「秘密是一種力量。保護一個秘密,保留一個人的隱私的能力是一種力量。
刺探秘密、瞭解秘密、利用秘密的能力也是一種力量。秘密給予人力量,秘密保護人,秘密損害人。在一個人不知情的情況下瞭解他的秘密——秘密地刺探另一個人的秘密——的能力,是一種更為強大的力量。」一位美國法學教授如是說。
從某個角度說,我們之所以覺得自己還是個人,在很大程度上是因為我們知道我們自己有許多秘密是別人不知道的。這並不是說我們有多少見不得人的事,或者是我們犯了什麼罪。只要試想一下,如果你發覺你的一言一行在別人那裡都留下了記錄,即使別人永遠不使用這些記錄來損害
在過去的幾千幾萬年中,由於技術條件所限,一個人可以自然而然地保住自己的許多隱私,即使他的許多言行在當時並未保密,把它們都記錄下來在實際上也是不可能的。歷史傳說中的那些好打探別人機密的暴君是使人十分恐懼與厭惡的:如傳說中雍正皇帝曾問他的一個臣子,你昨晚
信息技術正在改變這一切。如果沒有制衡力量,在未來的幾十年中,很可能我們的一言一行都會被監視、被記錄、並被分析。因此,必須有新的辦法來保護公民的基本權利。
另一方面,信息技術的發展也使得在極大規模上的信息交流可以秘密進行。
這就使得罪惡的計劃可以在更大規模上秘密地策劃、組織、實施。而在過去,只要計劃的規模一大,通訊的規模也自然會大,因而就很難保住秘密。
有關秘密問題的技術焦點,就是密碼術。最近幾年,在美國,圍繞著密碼術與公民權利、密碼術與犯罪、密碼術與國家安全。密碼術與憲法,展開了激烈的辯論。這一辯論是極為重要的:一些人認為:「這一辯論的結果將決定信息空間的法律管制,而這將決定其社會結構及社會倫理」
在中國,密碼技術仍然是極為專業的小圈子裡面的事,似乎沒有多少人對於它在未來對於政治、法律、倫理,乃至人的日常生活所能帶來的巨大衝擊有任何感覺。然而,中國也將不可避免地步入信息時代,也將不可避免地面臨密碼術所帶來的社會新課題。因此,瞭解一些信息時代的先
密碼術簡介
在美國,圍繞著密碼術的辯論時時成為重要新聞,因此,公眾對於密碼術的一般概念已有相當的瞭解。但在中國,公眾對此卻知之甚少。就在昨天,我遇到幾個從事計算機行業的老同學,當我對他們談到「公開密鑰加密系統」時,他們竟然一無所知,這真是叫我吃了一驚(其實,在比
密碼術有很長的歷史。早在公元前1900年,一個古埃及書寫員就在一個銘文中使用了非標準的象形文字,這是人類最早的有記錄的密碼術。在其後的年代中,古代人使用了各種各樣的原始的密碼術,如把字母表的順序顛倒過來,進行字母替代,或者用錯後一定數目的位置的字母替代前
現代密碼術的劃時代突破,是威特菲爾德·迪菲(WhitfieldDiffie)和馬丁·海爾曼(MartinHellman)有關公開密鑰加密系統的構想,這是在1976年發表的。但威特菲爾德·迪菲和馬丁·海爾曼提供的MH背包算法於1984年被破譯,因而失去了實際意義。真正有生命力的公開密鑰加密系統
傳統的加密技術都是秘密密鑰加密技術,也稱單密鑰加密技術。也就是說,消息發送者使用一把密鑰將消息加密,而消息接收者須使用同一密鑰將其解密。
這就產生了一個重要的密鑰管理問題,如何在沒有任何其他人發現的情況下,發送者和接收者商定一個秘密密鑰。若他們位於不同的地方,尋找一個安全保密的通訊渠道以商定這把密鑰,就成了建立一個安全保密的通訊渠道的先決條件,也就是說,如果你想有一個保密的通信渠道,就
這個奇妙的構想是如何實現的呢?讓我們以RSA算法為例,作一簡單的說明。
一般說來,許多數學中的函數都有「單向性」,這就是說,有許多運算本身並不難,但如果你想把它倒回去,作逆運算,那就難了。最簡單的例子:除法比乘法難,開方比乘方難,這是誰都知道的。在RSA公開密鑰加密體系中,首先要選擇足夠大的兩個素數p和q,算出p和q的乘積n,即
從理論上講,只要知道了n,就可以通過我們上小學時就知道的分解因數的方法求出p和q,然後找出d。問題是,如果n很大,對於n進行因數分解的計算量就會非常非常大,以至用最快的計算機也不可能在合理的時間內算出p和q來。RSA算法在理論上的重大缺陷是並不能證明分解因數絕?
