密码学与真名实姓的政治学（2/2）

然而，政府拒绝向其人民提供预制软件的意图仍然很困难。地下市场可以给需要加密的人提供良好的加密；打击这样的地下市场需要海关官员阻止任何人携带任何类型的磁性介质（软盘或笔记本电脑）入境，验证合规非常困难，即便是技术水平优秀的海关检查员。例如，如果程序制作成存储在软盘中的图片的每个像素点的最低位该怎么办？这种技术被称为“隐写术”，它涉及在图像中添加极其细微的“噪声”比特（图片有很多比特，其中大部分是多余的）。当然，这种“噪声”才是真正的信号，图像只是一个幌子而已。政府必须禁止进口任何未被擦除的计算机和磁性介质。

类似地，萨莫尔（rsa中的s）最近描述了一种迷人的简单技术，涉及用投影机胶片和传真机来实现由投影模式构成的一次性密钥。请回想下一次性密钥。给定一张包含貌似静态的一次性密钥的胶片，收发双方都拥有，一方可以通过传真发送数据和密钥的异或结果（经典的一次性密钥的模式），接收方可以用传真将胶片排成一队，并恢复数据，其他人得到随机噪声。一次性密钥胶片甚至可以制作成一张（非噪声）图片的样子，从而隐藏其真正的用途。这些技术将会击败任何海关检查员，他们只能看到（隐写的）图片，或是只看到传真，或只看到胶片（在萨莫尔的一次性密钥传真系统中）。击败这种传递机制需要摆脱传真机，但无论如何，人们总可以使用纸质邮件来发送加密数据。

另外，那些试图拒绝强加密系统商用的政府则要容易得多。目前正在努力实现这一目标的政府包括美国联邦政府、俄罗斯和欧洲共同体的大部分国家，都是刚刚起步（法国已经完全禁止非法的加密，除非政府被授予了密钥。法国和德国都需要密钥注册，出于竞争的原因，法国政府经常监视国外公司设在法国的附属机构，诸如ib这样的龙头公司会定期发送虚假情报的“加密”链接给他们在法国的子公司）。

不同于个人，公司可以通过他们销售的产品来看到。这意味着，通过法律禁止特定种类的产品（从而控制他们的商业分销）比控制高动机个体的私人使用更容易。在美国，通过法律禁止所有先进密码学的使用从未真正成功，因此，政府允许公司制造强密码产品。然而，对于他们是否能出口这些商品，商务部和国家安全局有着巨大的影响力，这些部门可以利用每一个比特。

简言之，使用的密钥超过了四十比特（从而使可能的密钥空间超过了可以轻易搜索到的空间），或实现了加密会话的能力的（与一个仅用于身份验证的简单的数字签名截然相反）任何加密产品在没有特殊豁免（通常不会授予）的前提下出口到美国和加拿大以外的地区都是非法的——这通常都不被批准。这怎么可能？因为美国的加密产品受《国际武器贸易条例》（itar ）的管制，认为它们是“军火”，就像炸药一样。

itar可以是一种强大的武器。通过禁止把强加密轻易出口到海外，itar意味着把加密技术用于自己产品中的美国制造商有两个选择：其一是做一个加强版本用于国内，再做一个弱化版本用于国际出口；其二是在所有地方都使用弱版本。由于制造和储备两种不同产品的成本要远远高于一种产品，大多数美国公司都选择后者作为解决方案。这意味着，即使在国内，消费者得到的也只是脆弱的保护，甚至根本没有保护。例如，蜂窝系统的世界领导者摩托罗拉没有加密手机，因为他们为了出口不得不削弱加密（欧洲共同体也在效仿，最近发布的用于数字手机的跨欧洲标准gs包含了非常安全的a5加密，却在最后关头被要求变更为薄弱很多的a5x，以确保政府可以窃听。没有这个改变，手机就无法出口。但是现在，一个标准分裂成至少两个，市场也混乱不堪）。

使加密产品服从itar的背后官方想法源于冷战思想，限制加密工具的出口对我们对手的伤害大于对我们自己的伤害。然而，任何一个政府只要愿意都可以很容易地制作自己的加密工具。正如上文所详述的，所需要的技术是众所周知的。冷战结束以来，其他的“妖魔”已经开始进入公共讨论当中，即所谓的“国家信息基础设施的四骑士”——毒品贩子、无名外国恐怖分子、有组织犯罪、儿童色情。

