存、錢包、聯絡人、日曆等,應選擇那些不儲存用戶密匙的提供者。選擇時請做足功課,以運作透明度、復原方案、及第三方審計確認為原則。讀者可參考例如Proton.me提供的方案。其三,控制裝置自動上傳雲端的資料。例如谷歌備份提供部份選擇,敏感資料夾避免上傳,並改用其它備份方法,例如直接連線。用戶可善用裝置內進階安全的儲存空間,例如谷歌Safe Folder並設定與裝置不同的PIN,由於檔案夾內容只留在裝置內,雲端伺服器並無資料。其四,敏感資料應避免利用手機處理。任何這些資料都應放在加密庫再傳送,並利用其它渠道告訴對方解密方法。即使利用穩妥的加密電子服務,筆者仍建議先加密後上傳,達到雙重保障。最後,大眾其實更要擔心反而是軟件。軟件擁有大量權限,可內藏惡意程式碼,與後門沒大分別。將安裝軟件減至最少,安裝前務必查清楚開發商底細。
極權統治的地方,無限侵犯私隱,監察所有電子通訊,法規賦予政權任意取得資料,為何詐騙活動依然頻繁,電騙無日無之,網絡犯罪層出不窮,貪腐嚴重,民眾不敢表達且互不信任?「後門」有助解決問題?看官自己評論。截稿時蘋果已移除英國用戶的iCloud進階加密儲存功能,請馬上作出準備。◇
----------------------
🎯 專題:中共海外升級攻擊法輪功
https://hk.epochtimes.com/category/專題/中共海外升級攻擊法輪功
----------------------
【不忘初衷 延續真相】
📰周末版復印 支持購買👇🏻
http://epochtimeshk.org/stores
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
