2014年4月28日
第12卷，第3期

美国国家安全局与斯诺登：确保全视之眼的安全

美国国家安全局良好的安全措施如何能够阻止他

鲍勃·托克森

爱德华·斯诺登在夏威夷的博思艾伦汉密尔顿公司担任美国国家安全局（NSA）承包商期间，复制了多达 170 万份绝密及更高级别的文件，并将副本藏在拇指驱动器中，从他工作的安全设施中走私出去，之后向媒体发布了许多文件。² 这改变了美国政府与美国人民以及与其他国家的关系。本文探讨了美国国家安全局在计算机安全方面本可以如何阻止这一事件，这可能是美国历史上最具破坏性的秘密泄露事件。¹⁹ 随附的侧边栏探讨了宪法、法律和道德问题。

根据总统行政命令 13526，“‘绝密’应适用于未经授权披露后，合理预期会对国家安全造成极其严重损害的信息。”²⁴ 还有高于绝密级别的保密等级，例如 SCI（敏感分隔信息）、SAP（特殊访问计划）和 CNWDI（关键核武器设计信息）。⁹ 英国绝密的等同说法是最高机密。

斯诺登做了什么？

斯诺登是一名计算机系统管理员。防范恶意系统管理员比防范用户更困难，但这并非不可能。请注意，美国国家安全局拥有几乎无限的预算和资源，因此本可以一直遵循良好的安全实践。正如白宫网络安全顾问理查德·克拉克所说：“如果你在咖啡上的花费超过 IT 安全，你就会被黑客入侵。更重要的是，你活该被黑客入侵。”²⁰

国家公共广播电台的“所有事物皆已考虑”节目在去年 12 月 17 日表示，被盗文件存储在微软的 SharePoint 文档管理系统中。在可能被复制的 170 万份文件中，斯诺登与记者分享了多达 20 万份文件；美国国家安全局并未对此提出异议。^2,19 美国国家安全局评估斯诺登造成的“损害”工作组负责人里克·莱吉特声称，“系统管理员……拥有密码，使他们能够绕过这些……安全措施，而这正是斯诺登所做的。”¹⁹

美国国家安全局的莱吉特声称不了解过去 30 年来用于防止系统管理员窃取数据的计算机安全技术和技术，这令人费解。^10,15,29 这将在后面的“橙皮书和双人授权”部分中讨论。美国国家安全局不再将 SharePoint 用于此目的，这就引出了一个问题，为什么美国国家安全局放弃了安全的橙皮书合规性和其他良好的安全实践，用于处理机密数据的计算机系统？

在 12 月 15 日接受 CBS“60 分钟”采访时，美国国家安全局局长基思·B·亚历山大将军承认，斯诺登的部分工作是在美国国家安全局计算机系统之间传输大量机密数据。¹⁹ 然后，斯诺登将文件复制到 USB 记忆棒，并将其藏在身上，以便将大量数据偷运出美国国家安全局。^11,26 在出口处进行简单的手持金属探测器一分钟扫描——就像 TSA（运输安全管理局）和法院使用的“挥动”一样——就可以找到任何闪存设备。

安全环

让我们稍微离题，讨论一下安全环的重要概念，这是我对行业标准但不太明显的术语深度防御的称呼。这意味着拥有多个同心安全环，这样，如果攻击者突破了他们遇到的第一个或最外层环，那么，希望第二个、第三个或第四个环会阻止他们；没有哪一项安全措施是 100% 有效的。这些环主要与身份验证有关，与用户通过身份验证后被允许做什么无关。考虑一下安全环如何应用于普通网络；这种普通级别的安全性对于需要非常高安全性的地方（例如美国国家安全局、银行、处理大量社会安全号码或信用卡号码的系统等）来说是不够的。

假设我们想要拥有一个网络，其中系统管理员可以从家中 SSH（安全外壳）登录服务器。在第一环中，防火墙可能只允许来自系统管理员家庭系统的短 IP 地址列表的 SSH 访问。因此，攻击者必须从大约十几个系统管理员的家庭网络之一发起攻击，而不是能够从互联网上的数十亿个系统中进行攻击，从而大大降低了漏洞风险。现代 TCP/IP 实现（SSH 使用）对 IP 欺骗具有很强的免疫力。当与端到端加密相结合时，中间人攻击几乎被消除。

第二环可能只允许通过这些家庭系统上的公钥/私钥进行 SSH 身份验证。禁止 SSH 接受密码可以防止密码猜测风险，从而防止未经授权的系统访问。第三环将监视日志文件以查找攻击并阻止这些 IP，最好是自动阻止。第四环将是该 SSH 私钥上的强密码。第五环可能要求系统管理员的家庭系统（当然，还有办公室的所有系统）在几分钟不活动后锁定屏幕。