然而，“四骑士”中的每一个都有动机和能力通过非官方产品使用强加密。此外，联邦政府也知道这一点，上面的商业研究只是众多案例中的一个。那么，itar对密码学的限制是什么？

正如曾为前副总统阿尔·戈尔负责基础设施政策的汤姆·卡利尔对一位麻省理工学院的观众所解释的，“我们正在采取拖延战术”，让美国公民无法获得强加密技术，以便使他们的通信更容易被执法机关窃听——表面上是为了抓捕“四骑士”。然而，卡利尔承认，“四骑士”却可以使用密码（而且确实在用），即便他们可能无法马上买到现成的。于是，他立刻被问道：“你的威胁模式是什么？例如，你真正想阻止的是什么？”他的回答：“我无可奉告。”不幸的是，itar所针对的实际威胁不是含混不清的就是保密的，但这就是事实（很可能，“拖延行动”正在试图阻止商用强加密，直到能够破解这种加密的量子计算机变成现实。这是笔者的推测：在官方圈子里，你不会发现任何人愿意说这样的话）。

在延缓公民获得强加密的斗争中，itar确实是一种有力的武器。它的部分力量来自围绕其使用的“恐惧、不确定和怀疑”（fud）。例如，由于加密系统是否被视为出口的详细原则并未写明，我们事先无法知道在“四十比特规则”（本身不是法律，只是一种习惯）下未涵盖的系统是否可以出口。由于获得出口批准可能需要多年时间，这比大多数软件（甚至硬件）产品的寿命还要长几倍，因此企业会显得很弱势。另一个例子，pgp的原作者菲尔·齐默尔曼被指控违反了itar，因为pgp的副本在海外被找到了，尽管没有证据表明他出口了这些副本（可能是被任意互联网用户出口的，犯罪嫌疑人的数目数以百万计）。经过两年的法律斗争，调查终于结束了，司法部没有给出任何解释——两年来，齐默尔曼进入美国时都会被海关拦住、搜查、审问，除了司法部对他怀恨在心外，并没有任何明确的理由。

事实上，围绕itar的fud因素可能会产生可笑的后果——当然，如果政府监视公民导致公民自由受到潜在威胁被忽略的话。以“机器可读性”问题为例，上文提到过的布鲁斯·施奈尔的《应用密码学》是这个领域的经典。这本书有加密系统的源代码实例。20世纪70年代，美国政府尝试任何关于加密程序的出口或公开讨论要么“天生保密”（如核武器技术），要么受国家安全局的事先审查，这一尝试最终失败。美国政府未能通过一项行政命令或法律规定禁止美国密码学家去参加海外会议，以及在国际期刊上发表论文。这种失败也意味着像《应用密码学》这样的书在美国出口是不会被法律允许的。

然而，电子媒体并不像它的印刷品表亲那么幸运。不同于许多人对印刷品的肯定，电子媒体在第一修正案中从未得到明确的保护，因而受到itar的支配。特别是出口用与《应用密码学》中相同的源代码制作成的软盘是不合法的，表面上因为它是“机器可读的形式”。人们认为，手动输入书中的程序，和用扫描仪扫描它们并没有什么区别，然而软盘仍然无法出口。结果，一个聪明的英国人想出了一个四行的perl脚本（一个微小的程序），实现了rsa。他把它出口到了美国，方法是把它放进他发送的电子邮件的签名档中。这个四行程序在美国被挑选出来，制成了一件t恤，相同的几百个字符变成了机器可读的条形码，也印在了t恤上。这件t恤可能因为上面的条形码而无法出口，因而也成了一个古怪的政治抗议。

这对美国实业造成的损害是巨大的（对公民自由的损害将在下面讨论）。因为其他国家可以自由制定自己的法律，并不禁止将加密产品出口到美国，因而美国的消费者通常面临一个有趣的选择：买劣质的美国货，或购买外国产品保护自己的隐私。许多美国公司都在国会做证说，这些政策削弱了其竞争力，不仅在国内，也在国外市场，因为他们的技术被视为劣等货——这是一个极具讽刺意味的结果，因为人们认为这些技术大多是美国发明的。

