轉貼：英國政府索取解密密鑰，電郵服務商寧可結束業務

阿恆

December 19, 2013

曾經獲得斯諾登信任的電郵服務商 Lavabit，和網絡安全通訊服務商 Silent Circle，因不肯把解密密鑰交給美國國家安全局 (NSA) 而先後被逼結束業務，同樣事件原來在今年初亦曾經在英國發生。英國國家通訊總局 (GCHQ) 在年初向 CertiVox 索取可解密用戶電郵的密鑰，CertiVox 寧可結束他們的電郵加密系統 PrivateKey，也不向 GCHQ 低頭。

國際財經時報報導，在斯諾登還未泄露 NSA 的機密文件，Lavabit 和 Silent Circle 還在提供安全可靠的電郵服務，2013 年初 GCHQ 便已經向 CertiVox 索取可以解密用戶電郵的密鑰，當時 CertiVox 正向用戶提供一個可進行端對端加密的安全電郵系統，稱為 PrivateKey，用戶可透過網頁界面或 Outlook 把電郵加密，加密後的內容連 CertiVox 的員工也無法解密。但是 GCHQ 要求 CertiVox 給 PrivateKey 建立後門，讓他們可以讀取用戶的電郵，CertiVox 的行政總裁 Brian Spector 說：

我們有兩個選擇，一是建構世界上最安全的加密系統，安全得連 CertiVox 也無法讀取你的數據；一是花 500,000 英鎊在系統建立一個後門，讓 GCHQ 讀取數據，再把數據交給美國國家安全局，但是這與我們當初向用戶宣揚的價值觀和訊息背道而馳。

CertiVox 最後選擇取消 PrivateKey 服務，GCHQ 雖然目標未達，但也不是沒有收獲，至少他們成功結束一個他們無法破譯的電郵加密系統，原有的用戶惟有使用一些安全性較低的服務，一些可以被 GCHQ 截取內容，或者窺看電郵元數據 (送件者、收件者、標題、日期時間等等) 的服務。