洪朝貴
朝陽科技大學資訊管理系
美國國安局 (NSA) 前外包廠商工程師 Edward Snowden 爆料 NSA 長期濫權大規模監聽/監視國內外民眾的電話及網路活動。 監聽與監視模龐大、 手段先進、 滲透至日常生活當中的手機電腦等等隨身物品。 本文簡述新聞背景, 並特別專注分析一個事件: 國際資安龍頭 RSA 公司的產品被 NSA 植入後門。 透過這個案例, 本文分析 NSA 監聽醜聞對大眾可以帶來的啟示, 並對照我國行政院 「行動裝置資通安全注意事項」 這份鼓吹公教人員安裝 MDM 技術的可疑文件, 提出一些對政府的質疑與對公民的警告。 最後並就技術、 教育、 政治、 法律等等面向提出一些可能的建議。
關鍵字: 隱私、 資訊安全、 密碼學、 政府、 竊聽、 透明化
2013 年 6 月, 美國國安局 (National Security Agency) 僱員 Edward Snowden 透過英國衛報 (The Guardian)、 德國明鏡週刊 (Der Spiegel)、 美國的華盛頓郵報及紐約時報等等媒體, 揭露 NSA 長期且全面地 (而非僅針對恐怖份子或重大罪犯嫌疑人) 監聽與監視國內外民眾。 從第一件曝光的 『稜鏡計畫』 (Prism Project) 到本文撰寫時曝光的 NSA 網路幕後寫手, NSA 踰越民眾反恐期待、 侵犯公民權利或欺騙公民的行為難以逐一列舉。 只能說這個單位令全球關注此議題的民眾對美國 「民主」 的想像幻滅。
因為從 Snowden 處取得原始文件的媒體顧及美國國安真實需要, 不能直接張貼原始文件, 所以需要花時間過濾、 消化、 撰寫摘要。 而文件的量又非常大, 所以這是一個長期的揭露過程。 長期關心資訊科技人權與隱私問題的電子前哨基金會 (Electronic Frontier Foundation) 以時間軸的方式整理了一張動態圖片, 並插入完整報導的參考連結。 [1]
隨著越來越多的報導出現, 其他國家政府配合 NSA 的秘密監聽與監視行為也逐漸曝光。 英國的政府通訊總部 (Government Communications Headquarters) 與美國的 NSA 密切合作; 加拿大、 澳洲、 紐西蘭的情治機構又加入兩者成為 『五眼聯盟』 (Five Eyes); 新加坡與南韓則是五眼聯盟布局於亞洲的眼線。
監聽與監視的範圍涵蓋手機地理位置及通話時間對象之類 (非內容) 的後設資訊 (metadata)、 手機與電話通訊內容、 (已加密或未加密的) e-mail 內容、 即時通臉書等等各種網路活動。 監聽的技術先進、 合作夥伴令人意外 -- 包含市佔率最高的微軟 Windows 作業系統, 以及全球資安產品龍頭 RSA 公司都配合 NSA 在產品內安置後門。
監聽對象/標的包含德國總統與巴西總理等等盟友領袖與外交官員, 還有友邦企業商業機密。
以下分析 RSA 後門案例, 並就技術、 教育、 政治、 法律幾個面向討論 NSA 監聽醜聞所帶來的可能啟示。
大眾的信任, 是 NSA 濫權監聽的基礎。 這裡所談的信任, 不僅僅是大眾對 NSA 本身的信任。 畢竟大眾對於一個天生不得不秘密行動的情治機構, 多少比較會保留質疑的空間。 另一方面, 當今社會主流媒體 (甚至大學) 對於資本主義運作假設幾近全盤接受, 以至於大眾高度信任那些販售資通產品、 收取消費者金錢的企業, 相信他們不可能做出傷害衣食父母 -- 顧客 -- 的事。 至於制訂國家標準的技術單位, 更因為其超然的地位與技術門檻, 可以說獲得大眾不加思索的全然信賴。 NSA 就是躲在資通大廠與國家標準制訂單位的背後, 盜用民眾對這兩者的信任來安置監聽後門。
RSA 案例最能夠說明 NSA 如何濫用其他機構與專家的信譽作為其監聽行動的白手套。
