約兩週前(10月21日),國際特赦組織(Amnesty International,以下皆稱AI)發表了一份有關即時通訊軟體安全性的評比報告,該份報告在對象上包含了全球11家熱門即時通訊軟體服務提供商,透過服務商所提供的加密政策與實作面資料,對各服務商進行評比 報告在兩週多前發佈。發佈當時,不僅在國際上引起相當程度關注,國內各媒體幾乎也都做出了相關的報導。
在通訊加密作為基本人權的時代,這份報告被熱切關注,固然是值得喜悅的事;但問題是,在閱讀國內相關內容的報導時(Google關鍵字:國際特赦組織+通訊軟體),我們卻發現,各媒體似乎普遍「誤解」或「無法掌握」這份報告的意義,從而將報告給分高的軟體,當作是資安上較安全的軟體,而給分低的,則相對較不安全。
為何我們說是誤讀?AI的報告到底又該怎麼讀?或者更確切地說,像這樣一份要求企業揭露資訊,進而進行某種評比的報告,到底該怎麼讀?以下的文章便是希望能將此釐清,並向大家介紹這類型的報告,閱讀時到底該注意什麼,它的侷限又是什麼。
背景
我們還是先簡單回顧AI在報告中的評比標準。 在報告中,AI開宗明義指出,許多國家會干涉企業的加密技術(Encryption),這些國家會要求企業不許加密、採用較弱的加密技術、甚至要求提供後門(backdoor)等,以方便國家隨時能入侵通訊內容。而AI相信,加密技術是確保通訊科技安全的必要條件,它除了保護用戶的個人隱私外,也確保了言論自由的可能;因此,無論在何種意義下,國家干涉加密的要求都是不合理的。 由此,AI針對企業在加密作業上的「政策」與「實作」面,提出了五項評比標準:
- 公司是否認知到,其政策與程序對於用戶的隱私權與言論自由可能帶來的風險。
- 公司是否已在服務中預設支援「點對點加密技術」(End-To End Encryption)。
- 公司是否會在用戶的隱私權或言論自由受到威脅時,對用戶提出警告,以及該公司如何調整加密技術應對風險。
- 公司是否有揭露政府對用戶資料的索取要求,以及該公司如何回應。
- 公司是否有公布其加密系統的技術細節。
針對這五個項目,AI透過信件詢問各公司,並以收到的回覆完整度,參酌該企業當前已公布的資訊,給出相應的評比分數與建議。 稍微認真一些的讀者,單是檢視AI所說的加密與隱私權和言論自由的關係,以及上述用以評比的五項標準,應該就能發現,與其說這是一份研究「通訊軟體的加密技術」的報告,更精確的說法毋寧是:這是一份『基於言論自由與隱私權的考量,通訊軟體服務提供者除了加密技術以外,還有哪些事情該向大眾交代』的報告」。因為它的五項評比標準,其中與加密技術相關的部分,看起來只有第2項與第5項;且嚴格說來,只有第2項是直接相關。 有關第2項,軟體是否採用點對點(End-to-End)加密的加密形式,因為牽涉到企業能否獲取使用者資訊,以及其他中介的第三者是否能在傳輸過程中,直接獲取對話內容,所以儘管點對點的加密只是一種加密形式,但因為會相對加深希望獲取訊息者的技術要求,因此可以說是直接相關。至於第5項的技術細節,則僅是涉及軟體的原始碼或加密規格是否公開,不討論實際上安全與否。(也因此,儘管Telegram獲得該項目滿分,說明處還是會擺上「雖公開,但常被批評不安全」的評語。) 此外,即使暫且擱置上述項目不談,AI也知道這樣的報告成果容易招來誤解,因此在其報告的醒目處,AI也反覆提醒讀者,應注意報告本身的侷限。無論是在報告發佈的網頁,或者在報告的內文裡,AI皆曾再三強調過以下這些事實:
請注意,這是一份針對各公司在加密上的關鍵政策或實踐的評比報告。我們並未評比該應用軟體的其他隱私面向,或是它們整體的安全性。倘若您是記者或社運人士,或者您相信您個人將遭電子監控針對,則您需要的是完整的數位安全計畫。請就此諮詢數位安全專家,並不要倚賴任何應用軟體去保護您的資訊。
或者:
國際特赦組織並不評鑑即時通訊服務的整體安全,且也不保證報告中提及的應用軟體就是一個安全的通訊軟體。我們推薦記者、社運人士、人權捍衛者或其他通訊可能存在特別風險的人,尋求專家的協助。