阻止斯诺登

美国国家安全局本可以采用多种安全方法来阻止斯诺登。其中许多方法已经使用了十年或更长时间，但美国国家安全局并没有使用它们。

安全岛屿

在这种情况下，显而易见的起点是防止系统管理员或其他人员进入未经授权的系统。“安全岛屿”概念是一种安全保障，以防有人设法渗透网络。在高安全组织中，不同的网段，甚至不同的系统，都应被视为不信任彼此或系统广阔海洋中的网络的“安全岛屿”。这意味着不同的系统应该具有不同的 root 密码、不同的用户密码和不同的 SSH 密码，并且几乎所有系统之间的流量都应该加密。系统应具有加密文件系统和加密备份。

物理安全

每个安全岛屿都应受到物理保护，以防受到攻击。这当然包括系统和外围设备以及承载任何未加密机密数据的网络。即使是大型商业托管设施也在某些系统周围设置了钢笼，并安装了摄像头监控这些区域。PCI（支付卡行业）安全标准要求对大型信用卡处理器进行此类保护。高安全操作应安装摄像头并长期保存录像。

一种简单的安全措施是在每个笼子上安装两把高安全锁，每把锁都需要不同的人持有的不同钥匙。因此，当访问硬件时，必须有两个人在场。同样，网络电缆也可以固定（例如，在钢管内部），或者在本地或广域网上传输数据之前对其进行加密。没有报告表明斯诺登利用了任何物理安全措施的不足，尽管物理安全对于保护至关重要。

防止未经授权的复制

应禁用插入 USB 记忆棒或插入空白 DVD 进行写入的功能。大多数 DVD 刻录机和 USB 插孔也应移除。应禁止并防范摄像头、录音机、手机和任何其他未经授权的存储设备。门口的金属探测器可以检测到违规者。应监控 RF（射频）辐射，并且可以采用法拉第笼来阻止 RF 辐射。这些技术都不昂贵。

双因素身份验证

即使是斯诺登的绝密许可也不足以让他访问他窃取的一些文件。美国国家安全局承认，斯诺登使用了某些美国国家安全局高级官员用户帐户的更高于绝密的许可。之所以成为可能，是因为他创建了这些帐户或使用他的系统管理员权限修改了这些帐户，以便使用 NSAnet（美国国家安全局的机密内网）远程访问更高级别的机密文件。¹³ 斯诺登访问安全许可高于他的帐户违反了长期以来被接受的安全策略，即系统应防止任何人访问安全许可高于用户的数据。计算机本可以轻松阻止这种情况，而是要求具有更高安全许可级别的系统管理员的服务，以便根据需要调整这些帐户。

这也违反了双因素身份验证的概念。身份验证是计算机（或保安，甚至商店店员）确定你是否真的是你所声称身份的能力。通常，身份验证方法包括你知道的东西（密码或 PIN 码）、你拥有的东西（信用卡或发给员工和顾问的 RFID 识别卡或 USB 密钥）或你是什么（你的签名或指纹或视网膜扫描或你照片在难以伪造的证件上，例如驾驶执照、员工证或护照）。这些中的每一个都称为一个因素。这些方法都不昂贵，而且都有效。虽然指纹可以通过一些努力来伪造，但这对于现代高质量的指纹读取器来说更加困难，这些读取器在商业上是可用的。

许多组织使用非常流行的双因素身份验证来授予对计算机或设施或资金的访问权限，例如，要求在不提供密码或 RFID 识别卡以及指纹的情况下无法获得访问权限。三因素身份验证会更好。

如果美国国家安全局要求良好的双因素身份验证，例如将指纹和密码与斯诺登没有管理访问权限的中央数据库进行比较，那么它将阻止他冒充他人使用其帐户——这就是他如何获得高于其安全许可的文件的方式。收集数据库的这些因素将由两组不同的人员完成，这两组人员都不是像斯诺登那样管理机密文件的人员。这种权限分离对于良好的安全性至关重要，因为它需要多人才能实现妥协。

即使管理用户密码的人员变得不诚实，她也无法访问指纹数据库。可以通过让用户通过单人防尾随门进入一个单独的内室来阻止密码管理器看到用户输入密码，而管理密码更改的人员无法访问该内室。该房间将配备物理加固触摸屏上的虚拟键盘，从而难以恶意使用击键记录器。由于篇幅有限，此处不允许讨论更深层次的漏洞利用，例如欺骗指纹、防范击键记录器、TEMPEST（美国国家安全局自身的一套射频信息泄漏安全标准）、社会工程学等。

社会工程学是指攻击者欺骗某人泄露他不应泄露的信息。那些谎称来自你的银行，要求你点击链接并提供密码或提供与你分享被盗资金的电子邮件就是例子。斯诺登利用社会工程学获得了至少一名美国国家安全局员工的密码，该员工随后辞职；该主题已在其他论文和书籍中得到广泛讨论。良好的经常性教育和严格的政策，禁止在任何情况下共享自己的密码、识别卡、密钥等，可能可以防止斯诺登泄密事件的这一部分。

