为总结爱因斯坦计划实施效果,重新部署加密系统,2019年2月28日,美国人口普查局发布《用于保护在线调查安全的应用层加密》研究报告。报告指出,人口普查局使用万维网联盟的网页加密API开发了一个系统,为调查回复数据提供了第二层加密保护,且即使在回复者与互联网自我反馈设备之间使用某种TLS解密或网页内容过滤系统的情况下,第二层加密保护机制仍然能够正常运行。
1. 人口普查局开发应用层加密系统的背景
根据保密协议,人口普查局和其他美国统计机构从受访者那里收集的数据,应保证收集的数据仅用于统计目的,因为美国法律规定:禁止人口普查局将其收集的信息用于执法目的。
实践中,人口普查局越来越多地使用互联网自我反馈工具收集受访者提供的数据,且计划在美国2020年人口普查中大量使用这一工具。人口普查局使用的互联网自我反馈调查主要包括三个部分:(1)一个网页应用服务器,其将调查表发送给被调查者,并从被调查者的网页浏览器接收被调查者的数据。(2)调查表格,其中包括超文本标记语言(HTML)网页,以及在受访者的网页浏览器内运行的相关JavaScript应用程序。应用程序将调查结果呈现给被调查者,从用户处接收数据,执行本地数据验证,并将数据发送到网页应用服务器。(3)一个连接到网页应用服务器的用于存储调查回复数据的数据库。
与此同时,美国政府机构运营的计算机信息网络不断受到攻击,如果对人口普查局的计算机信息网络实施的攻击成功,也将对其数据安全构成重大威胁。出于这一原因,人口普查局和其他美国政府机构一样,参与了由美国国土安全部运营的爱因斯坦网络监测计划,但也由此引发了学术界和产业界关于爱因斯坦计划的部署可能会对统计机构的信息安全造成威胁的担忧和质疑。
2. 爱因斯坦网络监测计划概述
爱因斯坦计划由美国国土安全部运行,旨在实时收集、分析,并为联邦政府机构之间共享计算机安全信息提供渠道,以帮助其减轻网络威胁。最初的爱因斯坦计划是作为美国政府可信互联网连接(TIC)计划的一部分而开发的,同时也是2003年《国家网络安全战略》的产物。最初的爱因斯坦系统被设计用来监视和记录联邦文职行政机构和公共互联网之间的网络流量,以提供行动后的诊断分析和支持。爱因斯坦2号计划于2008年首次部署,其中包含了一个入侵防御系统,可以实时探测针对联邦机构的敌对活动,并向受害者发送通知。4年后,国土安全部开始过渡到爱因斯坦3号(E3A)系统,其目标在于检测和防止针对联邦民用政府网络的网络攻击。爱因斯坦3号系统由国土安全部内设的网络安全和通信办公室(CS&C)运行,其特性包括深度分组检测,其中网络流量的内容由系统进行检测。
2013年4月,国土安全部发布了“爱因斯坦3号隐私影响评估”(PIA),根据这一评估,“爱因斯坦3号整合了CS&C对爱因斯坦1号和爱因斯坦2号数据的分析,网络任务合作伙伴提供的信息,以及现有的商业入侵防御安全服务,使联邦网络流量接近实时深度分组检测,以便识别已知或可疑的网络威胁并做出快速反应。”根据PIA的解释,虽然深度检测可能会导致爱因斯坦3号的传感器接触到个人可识别信息(PII),但是这些信息一旦被捕获就会被立即删除。但值得注意的是,在必要时可能会将爱因斯坦捕获的pii放入分析产品中,然后由国土安全部进行分发。PIA还指出,国土安全部收集的非网络安全信息可以用于非网络安全目的。
2016年5月6日,国土安全部发布了对E3A PIA的更新,声明称该更新将增加一个名为网页内容过滤(WCF)的新功能,该功能将提供解密SSL协议的功能。作为回应,人口普查局于2016年12月14日在联邦公报上发表了一份声明,表示其有意修改人口普查局的保密承诺,即“美国人口普查局必须依法保护你的信息。人口普查局不允许公开你的身份信息。根据2015年《联邦网络安全增强法》,你的数据通过筛选传输至你的数据系统,且免受网络安全风险”。
3. 网页内容过滤加密内容
