https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

網路空間秩序的加密攻防 (上)

2020 / 03 / 20
本文為行政院國家資通安全會報技術服務中心(技服中心) 資通安全法律及案例彙編」研究成果撰稿:林其樺(技服中心) 審閱:李婉萍(技服中心)
網路空間秩序的加密攻防 (上)
2019年Google提出論文宣稱證明量子電腦[註],表示量子運算能力將超越現有電腦運算能力的極限。即便量子運算仍在理論應證階段,還需要一段時間才能投入實際人類活動;但量子電腦超越傳統電腦的運算力,可能導致現在認為安全的加密金鑰標準,未來或許無法再擔負安全守門員一角。

加密技術這幾年在隱私、產品安全、執法等不同層面引起各國政府的關注,值此國際網路空間秩序形成過程,網路自由會不會因此有所消長,科技公司和民眾都在密切關注。

各國執法機關與科技業者間的加密攻防
90年初期各國政府對於加密技術政策多採支持態度,認為可保障民眾權益;例如澳洲1996年研究加密技術後提出Walsh Report,報告結論不建議透過立法管制加密技術,來滿足政府基於執法目的之資料存取需求。然而,近20年以來,從2015年ISIL恐怖組織於法國巴黎的攻擊行動,到2017年英國倫敦橋恐怖攻擊事件,以各種通訊加密平台作為媒介之犯罪型態引起政府調查單位注意,甚至認為是執法機關蒐集資料時的挑戰。為了對抗全球恐怖主義以及控制假訊息,各國政府開始從國家安全立場思考監管科技業者手上的資料,且陸續要求科技業者配合機關執法或協助維護網路空間的秩序,甚至要求強化網路監控的力度。

對科技業者而言,首先面臨的加密攻防挑戰是即時通訊內容。
隨著資通訊科技的迅速發展,各國政府對於資訊的掌握需求,從過去通訊傳播內容逐漸擴及至即時通訊內容。 2017年由美國、英國、加拿大、澳洲和紐西蘭政府組成的國際情報分享組織「五眼聯盟」(Five Eyes),拋出加密議題,認為加密技術誠然對於數位經濟、資通安全、個人隱私、企業營業內容的保護極具重要意義,但加密技術可能導致政府合法存取空間受限,因此加密議題也是全球政府維護國家安全、打擊網路犯罪所要面對的挑戰。

「五眼聯盟」於2018年的檢察長會議發布「證據和加密資料存取原則」(Principles on Access to Evidence and Encryption)聲明,促請資訊與通訊科技供應商及服務提供商協助執法機關合法存取資料。英國即引述英國內政部聲明指出,科技業者有責任確保執法部門、安全與情報機構合法獲取所需資訊;澳洲甚至於2018年通過俗稱反加密法案的《協助及存取法案》(Assistance and Access Act),授權執法及情報機關直接要求經指定的通訊提供者協助存取加密通訊內容;即使科技業者提出反對,此反加密法案仍順利通過。
資料流通無國界,科技業者於雲端資料的存放經常是分散且處於隨時移動的狀態,此時另一個加密挑戰即在於擁有資料控制地位的科技業者,該如何因應不同國家的資料管轄權。例如,美國與微軟間的資料搜索拉鋸戰,即催生出2018年的《雲端法案》(Cloud Act)。在《雲端法案》還沒有制定出來以前,美國2013年期間為了調查一起販毒案件取得法院搜索令,據以要求微軟提供存放於愛爾蘭伺服器上的客戶資料,微軟當時認為美國要求存取存放在他國的資料沒有法律依據;當《雲端法案》通過以後,美國執法機構得向法院申請存取美國業者境外資料,業者同樣得根據資料存放國家的隱私法令,評估是否配合美國執法機構;此外,美國政府亦可與其他國家達成雙邊協議,以互相存取彼此國家的資料進行司法互助。因此,美國《雲端法案》讓執法機構得以有效展開調查行為,也讓科技業者得因地制宜地評估全球隱私政策及規範,避免美國業者疲於應付各國政府建立後門的要求。

加密爭議也可能來自各國政府為解決網路空間安全問題所提出的政策或規範中。例如,中國政府2016年通過《網路安全法》,將中國政府過去網路安全管理措施予以法制化,規範內容包含落實資料在地化原則、限制符合關鍵資訊基礎設施運營者範圍的業者於大陸境內的資料蒐集、傳輸等行為;同時要求網路運營者與大陸政府密切合作,依大陸政府需求提供技術支援和協助。

此外,澳洲2018年於反加密法中要求通訊提供者配合澳洲政府執法,配合措施包含移除認證或加密電子保護等原始安全防護。俄羅斯2019年更通過《主權網路法》(Sovereign Internet Law),希望建立自外於全球的國家網路,降低俄羅斯對外國網路伺服器的依賴,規範內容包含要求網路服務提供者安裝可進行深度封裝測試(Deep Packet Inspection)的裝置,提供俄羅斯聯邦通訊、資訊技術及大眾媒體監管機關(Roskomadzor)追蹤網路流量、辨識內容,因此當俄羅斯主權網路法通過後,科技業者和用戶都在關注是否將會形成數位長城。


本文為行政院國家資通安全會報技術服務中心(技服中心)資通安全法律及案例彙編研究成果
更多資通安全法律及案例之介紹與分析請參考技服中心網站:

https://www.nccst.nat.gov.tw/Law?lang=zh


下一回,將會探討,當加密後門成難題時,企業的資通安全該如何因應