橙皮书和双人授权

如果有人在看着，某人做不诚实的事情的可能性就较小。这就是为什么许多商店至少有两个人工作，以及为什么运钞车服务使用两个人。这也是为什么你在某些支票底部看到“超过 5,000 美元的金额需要两个签名”的原因。

美国国家安全局在 30 年前创建了橙皮书规范《可信计算机系统评估标准》，要求联邦政府和承包商将其用于处理具有多个安全分类级别的数据的计算机。本文作者增强了一个符合橙皮书标准的 Unix 系统，使其具有额外的安全功能。这样一台计算机将阻止，例如，只有机密许可的用户查看绝密文件。还可以创建不同的“隔间”来存放不同的文件集。只有被允许访问特定命名隔间的人员才能访问该隔间中的文件，即使该人员另有足够的安全许可。

这种高安全许可被称为“分隔安全”（又名“需要知道”）。保护大量秘密的一个重要方面是，极少有人应该访问超过其中一小部分秘密。从事一个关键隔间工作的人员应被禁止访问其他关键隔间。那些知道许多秘密的人，例如亚历山大将军，会得到持续的特勤局保护。

一个隔间可能是“在没有有效授权的情况下监视美国人的电话记录”。另一个可能是“在没有有效授权的情况下监听美国人的国内电话对话和阅读电子邮件”。^3,12,17,22 第三个可能是“入侵盟国领导人的电话”。由于斯诺登不应参与任何这些项目，因此应该缺乏足够的许可，因此他将无法访问这些程序的文档，甚至不知道它们的存在。然而，在现实中，美国国家安全局允许一个人，斯诺登，不受约束、不受监控地访问 170 万份文档。

同样重要的是橙皮书的概念，即不信任任何一个系统管理员。相反，角色 1 系统管理员将系统更改（例如新帐户或对现有帐户的更改）排队。角色 2 中的第二个人无法发起此类请求，但必须在排队的请求生效之前批准它们。橙皮书操作系统还通过在请求密码时显示其他程序无法显示的特殊符号来防止使用登录模拟器。斯诺登可能使用了登录模拟器。

这种双人授权可能有多贵？2013 年，美国国家安全局约有 40,000 名员工和约 40,000 名承包商，其中包括 1,000 名系统管理员。^8,25 增加另外 1,000 名系统管理员来监视第一批人，只会使工资增加微不足道的 1%。

鉴于此，美国国家安全局是否会采用其创建的双人授权和橙皮书政策？不会，美国国家安全局将解雇 90% 的系统管理员，以限制人为访问，并将大部分服务器放在美国国家安全局自己的云中。¹ 云只是另一名称，指的是可通过网络远程访问且通常由其他人（通常是供应商（又名承包商））管理的计算机集。也许它会聘请斯诺登的前雇主博思艾伦来管理这个云。

记录事件和监控

美国国家安全局应监控每个人访问多少文档以及访问速度，然后检测并限制此行为。令人震惊的是，无论是美国国家安全局的泄密事件，还是类似的巨大数据盗窃事件，例如 Target 在 2013 年底丢失了 4000 万张信用卡的数据（包括我的信用卡），都没有人注意到并采取任何措施。像样的实时监控和对事件的自动响应本可以及早检测到这两起事件，并可以防止大部分泄密事件。

开源 Logcheck 和 Logwatch 程序将近乎实时地生成异常事件警报，而 Fail2Ban 程序将锁定攻击者。所有这些都是免费的，并且可以轻松定制以检测过量下载文档的情况。有许多类似的商业应用程序，美国国家安全局当然有预算创建自己的应用程序。

禁止互联网访问或任何家庭作业

显而易见，这项政策是为了防止机密数据离开安全大楼。对于下班后的问题，系统管理员要么必须开车去办公室，要么必须始终在现场。一位前中央情报局局长几乎因将机密数据带回家工作而遭到解雇，这违反了严格的禁止规定。（他不是在窃取数据；他只是想在家工作。）斯诺登将机密材料带回家并在家工作，他用罩子遮住自己和计算机，以免他的女朋友看到。¹⁹ 显然，这样他就可以拍摄屏幕。

防止可移动介质离开建筑物

回想一下安全环。一个环将阻止可移动介质离开建筑物。每个加油站老板都想出了这一点，在每个洗手间钥匙上都附上了一个很大的物体。美国国家安全局可以将每个拇指驱动器放在一个大型钢箱内，或者它可以将标准 USB 连接器和计算机的 USB 连接器替换为难以复制的定制设计的连接器。