想要保護個人隱私與商業機密, 公認最佳的技術解是加密。 (順帶一提: iPhone 指紋解鎖之類的生物辨識技術是最不利消費者隱私、 最有利於國家政府監控消費者的方式之一。) MIT 三位學者 Rivest, Shamir, Adleman 在 1977 年發明了 RSA 加密演算法。 [2] 隨後他們也成立了 RSA security 公司, 專門販售資訊安全相關軟硬體產品, 成為資安界的龍頭。 後來他們所舉辦的 RSA 年會更成為資安界的重要會議。
RSA 的設計, 以一個堅不可破的概念為基礎 -- 因數分解是數學界公認沒有快速解法的難題。 RSA 以一些 「難以因數分解的超大數字」 作為其加解密的金鑰 (keys)。 如果有人能夠破解 RSA 演法, 那就表示他能破解因數分解這個千古難題。 既然到目前為止, 全球最聰明的數學家都無法提出一個通用的快速因數分解演算法, 當然 RSA 也就非常安全。
常見的金鑰長度是 1024 bits (不夠安全)、 2048 bits、 或 4096 bits, 也就是三百多位、 六百多位、 一千兩百多位的超長數字。 這當然無法人工產生, 而必須以亂數產生器 (random number generator) 產生。
美國家家標準局 (National Institute of Standards and Technology) 專門負責制定國家標準。 政府採購的資訊產品必須符合哪些資安規範, 也在其業務範圍之內; 加解密演算法應該採用哪些亂數產生器, 也是其管理項目之一。
2013 年九月, 紐約時報及衛報報導: NSA 可以破解絕大多數的加密訊息。 [3] 許多關心資訊科技議題的網友無法置信。 隨後不久, RSA 公司呼籲: 基於資安考量, 請客戶揚棄 BSAFE 系列產品當中所預設採用的亂數產生器 Dual_EC_DRBG。 到了十二月, 路透社綜合 Snowden 所公布出的機密檔案, 以及兩位知情人士之訪談, 獲知 NSA 以約三億台幣的佣金, 買通了 RSA 公司的決策階層, 在亂數產生器當中置入後門 -- 正是 Dual_EC_DRBG -- 大家終於在錯諤當中接受事實。 [4]
數學家無法破解的加密演算法, 怎麼可能藏有後門? 簡單地說, 數學家對於一般的任意數字, 無法快速有效地因數分解; 但對於某些特定類型的數字則可以。 如果亂數產生器所產生的數字, 其實並不夠亂, 其實正好屬於這類特定類型的數字, 那麼這些 「亂數」 所代表的金鑰, 當然就有可能被快速破解。 九月時筆者根據既有的學術論文白話簡要解釋以 「亂數產生器」 作為後門的手段, 理論上可能如何運作; 到了十二月, RSA 被收買的新聞爆發之後, 網友 Aris 精確地描述 Dual_EC_DRBG 後門的實際運作方式。
事實上, 早在 2005 年初, 制定類似資安標準的 ANSI X9.82 社群就已經注意到 Dan Brown 與 Scott Vanstone 對於 Dual_EC_DRBG 演算法提出專利申請並解釋如何用以藏匿後門。 2006 年 NIST 提出資安相關規範草稿意欲將 Dual_EC_DRBG 列為國家標準時, 就已有至少兩篇學術論文回應, 指出 Dual_EC_DRBG 不符合一般資安規範。 2007 年, 微軟工程師 Shumow 與 Ferguson 在 CRYPTO 資安會議上明確地指出 Dual_EC_DRBG 的問題不像是一個粗心的設計疏失, 而像是一個後門。 當時知名資安專家 Bruce Schneier 也投稿 Wired 網站, 公開呼籲大眾避免採用這個可疑的演算法。
