有没有朋友给你打过电话说:“嘿,除非你是真的想在我多米尼加共和国卖房产,否则你的电子邮件被黑了?”或者接到过银行的电话,问你是不是真的想给俄亥俄州一个声称是尼日利亚王子、看起来病恹恹的家伙捐款 7000 美元?互联网安全已经崩溃了,我们需要卷起袖子,修复它。这就是为什么美国商会宣布了 这项新提案,该提案于 4 月 15 日发布,旨在打击日益增长的网络犯罪。该提案题为《网络空间可信身份国家战略》(National Strategy for Trusted Identities in Cyberspace,简称 NSTIC),它概述了一个将由私营和公共部门联合创建的“身份生态系统”的开端,以促进更具创新性和更有效的在线身份验证方法。即使你没有像我一样(哦,我确实有!)那样立刻被“身份生态系统”这种炫酷、未来主义的短语所吸引,仍然有许多其他理由支持加强互联网安全。
要查看此论点的另一面,请单击此处阅读我们观点/反驳中的“反驳”。
你可能会问,“身份生态系统”到底是什么?在这个阶段,这个概念有点模糊,但它基本上指的是一个与我们现在所处的环境根本不同的在线环境。身份生态系统将取代匿名自由放任的状态,让人们能够通过可靠的权威来源使用和证明自己的身份。这种生态系统必然会支持大量的安全选项,让消费者可以选择如何更好地保护他们的在线身份。NSTIC 将这些安全选项称为“可信凭证”,这是一个总称,涵盖了任何被认为比密码更安全的设备或方法。是的,这非常模糊,但给他们一点时间:可能符合可信凭证技术的大部分内容仍处于开发阶段。
这不是一个新想法——事实上,发明家/哲学家/《Force Majeure》作者 Ted Nelson 在他于 1960 年创立的 Xanadu 项目中所做的工作,比谷歌帝国早了几十年就预测到了这个问题。《Xanadu 项目》的第一条规则是什么?每个服务器都得到唯一且安全的标识。列表中的下一条规则类似:每个用户都得到唯一且安全的标识。Nelson 甚至预见到在线补偿人们知识产权的问题;有了唯一的 ID,每次用户阅读网页上的文章或观看图片时,都可以从用户的账户中扣除微支付。瞧!戏剧性的松鼠会发财!但随着 Xanadu 的竞争对手万维网(World Wide Web)占据主导地位,这个想法也随之失宠。
需要可信凭证来弥补密码的不足,而密码的安全性不足以保护我们希望在线访问的敏感信息。你可能会问:“密码有什么问题?”有很多问题!
密码?还不如叫“过去式”!
如果你是一个在树屋里创立秘密俱乐部的孩子,密码就很棒。然而,在其他任何地方,它们都变得相当没用了。好吧,a) 不是冒犯,但正如《纽约时报》关于流行密码的文章指出的那样,你的密码可能不像你想象的那么隐蔽,b) 随着网络钓鱼和键盘记录的兴起,聪明的黑客甚至不需要猜测了——他们欺骗你泄露你的上网信息。NIST 信息技术实验室的首席互联网政策顾问 Ari Schwartz 认为,密码作为在线安全标准已经过时好几年了。“这实际上是联邦政府在过去 10 年里第三次尝试[推出一项政策],”他说。“但这一次,私营部门的支持更多,”他指的是 2011 年 2 月 17 日的一封公开信,信上签署了商业软件联盟(Business Software Alliance)、信息技术产业理事会(Information Technology Industry Council)和 TechAmerica 等倡导组织,敦促国会支持 NSTIC。所以,显然,给国会写信有时确实有效!