创造性地使用加密

考虑到斯诺登的工作之一是将大量机密数据从一台计算机复制到拇指驱动器，然后将该拇指驱动器连接到另一台计算机并下载数据。他很可能在下载完他想要的数据后将拇指驱动器藏在身上并带回家。这种盗窃事件可以通过使用公钥加密来相当容易地预防。³³ 在公钥加密中，有两个相关的密钥：公钥和密钥，也称为私钥。如果原始的“明文”使用公钥加密，那么只能使用密钥解密，而不能使用用于加密数据的公钥解密。

美国国家安全局应该为每个需要传输数据的系统管理员创建一对公钥/密钥对，并在每台计算机上为每个系统管理员创建一个单独的帐户来传输此数据。在源计算机（例如，斯诺登）上生成此加密数据的人员必须提供另一个系统管理员（例如，朱莉娅）的公钥 ID 给允许写入 USB 拇指驱动器的自定义程序；该软件不允许使用他自己的公钥。允许进行数据传输的系统管理员集合与源计算机和目标计算机上具有 root 访问权限的系统管理员集合没有共同成员。换句话说，像斯诺登这样的“数据传输系统管理员”将没有 root 或物理访问计算机的权限，而具有 root 或物理访问权限的系统管理员将被禁止在系统之间传输数据。这种职责分离至关重要。只有该自定义程序，而不是系统管理员，才被允许写入拇指驱动器。该计算机将使用朱莉娅的公钥加密数据，并将加密数据写入拇指驱动器。

然后，斯诺登将通过拇指驱动器将加密数据下载到目标计算机，方法是在登录他的帐户后，在目标计算机上使用自定义程序（该程序对 USB 驱动器具有唯一访问权限）。该程序将提示斯诺登输入要将加密数据传输到的帐户（例如，朱莉娅的帐户），然后将加密文件移动到她的帐户。朱莉娅将登录到目标计算机并提供解锁她的加密密钥的密码和她的指纹或 RFID 识别卡给该自定义程序，然后该程序会将数据解密到朱莉娅的帐户中。之后，她可以将数据移动到目标计算机上的最终位置。该实现非常简单。

毋庸置疑，负责此数据传输的系统管理员不会拥有 root（管理）访问这些计算机的权限，这将使他们能够绕过此自定义程序的限制，并且这些计算机将运行现代版本的橙皮书兼容操作系统，这些操作系统在任何情况下都需要两名系统管理员才能获得特权访问权限。此外，斯诺登将没有朱莉娅的指纹或密码，或者，如果使用，也没有她的用于身份验证的识别卡。开源 GPG（GNU Privacy Guard）将私钥以加密形式存储在磁盘或其他位置，只能通过提供密码或其他身份验证来解密。¹⁵

因此，没有系统管理员可以单独解密他或她加密到拇指驱动器的数据。这将阻止斯诺登通过拇指驱动器进行盗窃。这些自定义程序（将在源计算机和目标计算机上运行）可以使用开源 GPG 加密程序在一两天内编写完成，相当大一部分阅读本文的人都可以做到这一点。因此，即使 USB 拇指驱动器被偷运出美国国家安全局的安全设施，它也毫无价值。

同样，对于高度机密的文件，可以有额外的文件级加密环，具有单独的公钥/密钥对。只有那些有权阅读这些文档的用户（而不是负责复制文件的系统管理员）才拥有解密它们的密钥。那些使用目标系统的人员（在斯诺登和朱莉娅合法复制之后）将能够解密文件。然而，即使通过读取原始磁盘，系统管理员也永远看不到解密后的文档。仅凭这个简单的预防措施就可以防止斯诺登批量盗窃许多文档。结合使用公钥加密在系统之间传输数据，斯诺登将不得不击败两个极具挑战性的安全环才能窃取数据。在所有处理机密数据的计算机上使用加密文件系统或全盘加密将提供额外的安全环。

计划入侵以最大限度地减少损害

美国国家安全局的莱吉特承认，“我们还首次了解到，损害评估的一部分考虑了斯诺登可能在美国国家安全局的系统上留下漏洞或病毒，例如定时炸弹的可能性。”¹⁹ 该机构应该计划应对可能的入侵，以最大限度地减少损害并快速可靠地评估损害。例如，它可以准备好将系统的当前状态与入侵前采取的可信备份进行比较。这种比较可以在不同的可信系统上运行。²⁹ 使用安全岛屿，而不是将美国国家安全局的所有鸡蛋放在一个篮子里，将最大限度地减少损害。它本可以一直运行文件系统完整性检查器，以检测对文件的篡改。

定期安全审计

安全是一个持续的过程。每季度或每年进行的外部安全审计本可以发现美国国家安全局的问题，并可能及时修复这些问题以阻止斯诺登。这种审计非常普遍，被认为是良好的实践。这类似于美国政府要求的对大型公司进行的外部财务审计。审计报告应由最高管理层审查，以避免较低级别的人员只是忽略不方便的调查结果。