对于那些因为希望出口产品（不是写学术论文）而移民国外（如澳大利亚，那里不禁止加密出口）的美国知名密码学家来说，这也是一个尽人皆知的问题。当然，这意味着澳大利亚可以从美国研究人员的培训和背景，以及他们所使用的美国开发的其他技术中获得经济利益。但这就是与itar共舞的生活。

任何涉及密码学的产品中都有类似的奇怪故事。以全球定位系统（gps）为例。gps是一个真正了不起的技术壮举，它使用轨道卫星网络和手持接收器，成本不到300美元，你可以在地球上的任何地方找到自己，误差不超过1米。使用gps“差分模式”（需要一百公里内的陆基信标），你可以得到毫米级的精度。在过去的几千年里，无论是在陆地上还是在海洋中，有多少人死于不知道自己的位置？

然而，又是由于冷战，gps的开发者决定使用“选择可用性”——他们抖动了信号。这意味着那些来自卫星、携带着最高精度数据的信号比特经过了加密。民用接收机无法解码这些比特，因而准确性受到了影响，只能确保30至100米的精度。这对于大多数应用足够了，但有些应用则不行，如让洲际弹道导弹精确命中目标。可以频繁获得密钥更新的军用接收机能够接收到精确的信号。当然，这里的想法是，让gps满足大多数用途，同时不能为敌人制造出完美的导弹制导系统。

但是在海湾战争期间，所有人的gps都突然精确地运行了！为什么？因为美军需要太多的gps单位向其人员分发（成千上万的人），军事承包商满足不了其需求。相反，美国购买了现成的、商用的民用单位，并关闭了卫星的选择可用性。（现在有一个明显的笑话：“如果你的gps接收器突然变得很准确，那么一定是爆发了战争。”）然而，随着冷战的结束，我们真的需要选择可用性吗？毕竟，30米的精度远不足以让一艘轮船在布满险滩、拥挤而又陌生的港口航行，而且还有很多应用程序可以从无须附近的信标来启用差模接收的更精确的gps中获益（最近，美国宣布将在未来四到十年放弃选择可用性，部分是因为对于选择可用性的解决方案在不断改善）。

尽管对itar进行了所有的讨论，但谁能使用商用的、现成的强加密只是其中的一面。假设我们仍然将我们的注意力限制在非技术用户可能使用的加密类型上（例如，你能买到的加密类型，而不是你能编程出的加密类型），那么另一个有趣的问题就是谁能破解它。此时我们便陷入了密钥托管、clipper芯片、skipjack分组加密算法 [64] ，以及数字电话账单的泥沼中。

多年来，美国国家安全局已经将从外国政府手中夺回强加密，以及破解他们提出的一切密码系统作为其主要议程。不应该对本国公民使用信号情报，这样做既违犯法律又违反行政命令。然而，美国国家安全局一直与联邦调查局和国家科学与技术研究所（nist，原国家统计局，国家标准局）密切合作，以制定国内加密政策。联邦调查局很高兴能得到帮助，因为联邦调查局多年来一直在努力挖掘每个人的情况。这些细节是令人恐惧的——即便你相信目前的联邦调查局中几乎没有人像胡佛 [65] 一样腐败。但事后看来，事实显然就是如此。

伴着克林顿政府早期的剪切芯片公告一同而来的是，国家安全局在国内民用加密方面介入的最明显也是最近的公开示范。虽然这不是最初的公开宣布，它基于一个由国家安全局在过去几年（和前几届政府）开发完成的被称为skipjack的设计。clipper芯片的基本目标是利用密钥托管实现窃听加密通信的能力——每个芯片都有一个同时被政府控制的密钥。即使在政府永远值得信赖的理想世界中，这个解决方案在对付总是被引用的“四怪”时也很难奏效，因为那些玩家死也不会使用别人持有密钥的加密方案。在我们生活的世界中，clipper/skipjack系统也包含其他缺点。