令 (技術) 人難以置信的是: 這些抗議的聲音, 竟然被 NIST、 RSA 公司以及資訊產業長期忽略。 2007 年當時, 微軟本身也把 Dual_EC_DRBG 納入 Windows Vista SP1 (但並未設為預設使用的演算法)。 直到 2013 年紐約時報及衛報的報導出現, NIST 與 RSA 才勉強出面建議大眾勿使用; 但兩者始終都沒有承認: 當初接受 NSA 的 「建議」 將之納為標準/預設演算法是一個明顯的錯誤。 [5]
NSA 的大規模監聽活動再度提醒大眾一件重要的事: 透明化, 是博取信任的最重要第一步。 從底層的技術到上層的決策都是如此。 這件事, 在廿世紀以前有執行上的困難; 但在廿一世紀, 應該成為所有公民的常識。
「NSA 在各大作業系統植入後門」 這樣的傳聞至少從 1999 年開始就已經存在。 面對相同的質疑, 各個不同的作業系統如何回應呢? GNU/Linux 社群的回應是: 「SE Linux (由 NSA 所貢獻, 被質疑有後門的部分) 應該是核心程式碼 (kernel code) 裡面被檢視得最完善的部分, 因為較諸抓到他處的錯誤, 在這裡找到 bug 的人會更容易出名。」 「我相信很多人單單就是為了證實 NSA 的陰謀, 就很努力地在 SE Linux 這部分的程式碼特裡找後門。」 [6] 同樣把原始碼攤在陽光下、 但用戶及參與檢視原始碼人數都比 GNU/Linux 少很多的 OpenBSD 社群則不敢輕忽, 在傳聞出現之後立刻有系統地稽核程式原始碼, 最後發現並沒有後門。 [7] 另一方面, 微軟面對後門質疑, 一開始是大方地配合採訪, 但到最後挖到 Dual_EC_DRBG 的關鍵問題時, 則回應: 「軟體設計文件是微軟的智慧財產權, 恕難提供。」 [8]
RSA 的商業模式也是販售軟體, 所以當然也像微軟一樣不會公開其原始碼。 大眾對於數學的信任以及對於 RSA 技術能力的信任, 錯誤地轉移至對於其秘密的程式碼的信任。 (數學學術論文相當於公開的程式原始碼) 而智慧財產權的概念則更在一旁勸阻大眾對軟體廠商提出質疑、 讓大眾不會去思考要求檢視原始碼的可能性。
在政策層面也是如此。 Dual_EC_DRBG 後門事件全面東窗事發之後, IEEE Spectrum 上面的文章指出 NIST 其他可疑的決策, 並且表示: 「看來 NIST 如果想要大眾持續信任它作為標準制訂機構, 唯一的方式就是讓審核過程全面透明化。」 [9] 盡管 NIST 對於過去到底發生了什麼事一直沒有回應, 但對於未來的審核方式, 似乎也踏出了透明化的第一步。 [11]
以上的討論尚且還沒討論到 NSA 本身的不透明, 也沒討論到美國司法部配合 NSA 對於各大公司施以禁言令 (gag order) 阻止各大公司公佈透明報告。 單單是檢視大眾消費市場及非國安相關的一般政府單位, 就能看到政府透明化程度的嚴重不足; 改善這些方面的透明化, 對於提升民眾的信心而言, 就已經是向前邁進一大步。 反過來說, 特別是在 NSA 監聽醜聞爆發之後, 政府如果堅持繼續黑箱運作, 不僅自己將失去更多民眾的信任, 甚至也將把整個產業 -- 特別是雲端產業 -- 其他不涉醜聞的公司一起拖下水。 [10]
2013 年九月, 本校轉發一份來自行政院資通會報技術服務中心的文件, 名為 「行動裝置資通安全注意事項」。 [12] 上網搜尋, 可以看到這份文件在公教機構之間流傳甚廣。 這份 「只有單位、 沒有作者具名」 的文件處處暗示蘋果電腦的系統較 android 安全。 除了這點引人遐思之外, 從資訊安全的角度來看, 這份可疑的文件也錯誤百出。 [13]
