肖新光:美国凭什么能开启“上帝模式”
【实力越强,责任越大,这是美式英雄蜘蛛侠的经典台词。但对于现实中拥有最强网络科技能力的美国来说,显然并没有这样的救世情怀,反而像个任性的熊孩子一样,不断给网络空间制造安全隐患。斯诺登事件之后,美国对网络世界的操控能力让人们大吃一惊,也让世界各国开始警惕美国可能带来的安全威胁。
9月22日,习近平主席将对美国展开正式访问,并参加在西雅图举行的中美互联网行业论坛。早在习总动身之前,关于中美网络安全对话的传闻就一直不绝于耳。对于中美来说,网络安全领域是两国的共同利益所系。美国应该意识到,不散播焦虑、不制造麻烦,是作为一个网络超级大国应该肩负的责任。我们也期待这次论坛能够为中美在网络空间的合作打开新局面,让美国肩负起自己的责任来。】
信息链和供应链的优势引发的滥用焦虑
美国是信息技术的本土,拥有先发优势和强大产业能力,并助动了其安全优势的形成。这种优势在供应链、信息链上均十分明显。从供应链上来看,美方基本占据供应链上游的核心技术地带,大量国际知名产品和服务品牌也为美方企业所有,从而使美方在供应链的品牌无形资产、整体设计、核心软硬件系统等高溢价部分中占有绝对优势。而发展中国家则成为大量低利润代工厂和重要消费市场。这其中的“剪刀差”,不仅形成了美国商业公司的高额利润,也是美国向世界收割的国家红利。从信息链上来看,在全球信息流动中,通过美国互联网公司提供的优质、免费、富有创造力的产品与服务,全球数据主动向美国汇集,美国成为全球数据的中心。
对于供应链和信息链下游国家来说,由于核心芯片是难以验证的黑箱,大型操作系统和软件规模超出了安全分析能力,而全民信息单向向美方流动,都注定无法不引发各国的安全恐慌。而同时美国在国家安全作业中滥用供应链和信息链的做法加速了这种恐慌。
居于供应链顶层的国家,无疑对于技术标准和全球技术应用导向等有更强的影响能力,如早在2007年,密码学家Niels Ferguson和Dan Shumow就质疑2006年被纳入NIST SP800-90标准的Dual_EC_DRBG算法可能潜伏着一个后门,但如果不是斯诺登曝光的印证,这种质疑有可能永远石沉大海。密码学家Mattew Green在《A Few Thoughts on Cryptographic Engineering》一文做了如下的概括:“NSA每年花费2亿5千万美元,做了下面这样的事情:篡改标准以削弱密码系统。对标准委员会施加影响以弱化协议。同软硬件开发商合作以削弱加密算法和随机数生成算法的强度……”
从信息链角度来看,美国企业在这种数据采集、汇聚过程中,通过加密手段实现对各国政府合法监听权的OTT(Over The Top,指通过互联网向用户提供各种应用服务——观察者网注),但又通过棱镜等系统的接口为美国安全机构提供了对这些数据的独家使用能力,而对其他国家正常的安全协查诉求响应迟缓或置之不理。其事实上形成了强化美国的单边能力优势,弱化他国安全能力的效果。