总结

美国国家安全局似乎在利用即使是最重要、最简单、最廉价的良好计算机安全实践方面也变得松懈，这带来了可预测的后果，即使它拥有几乎无限的资源和访问权限——如果它想要的话——可以获得该国最好的计算机安全专家。

此处涵盖的大多数良好安全实践都在作者于 2000 年首次出版的真实世界 Linux 安全中进行了讨论。²⁹ 这些安全实践中最重要的一部分也在本文作者的文章“Linux 安全的七宗罪”中进行了讨论，该文章发表在 2007 年 5 月/6 月的期刊上。

我很荣幸我的书在国家安全局总部有亲笔签名版。绝大多数国家安全局员工和承包商都是才华横溢、守法奉公、忠诚爱国的。不幸的是，毫无疑问，极少数人无视了关于这些安全问题迫切需要修复以避免严重泄密的警告。

宪法性

美国国家安全局监视所有美国人的另一个关键方面是宪法性和道德性，这正是斯诺登试图引起注意的——并且以很大的方式成功了。《宪法》第四修正案规定：

“人民的人身、住宅、文件和财产不受不合理搜查和扣押的权利，不得侵犯；除非有可成立的理由，经宣誓或代誓宣言保证，并详细说明搜查地点和扣押的人或物，不得发出搜查证。”

为什么宪法的制定者们关心这个问题，我们又为什么要关心呢？简而言之，因为当由诚实和有能力的法官执行时，《第四修正案》可以防止政府官员对无辜人民的严重滥用，包括侵犯他们的隐私。在殖民时期的美国，英国国王乔治授权官员在没有搜查证或可成立的理由的情况下，对房屋、人身、他们的财产等进行大规模搜查，尽管英国法院 1603 年的塞曼案承认户主有权抵御非法闯入他的房屋，即使是国王的代理人在没有基于可成立理由的特定搜查证的情况下也是如此。^6,31 这就是“每个人的房子都是他的城堡”背后的含义。（威廉·皮特在 1763 年对议会发表讲话时，对这一格言进行了最强有力的表达：“最贫穷的人也可以在他的小屋中蔑视王权的所有力量。它可能很脆弱……但英格兰国王无法进入——他的所有力量都不敢跨越破旧房屋的门槛。”）电子产品当然符合个人财产的条件，《牛津英语词典》就是这样定义财产的。一个人的财产受到《第四修正案》的保护。

1705 年在英国恩蒂克诉卡林顿案中得到了证实。英国法院裁定，导致突袭许多房屋（包括恩蒂克的房屋，国王的人闯入了他的房屋，并撬开了他锁着的书桌和箱子，还扣押了许多与正在搜查的东西无关的文件）的通用搜查令违反了英国法律。法院认为，对恩蒂克使用的搜查令过于笼统，没有基于可成立的理由，并且允许扣押无关的材料；而且，也没有记录扣押了什么。请注意，诉讼是由恩蒂克起诉王室发起的。^16,31 难道计算机和电话不是现代等同于锁着的书桌吗？

2013 年 12 月 28 日，美国法官威廉·H·保利三世裁定，美国人不得因美国国家安全局监视美国人而对其提起诉讼。具体而言，他驳回了 ACLU（美国公民自由联盟）提起的诉讼，称“如果不是爱德华·斯诺登未经授权的披露，ACLU 永远不会了解到第 215 条命令授权收集与其电话号码相关的电话元数据。”^7,34 《爱国者法案》第 215 条要求对美国人的这种监视永远保密。

保利的裁决表示，美国人不得质疑政府行为的合宪性，因为美国人只是通过他人的非法行为才了解了该行为。在作者看来，该裁决更像是前苏联。这也与 200 多年的美国宪法法律先例相悖，后者认为，无论公民身份如何，一个人始终有权享有所有宪法权利，并且始终可以质疑违规行为。政府唯一的辩护是未发生违规行为。

1969 年美国法院的一项裁决认为，“[第四]修正案在很大程度上是对通用搜查令和无搜查令搜查的回应，这些搜查疏远了殖民者，并加速了独立运动[即美国革命]。因此，在修正案的方案中，‘除非有可成立的理由，不得发出搜查证’的要求起着至关重要的作用。”^4,31 可以毫不费力地找到更多类似的美国法院裁决。简而言之，合理的搜查需要可成立的理由，这意味着有充分的理由相信某人拥有非法物品或犯罪证据。

根据美国政府司法部门的说法，“在法律眼中，特定类型的搜查是否被认为是合理的，这取决于平衡两个重要的利益。天平的一侧是侵犯个人《第四修正案》权利的行为。天平的另一侧是合法的政府利益，例如公共安全。”³⁰ “然而，《第四修正案》的参数并未在搜查电子设备的领域内停止。”¹⁸