文中主張: 「App Store 或 Google Play 上面的應用軟體比較安全」、 「Apple ID 保護手機安全」、 「取得行動裝置上的最高權限 (root) 會破壞安全防護措施」。 這類經常聽到的錯誤觀念, 我們或許可以善意地解讀為: 這位 (或這些?) 匿名的文件作者不夠了解行動裝置資通安全時事。 2011 年, 眾家手機大廠 (包含蘋果的 iPhone 及 HTC、 三星的 Android) 在美國配合電信業者搭售的產品裡, 預裝側錄/竊聽軟體 Carrier IQ。 [14] 2012 年, 加拿大多倫多大學 CitizenLab 發現: 德國公司 Gamma International 專門販售給各國政府, 以便入侵並監聽異議人士手機的側錄/監聽軟體 finfisher, 竟然獲得蘋果電腦、 Nokia、 RIM (出黑莓機的公司) 等等手機大廠某種程度的數位簽章認證。 [15] 2013 年, 網友發現: 至少從 2011 年起出廠的一系列提供 Blur 服務的 Motorola 手機, 不只側錄臉書帳密及 e-mail 內容, 還每隔九分鐘就連線回報手機設定狀態。 [16] 這些事件都不是一般的第三方潰客入侵, 而是手機廠商自主 (或配合政府) 暗中侵犯花錢消費者的隱私。 更不用說還有許多第三方入侵的案例裡, 有時手機大廠遲遲未推出防護軟體, 經常反而都是非官方網站推出封鎖安全漏洞的 (具程式原始碼) 保護軟體, 而且經常都是只有已 root 手機的用戶才能受到保護。 「行動裝置資通安全注意事項」 的作者, 顯然不知道或沒有興趣告訴公教人員正確的觀念: 手機不該 Root/越獄/刷機的理由有很多; 但 「安全」 絕對不是其中之一。 [17]
但是另外一些建議, 除了 「撰文者有意誤導閱讀者」 之外, 很難找到第二種解讀。
其中一個建議是安裝 「行動裝置管理系統」 (Mobile Device Management, MDM)。 用白話講, 這是方便 (公家/學校) 單位的網管/資訊管理人員遠端遙控使用者 (公務員/教職員) 手機與平板電腦的軟體。 該文毫不避諱地說: 「MDM 主要目的在於限制行動裝置上, 可以從事的行為, 甚至可遠端變更與清除行動裝置的內容。」 也就是控制權 (當然也包含是否要將通訊內容側錄回傳單位資訊中心的決定) 不在持有機器的使用者手上, 而在遠端的網管/資訊管理人員手上。 有趣的是, 一個月後, 資安高手破解了號稱高度安全的蘋果 iMessage 系統, 並且指出: 這個 「漏洞」 幾乎可以說是專門為 NSA 及配備 MDM 系統的各單位網管人員所量身打造的。 許多人與筆者都認為這比較像是刻意設計的後門, 而非疏失所留下的漏洞。 [18]
另一個建議是安裝 「可遠端定位並進行資料清除」 的軟體, 例如蘋果的 Find My iPhone。 但是熟悉資訊安全的人士, 絕對不會誤把 「棄權」 當做安全。 如果真的在意手機被竊, 最好的方式是加密。 如果一定要安裝 「遠端遙控軟體」, 當然應該以密碼確認的方式, 把最終控制權放在使用者手上。 以一個假設的、 不是最常發生的情境 (「如果手機被竊」) 作為安裝遙控軟體的理由, 又沒有採用正常的方式決定最終控制權在誰手上, 行政院這樣的建議很可疑。 有趣的是, 幾個月後, 美國開始推動 Smartphone Kill Switch 立法, 意欲強制手機廠商必須提供此項 「功能」。 提案者採用的, 也是相同的藉口; 而了解資訊安全的高手, 也提出相同的質疑。 這不免令人聯想起幾年前高度爭議的 「盜版三振法」, 也是在美國運作之下, 臺法韓紐各國反而先於美國通過。 [19]
臺灣政府黑箱作業的空間不輸給美國 -- 臺灣不僅沒有 Freedom of Information Act 讓公民向政府調資料, 甚至是事關全民權議的 ECFA、 服貿、 TPP 等等國際條約, 都可以黑箱作業。 那麼政府會不會操作公教人員對於行政院的信任, 藉由 「行動裝置資通安全注意事項」 植入後門, 以利政府對公教人員大規模監聽定位呢?
