轉貼:英國政府索取解密密鑰,電郵服務商寧可結束業務
阿恆
原文網址:英國政府索取解密密鑰,電郵服務商寧可結束業務 (原文網站已關閉)
曾經獲得斯諾登信任的電郵服務商 Lavabit,和網絡安全通訊服務商 Silent Circle,因不肯把解密密鑰交給美國國家安全局 (NSA) 而先後被逼結束業務,同樣事件原來在今年初亦曾經在英國發生。英國國家通訊總局 (GCHQ) 在年初向 CertiVox 索取可解密用戶電郵的密鑰,CertiVox 寧可結束他們的電郵加密系統 PrivateKey,也不向 GCHQ 低頭。
國際財經時報報導,在斯諾登還未泄露 NSA 的機密文件,Lavabit 和 Silent Circle 還在提供安全可靠的電郵服務,2013 年初 GCHQ 便已經向 CertiVox 索取可以解密用戶電郵的密鑰,當時 CertiVox 正向用戶提供一個可進行端對端加密的安全電郵系統,稱為 PrivateKey,用戶可透過網頁界面或 Outlook 把電郵加密,加密後的內容連 CertiVox 的員工也無法解密。但是 GCHQ 要求 CertiVox 給 PrivateKey 建立後門,讓他們可以讀取用戶的電郵,CertiVox 的行政總裁 Brian Spector 說:
我們有兩個選擇,一是建構世界上最安全的加密系統,安全得連 CertiVox 也無法讀取你的數據;一是花 500,000 英鎊在系統建立一個後門,讓 GCHQ 讀取數據,再把數據交給美國國家安全局,但是這與我們當初向用戶宣揚的價值觀和訊息背道而馳。
CertiVox 最後選擇取消 PrivateKey 服務,GCHQ 雖然目標未達,但也不是沒有收獲,至少他們成功結束一個他們無法破譯的電郵加密系統,原有的用戶惟有使用一些安全性較低的服務,一些可以被 GCHQ 截取內容,或者窺看電郵元數據 (送件者、收件者、標題、日期時間等等) 的服務。