据华盛顿邮报透露，奥巴马总统自己的独立 PCLOB（隐私和公民自由监督委员会）表示，美国国家安全局的电话监视计划是非法的，应该结束。“我们尚未发现任何涉及对美国构成威胁的实例，其中电话记录计划对反恐调查的结果产生了具体影响，”这份长达 238 页的报告称。

PCLOB 的报告还表示，美国国家安全局的电话数据计划不能以《爱国者法案》第 215 条为基础，该条款“要求政府寻求的记录[例如，电话号码]与授权调查相关”。²⁸ “以防万一”而扣押所有美国人的所有电话记录，显然不符合宪法的任何可能解释。

2013年12月16日，美国联邦法官理查德·J·莱昂裁定，美国电话公司批量收集电话元数据可能违反美国宪法。法官写道：“我想象不出比这种系统化和高科技地收集和保留几乎每个公民的个人数据，以便在没有事先司法批准的情况下进行查询和分析，更‘不加区分’和‘任意’的侵犯了…… 毫无疑问，这样的计划侵犯了国父们在宪法第四修正案中珍视的‘隐私程度’。” 莱昂表示，政府“没有引用任何一个案例表明…… 美国国家安全局的批量元数据收集实际上阻止了迫在眉睫的袭击，或以其他方式帮助了政府……”²¹

最近，我的朋友乔希问我关于美国国家安全局（NSA）监视美国人的事情，并补充说：“好吧，如果这有助于抓住恐怖分子，我不介意他们监视我。” 我指出，美国国家安全局局长基思·B·亚历山大将军在国会宣誓作证时承认，美国国家安全局蓄意监视 3 亿美国人并没有挽救任何一个美国人的生命。我问他对美国国家安全局分析员监听他和妻子的浪漫对话有何看法。现在他似乎不太高兴了。

乔希有一个年幼的女儿，所以我问：“如果几年后，当你的女儿 16 岁时给你打电话说，‘爸爸，我在朋友家。你能来接我吗？我喝了酒，开车不安全。真的很抱歉。’” 如果美国国家安全局监听了这段对话，并使用手机的 GPS 和私人电话对话的文字记录向当地警方提供了他女儿的位置，然后警察逮捕了他的女儿，理由是她未成年饮酒，乔希会作何感想？乔希此时变得非常不高兴。您是否试图对您的性取向或兴趣保密？您的宗教信仰甚至您在总统选举中投票给了谁呢？股票内幕消息或专利想法呢？政府有权知道您给谁打电话吗？

是的，美国国家安全局确实在监听您的国内电话，阅读您的电子邮件，并获取您电话联系人的私人信息。^3,12,17,22 路透社在 2013 年 8 月 5 日报道称，美国缉毒局（DEA）承认掩盖了非法从美国国家安全局获取信息的使用，并伪造了证据来源。这包括美国国家安全局从情报拦截、窃听、线人和一个庞大的电话记录数据库中获得的信息，所有这些都没有正当的搜查令或可能的理由。然后，美国缉毒局将这些信息提供给全国各地的当局，以帮助他们对美国人展开刑事调查。²⁷ 显然，这正是宪法第四修正案旨在防止的情况。政府有权这样做吗？

新泽西州高等法院有史以来最年轻的法官安德鲁·P·纳波利塔诺称奥巴马总统于 2014 年 1 月 17 日宣布的承诺的美国国家安全局改革为总统安慰剂。^23,32 电子前沿基金会（EFF）将总统的改革评为 12 分中的 3.5 分。⁵ （电子前沿基金会是一个致力于为人们在电子世界中的权利而奋斗的非营利组织，并且可能是最积极的组织，在法庭和其他地方反对美国国家安全局监视美国人。）参议员兰德·保罗（肯塔基州共和党）认为，奥巴马提出的改革将等同于“配置新的相同违宪计划”。¹⁴ 美国国家安全局的许多这些行动是在“9·11”事件后第二届布什政府时期开始的。美国国家安全局对所有美国人的监视是否是对宪法第四修正案的违宪和非法侵犯？鉴于我们研究过的 400 年历史，笔者只能看到一个结论。

纪念

作者哀悼斯坦·凯利-布特尔的去世，他是一位朋友和导师，相伴 35 年，是一位计算机先驱，获得了世界上第一个计算机科学研究生学位（来自剑桥大学），撰写了九本关于计算机的书籍和一百多篇文章和专栏，包括他长期幽默的 Queue Curmudgeon 专栏。斯坦也是一位著名的歌手和词曲作者，曾与佩吉·西格、皮特·西格、朱迪·柯林斯、都柏林人乐队等多位歌手合作，并偶尔在 1958 年至 2011 年期间在 BBC 上演出。