RSA算法在實際應用當中的缺點是它不如秘密密鑰算法的速度快,因此,在傳輸長文件時,人們往往只用公開密鑰體系傳輸秘密密鑰加密法的密鑰,而用秘密密鑰加密法加密文件本身。
RSA算法還有一個好處就是它可以用來作數字簽名。這是利用RSA算法的對稱性,即用數對(n,e)加密的消息只能用數對(n,d)解密,但反過來用數對(n,d)加密的消息又只能用(n,e)解密。如果我想用數字簽名證實一個文件確實是我發出去的,我可以把它用我自己的本來用於解密的秘密密
現代廣泛運用的密碼體系,都是對算法公開,其安全性依靠密鑰的保密,因此,有三種破解密碼的基本方法。第一種是偷取密鑰或收買密鑰持有者。第二種是通過分析發現算法的漏洞——歷史上曾有一些被高度信任的加密術為數學分析所破解。第三種是所謂「蠻力」(brute-force)破?
我們在前面介紹的這些密碼術準備知識,對於理解後面有關密碼術的社會學、政治學討論是有幫助的,因此還得請讀者們原諒這些東西的枯燥費神。
密碼術的用途
密碼術的傳統用途是人們所熟知的,主要是在軍事、外交等有關國家事務的領域。一般公眾與之關係不大。但在信息時代,密碼術突然找到了前所未有的廣闊的應用天地。首先是電子商業的需要。就目前來說,電子商業仍舊可以說是還剛剛處在起步階段,但其規模已經是驚人的了。如
在信息時代,人們越來越多地利用電子郵件進行通信,這又快又便宜。但電子郵件是十分容易被人截收、竄改的,特別是對於這一切你可能完全被蒙在鼓裡,一點不知情——用傳統方式通信,別人如果拆了你的信你多半還能看出來。中國在信息技術方面雖然還十分落後,但有關電子郵
對於企業來說,通信保密當然更為重要。無論是技術秘密還是商業動向,都有可能價值無算。比如說,一個建築公司競標的價格對於其競爭者來說,實在是太重要了。為了提高通信效率,現代企業大量採用傳真、蜂巢電話、微波電話、衛星通訊及不十分安全的計算機網絡傳遞信息,這
密碼術對於不少專業人士也十分重要,如律師們都知道對於案子有關文件進行保密的重要性。醫生、藥學家、會計師等也需要保密。
密碼術遭受攻擊和限制的一個原因是它大大地有助於犯罪活動。密碼術不僅有助於個人對其通信及文件記錄等保密,而且也讓他們可以對自己的身份保密。
這就使得犯罪分子有可能利用最先進的通訊手段進行最陰暗、最邪惡的犯罪策劃,而完全不被他人所察覺。除此之外,如我們在前面已提到過的那樣,密碼術將有可能使得金錢交易不留任何痕跡,從而使得洗錢、逃稅等行為變得異常容易。
總而言之,密碼術是推進電子商業的關鍵,也是保護個人隱私的利器,它可以阻礙黑客的橫行不法,也可以防止奧威爾式的無所不在的專制暴政的出現,但社會也要付出相當的代價,這就是密碼術在犯罪方面也有廣泛的用途。
害怕「一比特不名」,美國政府的密碼術政策
美國政府十分恐懼密碼術在民間的廣泛運用,它從一開始就制定了一系列政策,試圖阻止密碼術的廣泛傳播。早在1977年,美國政府為了對於密碼術進行管制,就制定了所謂的「數據加密標準」(DES)。DES原本為IBM所開發,是一種單密鑰算法,在IBM的早期版本中,密鑰長度在一百位
由於DES的安全性能日見過時,商業界要求使用更強的密碼術的呼聲越來越高。美國政府的回答是,你們要更強的密碼術可以,但得把一把密鑰交給一個機構保管,以便在必要時我可以取到密鑰查看你的通信內容,這就是所謂「托管密鑰加密標準」(EES)。作為這一設想具體措施,就是
對於加密軟、硬件的出口,美國政府更是限制嚴格:密碼術被列為軍火,受到武器出口管制條例的限制。就DES算法而言,只允許出口密鑰長度為40位的,比這更強的一律不准出口(對於RSA算法的密鑰長度限制是512位,不要以為512位很多,由於RSA算法與DES不同,512位的密鑰也不?
