《大西洋月刊》披露了一起引起政府和网络安全各界担忧的事件,该杂志无意中泄露了 Signal 应用程序上的一份秘密对话,其中包括美国总统唐纳德·特朗普政府的高级官员的对话,该小组的成员包括国家安全顾问迈克尔·沃尔兹、国防部长皮特·赫格塞斯和副总统 J.D万斯。

然而,当该杂志的主编杰弗里·戈德伯格和其他人被错误地添加到名单中时,发生了一起丑闻,这让人们开始质疑依赖商业应用程序的实用性,即使是那些被描述为“世界上最安全”的应用程序。或许引起公众关注的最突出的问题是,为什么政府——特别是强大的政府——会使用免费的公共应用程序,而不是私人的保密应用程序?

人为错误,而非技术问题

该杂志揭露的泄密事件并非由于应用程序结构缺陷或加密漏洞造成,而只是人为错误添加了未经授权的用户。专家证实,这一丑闻并非由技术漏洞或软件漏洞引起,而是纯粹的人为错误。一名官员在未核实身份的情况下在通话中添加了一个号码,后来才发现这个号码属于一名记者,他突然收到了来自美国政府核心部门的军事机密。布鲁金斯学会网络安全专家约瑟夫·里德尔表示:“此次事件并不是对Signal的谴责,而是暴露了即使在最高层的安全意识也是脆弱的。”

开发闭环对讲系统需要在基础设施方面进行大量投资(OpenAI 的 DAL 设计供图)

对常规应用存有疑问?

随着加密对话泄露争议不断升级,许多观察人士和政策制定者都在问:为什么政府——理应拥有最高级别的数字安全——依赖于 Signal 和 WhatsApp 等向公众提供的商业消息应用程序,而不是开发自己的封闭安全的系统?它是基于熟悉吗?还是更倾向于低成本?或者是否存在与有效性和国际交流相关的更深层次的原因?

这个问题并不新鲜,网络安全和政府通信领域的许多技术分析已经对此进行了探讨。这些分析一致认为,开发闭环对讲系统需要在基础设施方面进行大量投资,包括软件设计、安全审计和独立托管,以及持续的更新、维护和可靠性保障。相比之下,Signal 等开源应用程序提供了更具成本效益和快速部署的选项。

商业应用程序通常是最佳选择,因为它们易于使用且界面熟悉,可以减少用户的抵触情绪,尤其是在管理员缺乏技术专业知识的组织中。此外,官员与不使用政府通信系统的外部方——如记者、外交官或国际组织——进行沟通的需求日益增长,这使得公共应用程序成为所有人都能使用的实用且可访问的解决方案。

为什么政府使用 Signal 和 WhatsApp 这样的应用程序?

毫无疑问,每个人都在想这样的问题:政府拥有自己独立于公共平台的秘密应用程序不是更好吗?

其实答案很复杂,很多专家和技术人员认为这种现象有多种原因,概括起来有以下几点:

第一:加密

专家认为,像 Signal 这样的公共应用程序使用的开源加密是最可靠的。相比之下,许多政府应用程序都是闭源的,这使得它们更容易成为黑客攻击的目标。

开源加密意味着用于设计加密算法的源代码对所有人公开,任何开发人员、安全研究人员或独立组织都可以查看代码并验证加密的具体工作方式,并检查实施过程中是否存在安全漏洞或错误,它还测试加密的强度及其抵抗黑客或间谍的能力,并通过开放的编程社区为其发展和完善做出贡献。

大多数政府依赖商业基础设施,这使得其无法完全控制数据(OpenAI 设计的 DAL E供图)

开源的重要性源于这样的事实:透明度意味着更大的信任。不要依赖开发者的说辞(他们可能会声称其应用程序是“安全的”,但没有证据),开放的代码可以让世界各地的专家自己验证。

相比之下,专有加密意味着代码不可用,用户被迫信任公司,而无法检查“幕后”发生的事情,例如某些企业、政府或未知的消息应用程序。

第二:速度与简单

政府使用 Signal 和 WhatsApp 等流行的公共应用程序的第二个原因是紧迫的政治世界没有时间安装复杂的内部应用程序。每部手机上都有信号,可以立即使用,并且是端到端加密的,因此可以轻松访问。

第三:官方数字基础设施薄弱

政府不愿意使用专有应用程序的第三个原因是,许多政府——甚至是先进的政府——都难以更新其数字系统。任何安全的内部应用程序都需要多年的开发、严格的安全测试和不断的更新,而这些更新并不总是可用的。

即使一些政府选择开发自己的系统,但道路并不明朗,例如,曾在白宫使用的Confide应用程序,就因更新机制薄弱,被曝出存在安全漏洞。 2014 年,美国前情报人员爱德华·斯诺登在接受英国报纸《卫报》的一次著名采访时警告称,元数据(谁在何时与谁通话)可能比消息内容本身更危险,而这些数据通常不受加密技术的保护。

最重要的悖论是,大多数政府依赖商业基础设施,例如亚马逊网络服务或微软 Azure,这使得他们无法完全控制自己的数据,即使他们开发了自己的应用程序。

政府的选择范围从复杂的安全措施到便捷的公共应用(OpenAI 的 DAL 设计供图)

有什么保密的政府应用程序吗?

尽管有各种反对使用闭源政府应用程序的论点,但专家和技术人员表示,一些国家——如俄罗斯、中国和以色列——已经拥有封闭的加密内部通信系统,但这些系统并不总是适用于安全或军事环境之外。原因如下:

  • 使用难度
  • 有限的技术支持
  • 更新和开发限制
  • 难以将其传播给大量官员、外交官和流动顾问

有中间立场吗?

鉴于数字通信领域日益复杂,决策者面临的选择似乎充满矛盾。商业应用程序易于使用但容易受到漏洞的影响,而专有系统在理论上可能是安全的,但操作起来成本高昂且复杂。还有第三种方法吗?

网络安全专家认为,解决方案并不在于完全偏向一方,而在于建立一种结合实际安全性和运营有效性的混合方法。这些专家表示,解决方案并不在于消除商业应用程序或完全依赖专有系统,相反,它需要三个要素的巧妙结合:

  1. 使用经过广泛安全测试的开源工具。
  2. 建立精确的协议来管理群组和权限。
  3. 对官员进行网络安全和数字风险培训。

简而言之,在加密消息和紧急决策的时代,这不再仅仅是选择更安全的应用程序的问题,而是在完整的背景下理解安全方程式:技术、实践和组织结构。Signal泄露丑闻并没有暴露出算法的缺陷,而是揭示了人际交往的脆弱性,即使是在政府最高层。

来源 : 半岛电视台 + 电子网站