我們恐怕很難知道真正的答案。 因為臺灣似乎也並沒有保護吹哨揭弊者的法案。 前一陣子國安修法的設計, 甚至仿佛就是以 Snowden 類型的 (政府內部) 吹哨揭弊者為假想敵。 [20] 在這樣的氛圍下, 行政體系如果有一些侵犯公民隱私權益的監聽行為, 公教人員的道德勇氣恐怕也很難戰勝恐懼、 很難像 Snowden 一樣把真相公諸於世。 如果臺灣社會沒有覺醒, 那麼比較可能的狀況, 恐怕是大眾 -- 特別是公教人員 -- 對於政府單位的信任, 遠遠超越他們對於匿名文件的質疑, 以及對於真實資安概念的理解。 臺灣資安學界如果選擇的沉默, 將更有助於 MDM 這個後門的普及。
從個人的角度來看, NSA 的一系列監聽新聞, 或許會使大眾開始去檢視那些過去從不質疑的政府及資訊與通信產業 -- 比起質疑掌權者能力更重要的, 或許是檢視其動機。 大眾對於握有 (政治或產品) 決策權的這些強權不再盲目地信從, 將有助於減弱這些強權對大眾的控制力量。
從技術的角度來看, NSA 醜聞其中許多事件 -- 特別是 RSA 後門事件 -- 再次證實資訊安全專家的警告: 「在密碼學領域裡, 我們認為開放原始碼是資訊安全前提。」 [21] 對於一般人而言, 這句話的具體意義就是: 如果你在乎隱私與資訊安全, 不只電腦應該改用 GNU/Linux 或 OpenBSD 之類的作業系統, 手機與平板電腦也應該盡量採用 f-droid 市集而非 google play 官方市集的 apps。 [22] 「保護隱私與資訊安全」 應該是 root 手機或刷機的一個重要考量。 [17] 對於政府機關 -- 特別是總統府、 國安國防單位、 外交部或與美國政府交流密切的其他單位, 如何從置有 NSA 後門的微軟 Windows 系統轉移至開放原始碼的替代系統, 這更是迫切必須正面回應的問題。
這些知識, 應該進入國民教育。 資訊科技教育應該不只是軟體操作, 甚至也不只是激發創意。 保護個人隱私與資訊安全的常識, 應該成為國民教育資訊科技領域的一部分。
「把系統設計攤在世人 -- 包含敵人 -- 眼前, 這樣的設計比較安全」 這個概念似乎與常識背道而馳, 但卻是資訊安全學界許多大師先後獨立提出的主張。 Kerckhoffs's principle 與 Shannon's maxim 的基本概念都是如此。 [23] Bruce Schneier 進一步把這個概念擴展到資訊以外的領域:
Kerckhoffs's principle 對於程式碼與密碼學之外的一般安全領域也適用。 每個秘密都是一個潛在的失敗點。 也就是說, 「秘密」 是脆弱易碎的主因, 也因而是造成系統極易災難性地崩壞的原因。 相對地, 開放性則帶來延展性。
他意指: 當系統遭遇安全問題時, 一個依據透明化原則而設計的系統, 它所受到的不良影響比較局部。 如果我們可以把他的話應用到在政治領域, 這意謂著透明化不只將有助於減少政府濫權監聽, 也將有助於政府運作更加穩定、 更加有延展性。 反過來說, 掌權的政治人物及資通大廠, 如果拒絕對於不涉個人隱私的公共事務以透明化的方式進行, 那麼是否也就意謂著其決策背後有些不可告人的可疑動機? 一旦真實的動機曝光, 政局恐怕將陷入危機。
當初在不明原因之下推動盜版三振法的丁守中委員, 現在主張立法保護公益揭露人以鼓勵吹哨揭弊, 這是一個很有意義也很值得持續關注的轉變。 但是這與國安修法的衝突, 會不會造成揭弊範圍限定於私部門、 或是在公部門僅限於具有明確金錢往來的貪污案件? (目前法務部推動的吹哨宣導似乎只著重於此) [24] [25] 若然, 那麼即使法案通過, 我們的吹哨揭弊保護也將無助於揭發政府濫權監聽或其他 「未涉及明顯金錢交易」 的侵犯公民人權與行為 -- 例如影響新聞自由的黑箱政策或國際條約。
在我國政府決策與行政全面透明化之前, 政府所推動的包含 「超級健康雲」 在內的許多雲端計畫、 eTag、 記名式悠遊聯名卡、 等等便利生活的服務, 其實也都可以成為政府監控民眾行動、 刺探民眾隱私的工具, 也因此這些生活科技都特別值得大眾深思與檢視其背後的真實動機。 [26] [27] [28]
另外值得一提的是: Snowden 在身份尚未曝光時, 他從初次與記者聯絡開始, 就堅持要以加密的 e-mail 進行。 這個實例正好也可以說明另一個資訊安全原理: 加密以及密碼, 而不是指紋等等生物識別資訊或政府發放的憑證, 才是保護隱私與確認身份的終極機制。 (如果你及通訊對方都採用開放原始碼的加解密軟體及亂數產生器的話。) 從這個角度檢視, 既有的自然人憑證有很大的資安缺陷。 此外, 法律應該把密碼當作個人隱私來保護, 還是可以在某些情況下強迫公民交出密碼? 這也將是科技與法律交會處的一大爭議領域。 [29] [30]
人都會犯錯; 但是只有白癡才會堅守他的錯誤 -- 羅馬時期哲學家/政治家/律師 Marcus Tullius Cicero