换言之，为了防止任何一个机构妥协（无论是个人的还是行政的），提案是把密钥分为两半，每一半被不同的托管机构持有。最初，这些机构的身份（至关重要的事情）没有透露，最终，有两家机构被选中——它们都属于行政部门。

先前，滥用行政权力的行为盛行，且臭名昭著。水门事件是滥用行政权力肮脏把戏的典型例子——当然，这并不意味着政府的另外两个部门就能忠于更高的标准。例如，奥尔德里奇·埃姆斯 [66] 事件，一个中情局高级特工多年来毫无察觉地一直危及我们的国家安全，尽管他赤裸裸地炫耀来源不明的巨额收入，然而这一事件却发生在clipper事件的讨论期间，这只是一个糟糕的巧合吗？在这样的情况下，“一个人可以信任政府”的呼声可能有点难以让人接受。

该提案有许多技术错误。它依赖于一个保密设计——大多数加密提案的死亡之吻，它们的力量源泉不是保密算法，而是抵制密码分析学。这个秘密的提出依赖于其算法的保密性、无法公开分析的提案，在密码社区中遭到了嘲笑（该算法保密的目的是，阻止使用相同加密算法但在没有授予政府密钥的情况下制造的盗版clipper）。另外，从对未保密的算法的描述中，贝尔实验室研究员马特·布雷泽想出了一个方案，用伪造的（不可泄露的）密钥启用clipper。

此外，它依赖于硬件。许多产品更愿意在软件上进行加密，因为软件更便宜，而且会减少芯片的使用——还可以随着市场的变化快速重新配置。它还依赖于防篡改硬件（并不真实存在）来保护算法——并且只有两个托管代理人。记住，这些芯片将成为民间商用的绝对基石。对于许多人而言，贿赂两个托管机构的经济压力会非常巨大——泄露国家所有芯片的密钥可以在几张软盘或一张dat磁带中完成。贿赂奥尔德里奇·埃姆斯去摧毁中央情报局剩下的信誉到底花了多少钱？比大公司首席执行官的薪水还少。

麻省理工学院密码专家希尔维奥·米卡利随后发布了关于“公平密码系统”的细节，它完全可以在软件中实现，不依赖于其算法的保密性，它可以使n个托管持有人中的任意k个人改造密钥，禁止了无须注册密钥即可使用系统的能力，它以这样一种方式启用了系统——一旦一个人的密钥被政府捕获用于窃听，个人的隐私并没有永久丧失。与clipper不同，clipper的方式是任何被授权窃听的人都可以永久窃听，或窃听在过去几年中收集到的、只是在等待解密密钥的数据，而公平密码系统使用的密钥有时间限制，窃听只能在某段时间内成功。米卡利（和其他人）的提案被clipper的推动者所无视。

事实上，米卡利认为，因为clipper并未处理密码系统中的一个最基本的方面——如何管理和分发密钥——所以它从一开始就注定要失败。鉴于这个规范所缺失的部分，公众对提案的评论很困难，他坚决认为，覆盖全国范围的密钥的分配机制很容易就会被向其他不可泄露的加密系统分发密钥的免费基础设施服务所颠覆。总之，米卡利说，我们正在全神贯注地建造可跟踪的汽车，同时为坏蛋建立一个完整的州际公路系统——高速公路需要大量投资，个别坏蛋是很难创建的。

此外，该提案在政治上是幼稚的。为了对抗意志坚定的对手，而不只是最单纯的人，其他类型的加密将被取缔。缺乏对政府保证“这不会发生”的信任会导致“如果密码学是非法的，那么只有不法分子才会有密码学”这样的战斗口号（《真名实姓》的影子……）。此外，整个互联网界和学术界都对这项提案感到震惊。唯一没有歇斯底里大笑（或移民澳大利亚）的密码学家是桃乐茜·顿宁，她本人是一位受人尊敬的密码学家，但她的主要观点似乎是“信任政府”和“从来没有人在法院未授权的情况下窃听”。这样的观点忽略了两个因素：首先，只有在法庭上使用的证据需要法庭的授权；其次，fbi窃听只有在非常罕见的情况下才会被拒绝（根据1992年的政府会计办公室发布的《关于授权或批准窃听电话、口头对话，或电子通信的申请报告〈窃听报告〉》，1992年有919个窃听被批准，0个请求被拒绝。一个被拒绝的都没有！1994年的报告也显示0个请求被拒绝。在1982—1992年，只有7个监视申请被拒绝，远低于千分之一——几乎完全是未经审查即批准）。