美國政府迄今為止對於密碼術的管制是完全失敗的。強制性的EES無法通過立法,自願的EES,如「剪切芯片」的嘗試,雖有政府帶頭購買,想通過市場造成總趨勢,成為市場造就的標準,但由於公眾的普遍反對,這一嘗試在市場上遭到了慘敗。對於出口的管制更是顯得荒唐可笑,因為
最主要的是,有誰願意買一個加密系統,它的密鑰竟然攥在一個你看不見、摸不著的外國政府手裡?如果是本國政府,當它濫用這把密鑰時,你還可以跟它打官司,它也得忌憚一點公眾輿論;一個外國政府,則可以完全不受這些東西的約束,一般說來,限制政府濫用執法權力的法律,
在美國,合法的電話竊聽要由法庭批准。在1992年,法庭只批准了919件案件的電話竊聽,其中只有141件包括竊聽傳真、數字顯示或聲音錄呼、蜂巢電話,或電子郵件。1993年批准了976件,涉及94,000人的1.7百萬次談話。從上述數字看,似乎竊聽的規模並不大,沒有那麼重要,但實
美國情報機關的電子情報搜集的對象當然還包括外國的政府、軍隊、企業,盟國也不例外。美國國家安全局的主要任務是兩項,第一是獲取並解密外國通訊,第二是對外國和國際通訊進行通訊流量分析。通訊流量分析不具體竊聽每一次的通訊內容,而只是分析其流向和進行大致分類。
密碼術與人權法案
反對EES的理由也是十分充分的。在CNN電視台1997年1月31日的一次訪談節目中,RSA數據安全公司的總裁JimBidgos將反對的理由表達得十分簡單而明瞭。
節目主持人BobbieBattista問:「Jim,在必要的時候,把密鑰交給某些執法機構或第三方,或是與之分享密鑰,又有什麼不好呢?
RSA總裁JimBidgos:「這個問題問得好。首先,這樣做確實沒有什麼不好。
讓我來打個比方。今天,每一個人都有鑰匙用來鎖上自己的家,辦公室或文件櫃。如果政府出示了法庭的命令或搜查令,我想我們所有的人都會提供給他們想要的信息。
然而,我們不會在事先就把一份鑰匙交給政府保管,讓他們想進來就進來。
在一個計算機化的世界裡,他們現在要的就是這個。而人們應該懂得,這種要求是完全沒有道理的。」
反對強制性EES的人認為,美國政府的要求違反了人權法案,即憲法第一至十修正案。
首先,憲法第一修正案宣佈:「國會不得制定下列法律……削減人民言論或出版自由;削減人民和平集會及向政府請願伸冤之權力」。強制性的密鑰托管在三個方面損害了言論及集會的自由。第一,它強制密碼使用者公開他本不願意公開的秘密,這屬於強制言論。第二,它使人們在說
其次,憲法第四修正案宣佈:「人民之人身、住房、文件與財產,不受無理搜查與剝奪之權利不得侵犯……」。而強制性密鑰托管在某種程度上可以說是在沒有法庭搜查令的情況下就進行的搜查與剝奪。再次,憲法第五修正案宣佈:「……不得在刑事案件中強迫任何人作不利於本人之
另外,憲法第一、第三、第四、第五、第九和第十四修正案都保障了個人隱私權。隱私權主要有三部分:1不受別人打擾的權利;2自主決定秘密事務的權利;3自主決定其它個人事務的權利。強制性密鑰托管在表面上看似乎沒有侵害個人隱私權,因為政府只有在得到法庭允許的情況
需要一個信息時代的「人權法案」?
