并非所有加密技术都是平等的

Encryption makes the digital world work. It consists of a few elegant math equations that scramble data before being sent over the internet where prying eyes could otherwise intercept it, read it, and manipulate it.

Not All Encryption Is Created Equal

加密技术使数字世界得以运作。它由一些优雅的数学方程组成,这些方程在数据通过互联网发送之前对其进行加密,这样窥探者就无法拦截、读取和操控这些数据。加密技术是金融交易到国家机密几乎瞬间在互联网上传输的原因,这解锁了大量的创新、财富和繁荣。

但并非所有加密技术都是平等的。某些形式的加密技术暴露了互联网用户的通信给私人公司及其他他们选择共享你数据的第三方。

如今,许多科技公司声称他们拥有“端到端加密”的产品。这通常是具有误导性的。今年三月,Zoom在他们的安全白皮书中错误地声称,主持人可以一键启用“端到端加密会议”。在受到广泛指责后,Zoom默默地修改了他们白皮书中的措辞,避免使用“端到端加密”一词。

在这种情况下,Zoom未能承认标准网络加密(通常称为“客户端到服务器”(C2S)加密)与真正的端到端(E2E)加密之间的关键区别。

C2S与E2E加密之间的区别再怎么强调也不为过。简而言之,这是在私密沟通与一切行动被监视之间的区别。

客户端到服务器加密与端到端加密之间的区别的插图
客户端到服务器(C2S)与端到端(E2E)加密 || 来源: Wickr

如今,使用C2S加密的公司会在云服务器上解密、处理和存储我们未加密的数据以提供服务。但这并不是它们所做的全部——这些公司过于频繁地滥用我们的信任,通过监视我们泄露我们的数据以及操控我们的行为。换句话说,C2S加密存在一个阿基里斯之踵——它将公司和服务提供商置于发送者和接收者之间,使他们能够完全访问我们的数据和通信。

E2E加密则弥补了C2S的缺陷,允许真正私密的双向通信。这就是E2E的意义——一个“端”是发送者,另一个“端”是接收者。计算在设备本地进行(“在边缘”),消除了烦人的集中式服务器的需求,这些服务器允许公司、第三方以及其他人窃听我们。

C2S加密让我们暴露在“开关翻转风险”之下

C2S加密的危险可以总结为开关翻转风险。什么是开关翻转风险?假设你从一家公司购买了一件你绝对喜欢且完全信任的产品——为了简单起见,我们以苹果为例。想象一下,苹果推出了一款新的iPhone,所有手机数据都使用一种C2S加密方法在苹果的服务器上加密(注:仅为示例,并非苹果现在加密iPhone数据的方式)。

你信任苹果。而这款新iPhone充满了升级,例如视网膜识别、能够放大到看到细胞的相机,以及可以计算π最后一位数字的处理器。你购买了这款iPhone。你购买它是因为你信任苹果,并假设公司里没有人会利用你新手机的数据来勒索你,或者盗取你的信用卡信息进行消费。或者至少,你认为这种事情发生的风险很低,而不值得放弃这些令人难以置信的新功能。

但现在的苹果可能不是未来的苹果。假设一群富有且秘密的投资者购买了苹果的多数股权。他们将董事会赶走,并决定将所有存储在苹果服务器上的用户/iPhone数据出售给出价最高者。这种现象被称为开关翻转。你今天信任掌控你敏感数据的机构的人,并不能保护你免受这些人最终离开以及开关翻转的影响。

这并不是夸大其词——开关翻转风险在现实中以非常真实的方式显现。例如,2019年Fitbit被谷歌收购。如果你是收购时的2800万Fitbit用户之一,你的敏感健康数据突然被交给了一家你可能信任也可能不信任的新公司。亚马逊在2018年收购PillPack的例子就是另一个科技巨头通过收购来获取敏感用户数据的例子。这个名单还在继续。

开关翻转风险也适用于内部员工。事实上,这就是敏感用户数据被泄露的最常见方式。云管理员是一个失意的离婚者,监视她的前夫。或者是一个疯狂的超级粉丝的网络工程师,跟踪某个名人。今年早些时候,亚马逊解雇了几名Ring员工,因为他们未经同意查看客户视频资料。C2S加密打开了类似风险的潘多拉盒子。

加密技术的下一步是什么?

作为用户,你永远不应该相信持有你数据钥匙的公司不会滥用他们的权力或将你的数据交给广告商盈利。如今,我们大多数人对我们数据经常被不当对待已经麻木,但有更好的办法。寻求真正的E2E加密产品可以使我们免受这些风险,消除中介或陌生人获得我们数据的可能性。这个问题不仅限于笔记本电脑和手机;事实上,这种威胁正在迅速进入我们的生活。

如今大多数房主都有某种类型的互联网连接设备。无论是冰箱向制造商发送信号以告知温度计出现故障,还是支持Alexa的智能音箱随时讲述老爸笑话,或者是Nest保持你在舒适的温度下,你的家几乎肯定在某种程度上是“智能”的。

拥有智能设备既方便又令人担忧——如果我们的设备能和我们对话,那么它们还在和谁对话呢?这种新现实要求我们明智地选择产品,因为它对我们家庭和家人的安全的影响从未如此重大。幸运的是,一波新的E2E加密产品正在出现,为用户而非公司提供数据所有权和控制权。

一个以人为本、尊重隐私的未来即将到来。在这个未来,我们可以毫无疑虑地看着我们的智能设备,无论是现在还是以后,都不必担心在未经我们同意的情况下被监视、倾听或跟踪。通过使用受信任且防篡改的技术(例如区块链)来强制实施E2E加密,我们可以消除有关我们的数据是否真正受到保护的所有模糊性、主观性和怀疑。

区块链甚至可以将E2E加密提升到更高的高度,达到个性化的E2E加密,其中你数据的钥匙将由受信任的区块链铸造,并专属于你拥有。以人为本的方法——不再有数据泄露,不再成为虚假声明的牺牲品。当这一理念应用于家庭安全摄像头个人追踪设备和其他智能设备时,一场新的#OwnYourData革命将会出现。通过个性化的E2E加密,我们可以消除开关翻转风险,并且一次性掌控我们的数据。

关于IoTeX

IoTeX成立于2017年,作为一个开源平台,正在建立可信物联网一个开放生态系统,在这里所有“事物”——人类、机器、企业和DApps——都可以相互信任和隐私地互动。得到全球30多位顶尖科研人员和工程师的支持,IoTeX结合区块链、安全硬件和保密计算,推动下一代IoT设备、网络和经济发展。IoTeX将通过“逐步连接物理世界”来赋能未来的去中心化经济。

了解更多: 网站 | 推特 | 电报 | Medium | 红迪