斯坦·凯利-布特尔，1929-2014年4月16日。

参考文献

1. Allen, J. 2013. 美国国家安全局将削减 90% 的系统管理员，以限制数据访问。路透社。 8 月 9 日； http://www.reuters.com/article/2013/08/09/us-usa-security-nsa-leaks-idUSBRE97801020130809。

2. Block, M. 2013. 斯诺登的文件泄露震惊了美国国家安全局，而且可能会有更多泄露。美国国家公共广播电台。 12 月 17 日； http://www.npr.org/templates/story/story.php?storyId=252006951。

3. Brosnahan, J., West, T. 2006. 法庭之友马克·克莱因的简报。 5 月 4 日； https://www.eff.org/files/filenode/att/kleinamicus.pdf。

4. Chimel v. California，395 U.S. 752, 761 (1969)。

5. Cohn, C., Higgins, P. 2014. 评估奥巴马的国家安全局改革计划：电子前沿基金会记分卡解释。电子前沿基金会，1 月 17 日； https://www.eff.org/deeplinks/2014/01/rating-obamas-nsa-reform-plan-eff-scorecard-explained。

6. Coke's Reports 91a, 77 Eng. Rep. 194 (K.B. 1604)。

7. Davidson, A. 2013. 保利法官对国家安全局说：放手去做。纽约客。 12 月 28 日； http://www.newyorker.com/online/blogs/closeread/2013/12/judge-pauley-to-the-nsa-go-big.html。

8. Davidson, J. 2013. 美国国家安全局将削减 90% 的系统管理员。华盛顿邮报。 8 月 13 日； http://www.washingtonpost.com/blogs/federal-eye/wp/2013/08/13/nsa-to-cut-90-percent-of-systems-administrators/。

9. 国防后勤局。关键核武器设计信息访问证书； http://www.dla.mil/dss/forms/fillables/DL1710.pdf。

10. 国防部可信计算机系统评估标准，又名橙皮书 1985 年； http://csrc.nist.gov/publications/history/dod85.pdf。

11. Dilanian, K. 2013. 官员：爱德华·斯诺登用拇指驱动器带走了美国国家安全局的秘密。洛杉矶时报。 6 月 13 日； http://articles.latimes.com/2013/jun/13/news/la-pn-snowden-nsa-secrets-thumb-drive-20130613。

12. 电子前沿基金会（eff.org）。美国国家安全局间谍视频，包括许多著名人士的评论以及对过去违规行为的回顾； http://www.youtube.com/watch?v=aGmiw_rrNxk。

13. Esposito, R. 2013. 消息人士称，斯诺登冒充美国国家安全局官员。美国全国广播公司新闻。 8 月 28 日； http://investigations.nbcnews.com/_news/2013/08/28/20234171-snowden-impersonated-nsa-officials-sources-say?lite。

14. Everett, B., Min Kim, S. 2014. 立法者赞扬、批评奥巴马总统的国家安全局计划。政治家。 1 月 17 日； http://www.politico.com/story/2014/01/rand-paul-response-nsa-speech-102319.html。

15. GNU 隐私卫士； http://www.gnupg.org。

16. Howell's State Trials 1029, 95 Eng. 807 (1705)。

17. Klein, M., Bamford, J. 2009. 连接老大哥机器……并与之战斗。 Booksurge 出版社。

18. 康奈尔大学法学院法律信息研究所。第四修正案：概述； http://www.law.cornell.edu/wex/fourth_amendment。

19. Miller, J. 2013. CBS 新闻“60 分钟”。 12 月 15 日； http://www.cbsnews.com/news/nsa-speaks-out-on-snowden-spying/。

20. Lemos, R. 2002. 安全大师：让我们保护互联网的安全。ZDnet； http://www.zdnet.com/news/security-guru-lets-secure-the-net/120859。

21. Mears, B., Perez, E. 2013. 法官：美国国家安全局国内电话数据挖掘违宪。 CNN。 12 月 17 日； http://www.cnn.com/2013/12/16/justice/nsa-surveillance-court-ruling/。

22. Nakashima, E. 2007. 监视的故事。华盛顿邮报。 11 月 7 日； http://www.washingtonpost.com/wp-dyn/content/article/2007/11/07/AR2007110700006.html。

23. Napolitano, A. P. 2014. 总统安慰剂——奥巴马大规模的国家安全局间谍计划仍然存在且运作良好。福克斯新闻。 1 月 23 日； http://www.foxnews.com/opinion/2014/01/23/presidential-placebo-obama-massive-nsa-spying-program-still-alive-and-well/。

24. 总统行政命令 13526 2009 年 12 月 29 日； https://www.whitehouse.gov/the-press-office/executive-order-classified-national-security-information。

25. Rosenbach, M. 2013. 棱镜计划曝光：具有全球影响的数据监视。德国明镜在线国际版。 6 月 10 日：2； http://www.spiegel.de/international/world/prism-leak-inside-the-controversial-us-data-surveillance-program-a-904761.html。