然而,憲法在執行時往往是可以作靈活解釋的。比如說,憲法第四修正案中保護個人不受未經法庭授權的搜查的權利,在日常生活中是常常得不到嚴格保障的:我們在上飛機時接受的例行檢查就是一例,這是為了公眾生命安全而對憲法權利作出變通的一個著名的案例。因此,政府還是
從主張公民權利的人們的角度說,無論是否違憲,政府的強制性托管密鑰方案是無論如何難以接受的。他們認為,政府的方案是建立在政府是天使這樣一個當時的憲法起草者們決不能接受的假定之上的,實際上,政府有可能違法,政府官員個人也有可能違法。
美國被許多國家的人們,也被許多中國人認為是世界上最自由、最民主的國家,即使如此,美國政府在背地裡也是干了許多偷偷摸摸、侵犯人權的勾當的。
據前面提到的美國邁阿密大學法學院副教授A.MichaelFroomkin那篇文章介紹:在1950年代,聯邦調查局開列了一個26,000人的所謂的「潛在危險人物」黑名單,準備在出現「國家緊急狀態」時予以逮捕;在1970年代,連很多同情者都不相信美國的一些持不同政見者抱怨聯邦調查局非?
美國的人口普查數據被認為是個人隱私,因而受到法律的保護,不得洩露,不得用於其他目的(這點曾在中國被傳為美國保護個人隱私的美談),然而,在
第二次世界大戰中,政府正是利用人口普查數據確認並逮捕了112,000名日裔美國人。
除了政府違法偷取個人隱私外,政府官員也難保不作這種勾當。在過去五年中,美國國內收入署(InternalRevenueService)抓獲了數百名偷看其「朋友、鄰居、敵人、可能的親家、股票經紀人、名人和前配偶」的納稅記錄的僱員。聯邦調查局的國家犯罪信息中心的授權用戶也利用其數
在一個信息技術飛速進步,人們越來越依靠電子通訊的時代,讓政府把可以瞭解自己幾乎全部隱私的密鑰攥在手裡,這確實會讓人寢食難安。因此,一些主張保護公民權利的人已經提出來,過去的人權法案是於1791年通過的,當時的人們根本不可能想到今天的信息技術的神奇,因此,
從目前看,美國的政治氣氛是有利於保障公民權利的主張的。如前所述美國政府管制密碼術的政策不斷遭到挫敗,國會的氣氛也是不利於美國政府的。但令主張保護公民權利的人們擔心的是,政治氣氛是有可能變化的,譬如,要是在1950年代麥卡錫主義盛行的時期辯論這個問題,獲勝
從某種程度上講,人類在政治上、文化上、法律上、倫理上、心理上還無法適應信息技術所帶來的巨大變化。人類一下子掌握了前所未有的巨大力量,可是不知道這力量該怎麼用,交給誰管合適。往右偏一步,很可能出現人類歷史上最嚴酷、最無孔不入的專制,往左偏一步,又有可能
這就要看人類怎麼掌握住這個平衡了。如果說,黑客是一種違禁的平衡力量,那麼,有關密碼術的憲法辯論就是要在法制框架內找到一種力量的平衡。我們且看信息時代的先行國,美國,給我們作出什麼榜樣,留下什麼經驗、教訓。
技術從來沒有這麼重要過
技術在過去就是重要的。在19世紀,如果一個人不知道什麼叫洋槍洋炮、什麼叫火輪船,卻要跟你談治國安邦大計,你大可不必浪費時間去聽他。然而在今天,不要說那些顯赫的大技術,如航天、生物遺傳工程、新材料、精密機械、微電子技術等,就連一個小小的密碼術,都有可能給
技術從來沒有這麼重要過。一項新的技術突破很可能要求修改憲法,人類才能把它好好地安頓下來。人類似乎受到他們自己所創造的技術擺佈,搖來晃去,不能自主,不知道技術給我們帶來的最終是福還是禍。有些人,如美國的校園——航空公司爆炸殺手,堅決認為技術的發展將剝奪
就我自己而言,一是要再補補計算機科學和生物學的課,二是要去看看能不能下載個PGP軟件。一想到我的所有信件都能被別人亂看我就睡不著覺,雖然我並沒幹過什麼見不得人的事。
|
|
