它们有许多名称——可信身份标识、身份标识生态系统、互联网驾驶执照——但基本理念总是相同的:创建一个单一的在线凭证系统,以某种方式提高问责制,打击欺诈和身份盗窃,并有助于遏制网络犯罪。多年来,我们看到许多此类方案在私营部门推出,却一次又一次地失败。而且原因很充分。这些计划不仅不切实际,而且它们还忽视了历史,混淆了我们在网上面临的主要威胁,而且最糟糕的是,它们有可能弊大于利。
要查看此论点的另一面,请单击此处阅读我们的“正方/反方”中的“正方”。
让我们从一个较新的计划开始(但不是最新的——最新的荣誉属于丹麦警方提出的一个新建议,即完全禁止在线匿名):奥巴马政府的联邦互联网身份标识系统。也称为《网络空间可信身份标识国家战略》(.pdf),或简称为“N-Stick”,该政府协调的提案再次旨在减少在线欺诈和身份盗窃,同时为电子商务提供便利。
N-Stick
表面上看,这项举措确实有很多值得称赞的地方。它不仅认识到我们无论从经济还是个人角度都越来越依赖网络,而且它还承诺采取措施创建一个“个人、组织、服务和设备可以相互信任的在线环境”——并且,请注意,所有这些都无需透露任何个人信息。政府甚至有足够精明地认识到,任何此类政府运营的项目都会从根本上受到怀疑,因此它随后将 NSTIC 定位为一个纯粹的“选择加入”系统,由私营部门执行,并由商务部领导。
如果这一切听起来好得令人难以置信,那是因为它确实如此。深入研究一下,NSTIC 实际上不过是一个网络乌托邦式的白日梦。在所有良好的意图、崇高的目标和隐私保证的背后,该计划充其量只会给公民一种明显虚假的关于安全、隐私和控制的感觉。最坏的情况下,它将创造一系列令人望而生畏的新隐私噩梦来应对。
问题在这里——或者更确切地说,是一系列问题。与在线身份标识计划通常的情况一样,NSTIC 目标的实际执行属于“边走边看”的方法。关于技术保障、政府对身份标识发放的权力、国籍、匿名性,甚至激励措施和商业模式等问题仍然没有答案。与任何缺乏必要细节的计划一样,它往往会引发比解答更多的问题。是的,这些举措确实很难实施(尤其考虑到我们正在处理网络这个广阔的狂野西部),但在不解决监管政策和程序保障的情况下推进,是不负责任的,坦率地说,是浪费时间。考虑到类似计划以前曾尝试过并且因为完全相同的原因而失败,政府现在应该对此非常清楚。那么,是什么让奥巴马政府认为 NSTIC 会在像微软和谷歌这样的公司已经失败的地方取得成功呢?是的,这也不太清楚。
美国公民自由联盟(ACLU)的言论、隐私和技术项目 Jay Stanley 简洁地总结了问题:“[NSTIC] 基本上是一个战略,而不是一个计划。”
实际风险是什么?
同样,该战略的创建者似乎对我们实际面临的主要在线风险存在深刻的误解。在这种情况下,潜在的假设是,我们的许多互联网问题是由于缺乏充分的身份验证。如果你问哥伦比亚大学计算机科学教授 Steve Bellovin,这是明显错误的。而曾帮助创建 USENET 的人大概应该知道。虽然基于密码的安全性确实有很多缺点,但 Bellovin 说,我们持续面临的最大问题是(并且仍然是)有缺陷的代码。事实上,正如他在对政府第一份 NSTIC 草案的最初回应中所指出的,“所有的身份验证都无法阻止一个绕过身份验证系统的坏人。”
这可以(也曾经)以多种方式完成:黑客可以在进行身份验证之前找到要利用的漏洞。他们也可以在实际的身份验证系统中找到漏洞。简单的事实是,互联网充斥着有缺陷的网络服务器。事实上,有缺陷的代码是所有大型计算机程序的一部分,也是软件复杂性的直接结果。任何处理过恶意软件的人都应该知道这一点。
同样令人怀疑的是,NSTIC 会比我们目前已有的系统更能保护我们的在线匿名性。虽然政府吹捧使用“可信的第三方”和“不可链接”证书的好处,这些证书不会透露个人信息,但最终,“有人在某个时候仍然会验证并确认你就是你声称的那个人,”电子前沿基金会的高级员工律师 Lee Tien 说。
“那么问题就变成了,这些验证机构究竟在用你的数据做什么?”他们是否会被迫将其交给政府或警方?如果我们谈论的是第三方,难道最终不会有一些推动将所有这些有价值的信息商业化的冲动吗?否则,公司如何盈利?底线是,这些凭证仍然会生活在互联网上的某个地方,而这意味着任何托管它们的人(即使没有集中数据库)也有能力取消这些身份标识的匿名性,并将其链接到个人。我的朋友们,那不是匿名。
所有安全鸡蛋放在一个政府篮子里
