在上周於美國洛杉磯舉辦的 Black Hat 黑帽大會中,Yahoo 的首席資訊安全官 Alex Stamos 表示將會跟隨 Google 的腳步,為使用者的信件提供點對點加密,透過發送者與收件人提供專屬的數位通道,以避免政府單位或駭客有意地侵犯隱私。
Alex Stamos為今年三月Yahoo重金禮聘的首席資訊安全官,他是業界頂尖的資安專家,也是iSEC Partner創辦人暨CTO。自從他加入Yahoo以來,就在努力幫Yahoo解決過去政府監控以及駭客攻擊Yahoo郵件的問題。
事實上,自從稜鏡門事件爆發以來,不光是Yahoo,包括Google、微軟、蘋果在內等科技龍頭公司,都在想辦法從技術面上來採取措施,應對政府的監控問題。像是他們都將郵件伺服器的數據資料加密,以避免使用者的資料遭到政府監聽。
在今年四月Stamos就針對這點表示,事實上,如果最高級別的政府想要監聽某個人,他們無論如何都會找到方法。但是政府卻很難同時追蹤數百萬人的電子郵件和瀏覽習慣,而Yahoo等公司所能做的,就是保護這些沒有成為監聽特定目標的使用者,能夠避免被監聽。
當然,除了光靠這幾個巨頭的努力也還不夠,最好是有其他網站也加入這個行列,因此最近Google宣佈,未來採用https加密的網站,將會在Google的搜尋結果排行中,獲得較高的推廣排名,就是他們採取的辦法之一。
雖然各家的郵件伺服器已經有提供SSL加密的服務,那只是增加政府竊聽的難度,卻不是萬無一失的辦法。因此Google才會開發所謂的點對點加密技術,並且在今年六月才釋出測試版,由於點對點的加密技術,必須要收信端以及發信端雙方都支援這個技術才行,因此使用者必須透過Google Chrome 安裝擴充工具才能使用。
Google的加密技術基本上是以PGP加密技術為主,過去SSL加密方式是透過SSL伺服器取得金鑰,因此理論上政府還是可以要求廠商從伺服器端提供金鑰而獲得使用者的資訊。
PGP加密技術則是將金鑰儲存在使用者自己的電腦或手機中,因此透過這種機制,就算是Google還是Yahoo也無法解讀使用者加密的訊息。但是問題是PGP的使用難度高,一般使用者可能不會使用,所以PGP技術推廣不易,因此Google希望藉由Chrome 擴充工具來解決這個使用難度的問題。但由於Yahoo本身並沒有開發瀏覽器, 因此他們如果要加入點對點加密的機制來保護使用者,最快的方法便是與已經有自家瀏覽器的Google合作。
Stamos也表示旗下團隊正與 Google 密切合作,以確保雙方的加密功能能夠相容。顯然在面對政府、駭客等威脅的時候,這些廠商已經決定以合作代替競爭,才能解決大家共通性的問題。
Stamos相信這樣的合作將打破目前政府與科技業者合作監控大眾的問題。未來當FBI再找Google或是Yahoo要求監控某個使用者的郵件紀錄時,Google或是Yahoo就可以用「我們也無法查到使用者加密的資料」為由來拒絕。
本文轉載自newmobilelife
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!