什么是加密后门？

在报道称英国政府试图迫使苹果开放iCloud的端到端加密（E2EE）设备备份之后，谈论加密服务中的后门再次进行了巡回演出。据说官员们倾向于苹果公司在服务中创建一个“后门”，这将使州行为者可以在Clear中访问数据。

以来，英国已经限制了技术公司使用强大加密的范围，自2016年对州监视权进行了更新以来。根据《华盛顿邮报》的报道，英国官员已使用《调查权法》（IPA）对苹果的需求提出要求 - 寻求“毯子”访问其iCloud Advanced Data Protection（ADP）服务旨在保护避免第三方访问的数据，包括苹果本身。

Apple ADP服务的技术体系结构的设计方式是即使是技术巨头也不成立加密键 - 由于使用端到端加密（E2EE） - 允许Apple保证其对用户数据的“零知识”。

一个后门是通常部署的术语，以描述插入代码中的秘密漏洞，以绕过或以其他方式破坏安全措施，以实现第三方。在iCloud的情况下，该订单允许英国情报代理或执法部门访问用户的加密数据。

尽管英国政府通常拒绝确认或拒绝IPA下发出的通知的报告，但安全专家警告说，如果iPhone制造商被迫削弱其为所有用户提供的安全保护，包括位于英国以外的用户，则该秘密命令可能会产生全球影响。

一旦存在软件中的脆弱性，可能会被其他类型的代理人利用，例如，黑客和其他不好的参与者都希望获得Nefar的访问权限目的 - 例如身份盗用或获取和出售敏感数据，甚至部署勒索软件。

这可能解释了为什么在国家驱动的尝试访问E2EE的尝试围绕E2EE的尝试的主要措辞是后门的视觉抽象；要求有意添加到代码中的漏洞使权衡更平均。

使用一个示例：在物理门方面 - 在建筑物，墙壁或类似的情况下 - 永远不能保证只有该物业的所有者或钥匙持有人才能独有地使用该入境点。

一旦存在一个开口，它就会产生访问的潜力 - 例如，有人可以通过打开门来获得钥匙的副本，甚至可以强迫他们的方式。

底线：没有一个完美选择的门口，只能让特定的人通过。如果有人可以输入，从逻辑上讲，其他人也可以使用门。

相同的访问风险原则适用于添加到软件中的漏洞（或实际上是硬件）。

过去的安全服务浮动了Nobus的概念（“除了我们之外”）。这种特定类型的后门通常取决于对其技术能力的评估，以利用特定的脆弱性优于其他所有脆弱性 - 本质上是表面上更安全的后门，只能由自己的代理人专门访问。

但从本质上讲，技术的能力和能力是可移动的壮举。评估其他人的技术能力也几乎不是一门精确的科学。 “ Nobus”概念是已经有问题的假设。任何第三方访问都会产生打开攻击媒介的风险，例如旨在以“授权”访问的人为目标的社会工程技术。

毫不奇怪，许多安全专家将Nobus视为基本有缺陷的想法。简而言之，任何访问都会造成风险；因此，推动后门与强大的安全性是对立的。

然而，不管这些清晰明确的安全问题，政府都继续敦促后门。这就是为什么我们不得不谈论它们的原因。

“后门”一词也意味着此类请求可以是秘密的，而不是公开的，就像后门不是面向公共的入口点一样。在苹果的iCloud情况下，通过“技术能力通知”或TCN的方式，无法合法地披露以“技术能力通知”或TCN的方式妥协加密的请求。法律的目的是，任何这样的后门都是设计的秘密。 （将TCN的细节泄漏到媒体上是绕过信息块的一种机制，但重要的是要注意，苹果尚未对这些报告发表任何公众评论。）

根据权利组的电子边界基金会，“后门”一词的历史可以追溯到1980年代，当时后门（和“ Trapdoor”）被用来参考创建的秘密帐户和/或密码，以允许某人未知的访问进入系统。但是多年来，该词已被用来标记降级，绕过或以其他方式损害通过加密启用的数据安全的广泛尝试。

虽然后门再次出现在新闻中，这要归功于英国追随苹果的加密iCloud备份，因此重要的是要意识到数据访问需要约会的日期。

在1990年代，美国国家安全局（NSA）开发了加密的硬件，用于处理带有后门的语音和数据消息，目的是允许安全服务拦截加密的通信。众所周知，“剪裁芯片”使用了密钥托管系统 - 这意味着创建并存储了加密密钥政府机构为了促进在州当局想要的情况下访问加密数据。

NSA试图用烘焙后门鞭打芯片的尝试因安全性和隐私反弹而缺乏收养而失败。尽管快船芯片是帮助解雇密码学家开发和传播强大加密软件的努力，以保护数据，以保护数据，以防止撬动政府过度。

剪裁芯片也是一个很好的例子，说明了尝试授权系统访问的尝试。值得注意的是，后门不一定总是秘密。 （在英国的iCloud案中，州代理显然希望在不知道的情况下获得访问权限。）

补充说，政府经常围绕访问数据的要求进行情感宣传，以鼓励公众支持和/或对服务提供商施加压力，例如通过争辩说访问E2EE对打击虐待儿童或恐怖主义或防止其他一些令人发指的犯罪是必要的。

后门可以有一种方法可以回来咬他们的创作者。例如，中国支持的黑客是去年秋天联邦政府授权系统的妥协的背后 - 显然，由于一项30年历史的联邦法律已授权后门访问权限，因此可以访问美国电信公司和ISP的用户数据（在这种情况下，非E2EE数据，否定了非e2ee数据），否定了故意烘焙毛毯的风险。

政府还必须担心外国后门为自己的公民和国家安全造成风险。

多年来，有多个中国硬件和软件被怀疑藏有后门的实例。对潜在的后门风险的担忧导致某些国家（包括英国）采取措施去除或限制中国技术产品的使用，例如关键电信中使用的组件近年来的束缚。对后门的恐惧也可能是一个有力的动力。