总之,设想中的“身份生态系统”将为美国人提供多种不同的“可信凭证”选项,这些选项将在不牺牲隐私的情况下提高他们在线身份的保护水平。微软、eTrade 和 PayPal 等多家大型公司已经表达了他们的支持,并正在为该战略贡献技术。
你可能会问:“什么是可信凭证?”一个例子是 RSA SecurID,这是大型信息基础设施生产商 EMC 的安全部门生产的一个令牌。它是一个小硬件,以固定的时间间隔(通常是每 30 或 60 秒)提供来自唯一密钥的数字密码。这与存在于 RSA 服务器上的同一唯一密钥生成的代码相匹配。用户必须在那个特定的时刻输入显示在他们的小 SecurID 钥匙串上的代码。如果与密码一起使用,该令牌将成为黑客的主要障碍——许多公司都依赖 SecurID,这就是为什么该公司在一次非常罕见的黑客攻击暴露其客户面临攻击后如此恐慌的原因。谷歌也加入了这一行列,在 2011 年 2 月宣布,有兴趣的 Gmail 用户可以为其账户启用额外的安全层。这种策略被称为“双因素认证”,可以与令牌、智能卡、手机和数字证书等新兴平台结合使用。
Schwartz 是双重认证的主要支持者,他希望 NSTIC 对此类安全功能的拥抱将“激发创新,而不是中断它”。通过超越密码的低效性,转向更安全的东西,NSTIC 可以让人们执行通常被认为风险太高而无法在线完成的任务,包括存储医疗记录和税务记录。他以互联网本身的出现类比这项网络安全努力:毕竟,互联网最初是一个联邦工具,后来被移交给私营部门,并在那里发展成如今丰富多彩的猫咪视频库。
隐私将得到加强,而不是侵蚀
听着,我明白:美国人热爱自由。美国人常常会对 NSTIC 等计划产生条件反射,因为他们认为这可能会侵蚀他们的个人自由。
在这里不是这种情况。商务部长骆家辉一再表示,参与 NSTIC 的战略是自愿的,而且是私营公司在领导,而不是政府。是的,已经出现了大量的反对声音,批评者声称这是联邦权力的越界,并将 NSTIC 与中国的国家互联网身份证系统相提并论。这根本不真实。这就像将苹果派与橘子进行比较。
需要更多保证吗?NSTIC 的身份管理高级执行顾问 Jeremy Grant 反驳了这些谣言,他解释说:“许多其他国家选择依赖国家身份证。我们认为这不是一个好模式。拥有单一的身份发行者会产生不可接受的隐私和公民自由问题。”Schwartz 进一步阐述了 Grant 的观点,他解释说,政府在此倡议中的作用仅限于召集私营公司讨论实际解决方案、支持他们的研究,并确保他们遵守公平信息实践原则。政府除了这些考虑之外,将不扮演任何角色。
一切为了钱
我希望到目前为止,我们已经清楚,随着网络犯罪越来越普遍,在线安全改革本身就至关重要。但还有一个额外的奖励:钱!NSTIC 的计划有可能为国家节省大量资金。例如,奥巴马总统长期以来一直支持一个完全数字化的医疗保健系统。2009 年 1 月,他表示,医疗记录的计算机化将“削减浪费,消除繁文缛节,并减少重复昂贵医疗检查的需要……它不仅能节省数十亿美元和数千个工作岗位——还能通过减少我们医疗保健系统中普遍存在的、致命但可预防的医疗错误来挽救生命。”事实上,曾担任小布什总统医疗信息沙皇的 David Brailer 医生(2004-2006 年)估计,数字记录系统每年可以为医疗保健行业节省高达 3000 亿美元。这相当于每个美国公民 1000 美元!你会怎么花你的钱?
好吧,还没那么快——如果美国继续进行大规模记录数字化,特别是涉及医疗信息等敏感材料时,必须已经建立了一个极其安全的身份验证基础设施。否则,每个人都会知道你是僵尸末日的第一位病人。这又是未来几年综合保护政策将提供的又一个优势。
自愿与强制系统
虽然许多人认为 NSTIC 越界了联邦界限,但也有人认为它做得不够。网络安全专家 Stephen Spoonamore 长期以来一直倡导实行强制性的计算机许可制度,这与汽车行业类似。“当汽车在 1890 年问世时,任何人都可以购买并立即驾驶。直到发生车祸终于让所有人屈服(30 年后),人们才被要求在驾驶汽车之前学习基本的交通规则。所有这些都与计算机直接平行。计算机在 80 年代末推出,花了 30 年时间才认识到你正在驾驶一个危险的机器,它会伤害人,也会伤害系统。”
Spoonamore 认为 NSTIC 战略是“一个不切实际的想法”,因为它具有自愿性。他认为回避使用德国、比利时、中国和其他几个国家使用的国家身份证制度是一个错误。“德国和中国国内的计算机犯罪与美国相比微不足道,”他解释道。“我在德国的一些欺诈检测系统上工作过[而且很容易]找到信用卡窃贼、儿童色情制品贩子等,比在美国容易得多。”虽然他因为隐私侵犯而不支持中国模式,但他认为当前的美国系统与中国之间的相似性大于美国与德国之间的相似性。“德国的执法部门有规定,需要有合理理由才能查看你在做什么。在美国和中国,政府可以随时通过电脑监视任何人,而且永不告诉你。而且他们确实这样做了。”
这就是为什么 Spoonamore 提倡一个纯粹的联邦系统,要求缴纳注册费,将 IP 地址与计算机所有者牢牢地联系起来(目前合法隐匿 IP 地址,这让你几乎无法匿名——太疯狂了!)以及开发课程以获得不同级别的许可证。“计算机是一种交通工具(或武器),它带你去不同的地方,让你做事,如果被滥用,可能会伤人。与其他任何交通工具或武器一样。”
互联网是奇妙的,是的,美国,自由也是。但我们正处在一场巨大的信息革命之中。随着创造新产业和文化的前所未有的能力,也带来了前所未有的互相剥削的机会。有点像蜘蛛侠的“巨大的力量,巨大的责任”的困境。网络罪犯像钓鱼一样随意捕杀我们。最终的问题不是政府是否应该采取措施提高在线安全性,而是他们应该在保护公民免受网络罪犯侵害方面走多远。