26. Schwartz, M. 2013. 拇指驱动器安全：斯诺登 1，美国国家安全局 0。信息周刊。 6 月 14 日； http://www.informationweek.com/infrastructure/storage/thumb-drive-security-snowden-1-nsa-0/d/d-id/1110380。

27. Shiffman, J., Cooke, K. 2013. 独家报道：美国指示特工掩盖用于调查美国人的计划。路透社。 8 月 05 日； http://www.reuters.com/article/2013/08/05/us-dea-sod-idUSBRE97409R20130805。

28. Smith, C. 2014. BGR。 1 月 23 日； http://news.yahoo.com/watchdog-says-nsa-phone-spying-program-illegal-end-130014396.html。

29. Toxen, B. 2002. 真实世界的 Linux 安全：入侵检测、预防和恢复。第二版。普伦蒂斯霍尔。

30. 美国法院。第四修正案是什么意思？； http://www.uscourts.gov/educational-resources/get-involved/constitution-activities/fourth-amendment/fourth-amendment-mean.aspx。

31. 美国政府印刷局。第四修正案； http://beta.congress.gov/content/conan/pdf/GPO-CONAN-2013-10-5.pdf。

32. 华盛顿邮报。 2014 年。奥巴马总统 1 月 17 日关于国家安全局改革的演讲稿； http://www.washingtonpost.com/politics/full-text-of-president-obamas-jan-17-speech-on-nsa-reforms/2014/01/17/fa33590a-7f8c-11e3-9556-4a4bf7bcbd84_story.html。

33. 维基百科。公钥密码学； http://en.wikipedia.org/wiki/Public-key_cryptography。

34. 维基百科。爱德华·斯诺登； http://en.wikipedia.org/wiki/Edward_Snowden#NSA_rulings_in_federal_court。

喜欢还是讨厌？请告诉我们

[email protected]

鲍勃·托克森 ([email protected]) 是 Horizon Network Security 的首席技术官，该公司专门从事 Linux 和网络安全。他是 Berkeley Unix 的开发人员之一。

最初发表于 Queue 第 12 卷，第 3 期—
在数字图书馆中评论本文

更多相关文章

郭金楠, 彼得·皮耶祖赫, 安德鲁·帕沃德, 卡皮尔·瓦斯瓦尼 - 使用机密联邦学习的可信人工智能
安全性、隐私性、问责制、透明度和公平性原则是现代人工智能法规的基石。经典的联邦学习设计时非常强调安全性和隐私性，但以透明度和问责制为代价。机密联邦学习通过将联邦学习与 TEE 和承诺相结合来解决这一差距。此外，机密联邦学习还带来了其他理想的安全特性，例如基于代码的访问控制、模型机密性和推理期间的模型保护。机密容器和机密 GPU 等机密计算的最新进展意味着现有的联邦学习框架可以无缝扩展以支持低开销的机密联邦学习。

拉鲁卡·艾达·波帕 - 机密计算还是密码计算？
通过 MPC/同态加密与硬件飞地进行安全计算，需要在部署、安全性和性能之间进行权衡。关于性能，您想到的工作负载非常重要。对于简单的工作负载（例如简单的求和、低阶多项式或简单的机器学习任务），这两种方法都可以在实践中随时使用，但对于丰富的计算（例如复杂的 SQL 分析或训练大型机器学习模型），目前只有硬件飞地方法对于许多实际部署场景来说足够实用。

马修·A·约翰逊, 斯塔夫罗斯·沃洛斯, 肯·戈登, 肖恩·T·艾伦, 克里斯托夫·M·温特斯泰格, 西尔万·克莱布施, 约翰·斯塔克斯, 马努埃尔·科斯塔 - 机密容器组
此处介绍的实验表明，Parma（在 Azure 容器实例上驱动机密容器的架构）增加的额外性能开销不到底层 TEE 增加的额外性能开销的百分之一。重要的是，Parma 确保了容器组在所有可达状态下的安全不变性，并以证明报告为根基。这允许外部第三方与容器安全地通信，从而实现各种需要机密访问安全数据的容器化工作流程。公司获得了在云中运行最机密工作流程的优势，而无需在其安全要求上妥协。

查尔斯·加西亚-托宾, 马克·奈特 - 使用 Arm CCA 提升安全性
机密计算具有通过将监管系统从 TCB 中移除来提高通用计算平台安全性的巨大潜力，从而减小了 TCB 的大小、攻击面以及安全架构师必须考虑的攻击向量。机密计算需要平台硬件和软件方面的创新，但这些创新有可能增强对计算的信任，尤其是在由第三方拥有或控制的设备上。机密计算的早期消费者将需要自行决定他们选择信任的平台。