数字签名标准也需要考虑，这个标准也在当时发布。国会负责制定加密标准，美国国家标准及技术研究所（nist）临阵脱逃（无视应该依据执行的计算机安全法），只开发了签名标准取而代之——换言之，一个人可以验证某人的身份，但不能与他们秘密交流。最初的提案被轰下了台——密钥短得可笑（显然极易破解），算法测试结果劣于其他算法，甚至nist也承认该方法相比其他著名的方法（通过《信息自由法案》诉讼得到的文件中的）存在缺点。我在此重申，密钥分发机制并未详细说明。此外，来自电子前沿基金会（eff）、计算机社会责任专家联盟（cpsr）、电子隐私信息中心（epic），以及其他与《信息自由法案》（foia ）相关联的人士反复纠缠的要求最终揭示出（在nist拒绝了第一个foia的要求之后——非法泄露美国国家安全局敏感文件的人必须被起诉），nist实际上已经从美国国家安全局收购了整个系统——本不应该在加密中设置民用政策！很明显，美国国家安全局再次非法染指这一领域，这次推进了一个只有签名的、不保护隐私的低劣标准，很显然，扫清通向可窃听的clipper的道路成了城市里唯一可行的加密系统。

最后，许多人指出，商业和网络现在是全球性的。他们指出，对于外国政府、公司或个人而言，如何才能相信自己使用的加密系统不会被美国政府窃听（更糟糕的是，禁止窃听美国公民的法律约束并不适用于非美国公民）？因此，外国实体不会使用clipper——他们要么切断美国的通信，要么不得不使用其他方式。

注定要在各条战线上一败涂地的clipper提案已经在很大程度上淡出了公众的视线——尽管远未到被遗弃的地步。同时，还有其他一系列的努力，以确保政府可以继续监视其公民。

以根管手术为代表，这是fbi为说服国会和公众的公关活动所起的名字，又一次借用了“四怪”的比喻，现代电话交换机使联邦调查局无法完成窃听工作，除非被重新设计来进行琐碎的窃听。它成功了！

根管手术的成功在于《数字电话法案》的通过，该法案要求，制造电话交换系统的人必须建立具有窃听能力、远程的数字信号流可以通过任何渴望的线路。改造现有交换机的成本保守估计在5亿美元左右（没错，5亿美元）。抱怨无法再通过线数字交换机窃听电话线路的fbi（但奇怪的是，交换机对他们而言并没有问题）现在已经获得了在任何地方窃听的能力——而在此之前，他们实际上不得不转到交换机并挂一些电缆。当然，这意味着任何电话耗子，即利用电子装置向全球各地打电话而不付费的人，大概可以做同样的事情。更糟糕的是，考虑到美国是世界上其他国家的电话交换机的主要出口国这一事实，许多国家的公民隐私保护比我们要少很多。许多受到压制的国家同时也是美国的贸易伙伴，由于美国制造的所有交换机现在可以窃听，所以我们有能力将这种能力免费提供给这些政府，无须他们进一步的研发要求。这真是个好主意吗？

到目前为止，美国联邦调查局一直在阻挠foia的要求，foia要求解释修改电话交换机的确切原因。这种阻挠毫无疑问是非法的——foia已经在法律上规定了他们的时间响应标准（从最初的请求十天起，如果请求需要检查异常多的文件的话，可能会延长十天），但fbi面不改色地无视了这些。例如，1994年10月4日，在回答epic提起的诉讼时，fbi声称，回答foia与《数字电话法案》有关的请求需要五年时间，直到1999年6月才能做出回应，美国地区法官查尔斯·里奇驳回了这一要求，他对政府的律师说：“打电话给fbi局长弗里，告诉他，我认为这件事一个半小时后就可以处理完成。”并表示自己被他们的要求“惊呆了”。然而，这样的指责本身并不足以迫使fbi遵守法律规定的时间表，原因是法官缺乏必要的执行权。到目前为止，foia为数不多的成功的请求之一（计算机社会责任专家联盟于1993年提出）揭露了185页的备忘录，其中没有一个fbi办公室报告提到由现代电话交换机技术所导致的窃听问题。然而fbi坚持要从根本上增强窃听能力，而且仍在阻挠foia对于这一问题的请求，最早也得到1999年才能做出回应，尽管遭到了里奇法官的指责。