而且,我们不要忘记使用单一入口点访问 Web 的无数危险。奥巴马政府“身份标识生态系统”的关键是使用这种类型的凭证。这可以采取智能手机上的独特软件或生成一次性数字密码的智能卡的形式,并且根据该计划,这种方法将消除记住所有那些恼人的密码的需要。很好,对吗?错误。
如果你对切换到一个单一的“可信”凭证(无论其身份验证强度如何)会使你的在线交易更安全有任何疑问,那么你肯定没有关注新闻。NSTIC 实际上会做的就是为黑客和网络犯罪分子创造另一个高价值目标。当这样一个凭证被泄露时,会发生什么?谁将负责?这些仍然是政府未回答的问题。
最后,最重要的是,政府计划让整个系统是“选择加入”的。这或许有助于缓解公众的“老大哥”恐惧,但要使这样的计划有效,我们实际上需要看到它在全世界范围内实施。事实上,NSTIC 的成功奠定基础就依赖于大规模采用。目前,没有理由相信,尤其是在有这么多未解决的问题和缺乏保证的情况下,会有人急于注册。
强制性身份标识更糟糕
所有这些“选择加入”的业务也让我们进入了更令人担忧的强制性互联网许可领域,这是许多知名安全专家和技术人员支持的另一项计划。可以把它们想象成互联网的驾驶执照。每个公民都会获得一种学习许可证形式的硬件身份标识,这将允许他们访问某些预先批准的网站。负责任地浏览,你就没事了。但如果你做错了什么,就要准备好被追踪并受到网络惩罚。
这些计划背后的理由是双重的。首先,支持者强调网络犯罪越来越难以监管,而且互联网——或特别是计算机——可能像枪支或汽车一样危险。其次,许多这些otherwise intelligent people argue that we've already lost our privacy on the the Web. Our ISPs know all sorts of things about us. Our phones track us everywhere we go. So why live under the illusion we're truly anonymous when we go online? 我们的 ISP 知道我们很多事情。我们的手机跟踪我们去过的每一个地方。那么,当我们上网时,为什么要活在我们真正匿名这样的幻想中呢?
这正是像卡巴斯基实验室(Kaspersky Labs)安全巨头首席执行官尤金·卡巴斯基(Eugene Kaspersky)和微软首席研究与战略官克雷格·蒙迪(Craig Mundie)这样的支持者用来合理化这种制度的。
“当你买一辆车时,车会被注册,你会有驾驶执照,”卡巴斯基在 2010 年的一篇关于这个主题的文章中说。“如果你想拥有枪,也是一样——枪会登记到购买者名下。为什么是这样?因为它很危险。而计算机可以造成比枪支或汽车更大的危害。”
这不仅具有误导性,而且在几乎所有方面都是错误的。普通的枪支或汽车所有者有造成巨大伤害的潜力。平均的互联网用户呢?远没有那么大。虽然确实大批计算机网络可能很危险(僵尸网络等),但将它们等同于致命武器是极其荒谬的。这种推理也未能(像 NSTIC 计划一样)认识到,身份验证真的不是这里的大问题,而是软件中的坏代码以及利用它的个人和程序。此外,如果理由是隐私已经死了,我们的 ISP 已经知道我们的一切,那么为什么还需要这些强制性的身份标识呢?验证一个已经已知的东西或人?这仅仅是利用“老大哥”并获取必要信息的问题。
与 NSTIC 一样,强制性互联网身份标识也存在规模问题。为了让这样的计划能够接近有用,再次需要大规模采用。指望每个国家都能 somehow 走到一起并批准一个通用的在线身份标识系统,尤其是这样一个具有如此可怕隐私含义的系统,是极其天真的。
不足的解决方案
底线?尽管我们目前的保障措施可能并不完善且零散,但创建另一个黑客将不可避免地利用的在线身份标识并不是提高隐私或让人们对在线交易感觉更好的方法。是的,互联网最初的设计并非用于成为一个全球性的信息传播系统。但它已经发展成了这样。而事后试图对其进行监管或在新的安全计划完全合法化之前强制推行大规模采用,简直就是一场灾难。事实上,所有这些所谓的“可信身份标识”计划只是掩盖了那些真正能解决问题根源的、不那么吸引人的解决方案:继续推广更多的在线欺诈意识,并实施立法保障。
毕竟,任何可信身份标识生态系统的真正目标其实是消除真正的匿名性。如果网上的每个人都知道你是一只狗,那么,这将改变互联网最初如此独特和宝贵的东西。