或者:
國際特赦組織並未進行這些服務在加密細節上的技術評估,也未評估加密是如何進行的。因此,如同我們在接著的第三節所說的,這份報告僅是就這些服務所應用的加密形式去做評比。原則上,採用何種加密形式,確實是攸關加密是否強健的重要指標;然而這並不能保證,當加密被實際運作時,可能仍會存在問題的事實。
AI之所以反覆強調種種的「不保證」、「未評比」的內容,正是因為這樣一份與通訊軟體「加密」有關的評比報告,並非一份「評論軟體加密或資安是否強健」的報告。報告中所列舉的五項評比標準,多半不是針對加密的技術面,因此最後所得的分數,自然也不保證某個軟體在加密或資安的安全。也因此,排名第一(73分)的Facebook與排名最後(0分)的騰訊(Tencent),儘管確實在點對點的加密形式上存在差異,但最大的差異毋寧在於:外界對騰訊保護用戶隱私或言論自由的政策或實作全然未知。換言之,導致騰訊獲得最低分的原因,是因為它的不透明,是因為它全然未揭露相關資訊,而非它的加密強度最弱[2]。 AI的報告其實是一份類似「Transparency Report」的報告,只是它針對的是通訊軟體的加密。
透明做為起點
如果我們能理解AI報告結論的大前提,才會遭遇接著的這些問題,好比說,資訊透明的意義何在?哪些資訊(不)透明了?那些資訊的(不)透明,會在哪裡出現侷限?
透明的意義
資訊透明的意義何在?與其直接回答問題,我們其實也能反向設想,不透明的狀況會怎樣?若我們發現,不透明就無法開啟實質討論,那我們就會了解,透明本身乃是判斷所以可能、信任所以成立的基礎。換言之,在最原初的意義上,透明賦予了外界審視某個政府、企業或組織是否履行其責任的可能,同時也是彼此信任關係的緣起。 以這次AI的報告為例,AI雖有針對「相關的加密技術細節是否公開」進行評比,然而評比的分寸,也就僅止於「公開的完整與否」,而不涉入加密技術細節的內容好壞的實質評斷。但即使如此,這樣的評分結果,本身就會使讀者比較願意去信任揭露資訊的企業。
該被透明的資訊
至於隨之而來的,哪些資訊該被透明,這多半就取決於當次報告的議題設定,或是報告的效力範圍。議題設定的不同,該被透明的資訊也不同。以AI這次的報告為例,儘管報告的核心關注是隱私權與言論自由,但由於不是定位為針對「整體安全性」所進行的報告,而是只限定在「通訊軟體的加密」相關資訊,因此一些近來考量資訊安全時,也同樣會提及的話題,好比後設資料(Metadata)如何被搜集、比對、利用,就不會被放入這份報告中評估。
非政府組織撰寫透明報告的侷限
最後,有關透明報告的侷限,一直是個大問題。一份報告的撰寫者,必須十分清楚報告本身的侷限,方能儘量免除讀者可能的誤讀。換言之,一個無法揭露自身侷限的研究者,本身就是研究報告最大的侷限。也因此,大部分有意識到自身不足的報告,都會在篇幅中明確提醒讀者,這也是AI這篇報告多次在各環節上(包括調查方法論、評鑑指標、給分公平性等),盡力揭露自身的不足的主因。 但問題在於,侷限本身並不好掌握,因應主體與客體的不同,情形非常多樣。以非政府組織作為撰寫主體為例,其所撰寫的透明報告,在內容上,也時常會遭遇問題。其中最常見的,就是在進行類似研究時,因多半須仰賴業者或政府提供資料,因此資料的完整度時常會不如預期,從而也會影響研究的可靠度與結論。再者,即便對方宣稱提供完整資料,研究單位也未必有進一步查證、判斷的能力。 基於上述理由,讀者在閱讀類似報告時必須了解,資訊透明報告的目標,同時也是其侷限是,它通常不在告訴讀者「誰最可靠、最值得信賴」(因為那時常要涉及實質內容的討論),而往往最多只是傳達「有些對象你連最基礎的信任都很難建立。」(如AI這次報告中的分數較低的那幾家)。
總結
因此,本文能提供的建議是,大家往後在閱讀等相關資料時,應適度留意其調查方法,瞭解該報告可能的侷限性或自身有無相關揭露,並注意給分所涉及的具體判準。如此,才能就得分或評比的高低,做出正確的判讀。