记录表明，fbi在全国范围内每年都会进行一千次窃听。做这些修改需要花费5亿美元，这意味着完成的每次窃听都价值50万美元。甚至忽略了这样一个事实：这些修改一旦完成，就是永久的，无须每年更新（因此有效地降低了“每次窃听的成本”），这似乎并不划算。

但fbi还不算完。它在《联邦公报》（1995年10月16日，第60卷，第199号）发表了它的计划，要求可以同时窃听主要城市中心所有线路的1。在公众的强烈抗议之后，它开始退缩，声称是引用错误（1995年11月2日《纽约时报》a1版上的文章），它真正要求的只有所有正在进行的通话的1，而不是线路的1——好像这10倍的差距产生了很大的影响。如果fbi真的利用dt法案强制执行1（甚至，它后来说的01）的通话可窃听，那么它就可以监控一亿条线路和每年数十亿次的对话——这比目前正在进行的窃听数量增加了100万倍。基于计算机的语音关键词识别能力持续增强（作者多年前一直致力于开发这样的系统），再结合强大的窃听能力，联邦调查局每年可以扫描数百万个它们想跟进的对话。如果这不是在一个难以想象的规模上侵犯隐私，又是什么？

结论——以及如何保持消息灵通

《真名实姓》的情节取决于安全通信和秘密身份，即使面对的是最坚决的反对者——国家政府。一些人将拥有私下讨论的能力比作持有武器的权利：这是抵御压迫的最后一道防线。在公共政策辩论中，集会和私下交谈的能力有着悠久的历史，匿名也是如此（《联邦党人文集》大多是用假名写的，最高法院支持匿名言论的价值观）。然而，当前的政治趋势表明，文奇的推断一语中的——普通人既没有隐私也没有希望对抗政府的暴行，这些趋势正在嘲弄一个人的真名实姓，让公民置身于一个难以想象的圆形监狱中。

这篇长文让我们了解了密码学的政治社会的样子，也许那里就是我们要走向的地方。我做了很多断言，大部分都没有引证。你可以在许多组织的在线参考图书馆中找到所有这些以及更多的内容。其中突出的是电子前沿基金会、美国公民自由联盟、选举人电信观察以及电子隐私信息中心，它们在万维网上都有大量可访问的网页，它们也运营新闻组、公告列表以及针对所有这些问题的讨论列表。尽管最近《通信规范法案》取得了成功（法案试图强制规定，如果一个人碰巧看的是比特而不是印在纸上的油墨，那么成年人只能为小孩子阅读适合的内容），但是这些档案和列表仍然可访问，并且最先对这些问题进行全面的报道。

关于上述讨论的许多提案的大量信息都是通过《信息自由法案》（foia ）的请求获得的。它们大多需要漫长的法律战和多次诉讼才能获得——美国国家标准及技术研究所（nist）、国家安全局（nsa）、联邦调查局（fbi）对于这些问题都没有任何回应的记录，尽管foia明确写明，这种拖延回应是非法的。电子前沿基金会等机构在法庭上花费了大量金钱与众多联邦机构的这种拖延战术作斗争。

除了这些明确的宣传团体之外，许多其他的互联网讨论团体也在广泛地讨论这些问题，并且所有这些问题都会被存档。这里的主要参与者是彼得·纽曼主持的“风险文摘”（它更普遍地讨论了计算机系统的风险和收益），劳伦·韦恩斯坦主持的“隐私论坛文摘”，以及“地下计算机文摘”。

在众多关于这些问题的会议中，几乎没有哪个能比1991年创立的“计算机、自由和隐私大会”做得更好。每年，它会集执法人员、计算机专业人士和记者，对公民自由、技术获取以及计算机与社会互动这些问题的各方面进行激烈辩论。

如果你关心自己的“真名实姓”，那么是时候去了解真相——并采取行动了。