通常而言,现代网页浏览器可以通过两种方式与互联网上的网络服务器进行通信:在没有加密的情况下通过互联网发送超文本传输协议(HTTP)命令,以及在TLS连接中包装HTTP命令,有时称为TLS隧道。例如,当使用以http://开头的统一资源定位符(URL)访问网页时,服务器与浏览器之间的连接就不会加密,当使用以https://开头的URL访问同一网页时,服务器和浏览器则通过加密连接交换信息。通过设计,TLS提供了连接的机密性和完整性,即其能够保证第三方无法窃听连接的内容,并且浏览器发送的数据能被服务器接收且不被篡改。
TLS基于公钥加密技术。每个网络服务器都配置了一个私钥和一个公钥。使用公钥加密的信息只能使用相应的私钥解密。网页服务器的公钥及其主机名存储在其服务器证书中。当网页浏览器连接到网页服务器时,服务器向浏览器发送服务器的证书,其中包含公钥。然后,浏览器和服务器之间创建一个会话密钥,用于加密TLS连接。许多商业网络设备现在都提供了一种功能,其被称为“SSL/TLS加密流量深度分组检测”、“TLS解密”和“SSL分析”。这些设备通常作为加密代理服务器运行,基本上对加密的通信发起中间人攻击。TLS虽然无法防止此类攻击,但它至少能够帮助网页浏览器检测到隐藏于加密流量以及密钥和证书生命周期管理过程中的威胁。
国土安全部的爱因斯坦3A系统的网页内容过滤部分被设计用于窃听TLS 保护的连接。当美国政府机构的网络用户输入远程网络服务器的URL时,浏览器打开的连接不是远程网络服务器,而是爱因斯坦3A。然后爱因斯坦系统连接到远程的网页服务器,远程网页服务器将其证书发送回爱因斯坦系统,两个系统之间通过创建一个加密保护的信道,用于进行未来的通信。最后,爱因斯坦系统将其公钥发送给网页用户,并在爱因斯坦系统和用户之间创建第二个受保护的通道。浏览器通过将设备设为证书颁发机构,并将设备的证书嵌入到网页用户计算机的可信证书数据库中的方式,实施对不可信证书的警告。
类似于爱因斯坦系统的TLS 拦截系统在互联网上得到了广泛应用,更有证据表明,外国政府可能利用这种方式来监视本国公民。基于此,组织之所以希望合法地监视TLS连接的内容,存在诸多方面的考量:(1)组织可以检测是否有远程网站利用网页浏览器漏洞注入恶意软件;(2)TLS 拦截还可以帮助识别组织内部恶意软件使用的命令和控制通道,帮助组织识别和消除此类电子入侵;(3)TLS 拦截可以用来检测员工的不适当的网络活动;(4)TLS拦截系统也可用于监视源于公共互联网的TLS到组织的网页服务器的连接。在这种配置中,监控系统会获得一个经过复制的网页服务器证书和私人密钥,以使远程网页用户对其连接到的是监控设备而非实际网站这一事实并不知情。
4. 使用网页加密API保护受访者的数据
鉴于TLS解密技术的广泛使用,人口普查局试图开发一个系统来保护被调查者的数据,即使人口普查局的网站正处于被解密TLS保护的通信技术的监控之下。万维网联盟的网络加密API定义了一组加密函数,其可以被运行在现代网页浏览器中的JavaScript应用程序使用。根据这一标准,该项技术用于确保双重身份验证能够对本地文档进行加密,然后将这些文档存储在远程网站上,并对文档进行加密和签名,以实现安全消息传递。实践表明,除了Internet Explorer 11之外,网络加密API在其他所有浏览器中都得到了良好的应用。
网页加密标准规定使用网页加密API的网页应用程序必须使用TLS协议安装到网页浏览器中,以确保攻击者不会在JavaScript应用程序发送到浏览器时对其进行修改。
美国人口普查局开发了一种方法,利用网络加密API对从网页浏览器发送到网络服务器的调查回复数据进行第二层加密,而不是使用基础的HTTPS技术对网页本身进行加密。第二层加密在HTTPS加密通道中的应用程序数据层进行操作。这一过程从统计机构的网络服务器创建第二个加密公钥开始,并使用第二个密钥加密调查回复数据,然后将此调查回复数据发送到网络服务器进行解密。因此,即使TLS解密设备被用来解密HTTPS,其也不能访问该数据。
5. 国土安全部的反应
2017年10月13日,人口普查局的一名代表会见了国土安全部国家网络安全保护系统(NCPS)的代表,以确定是否可以在不违反DHS政策和意图的情况下部署应用层加密系统。会议上,国土安全部描述了爱因斯坦系统的运行,人口普查局描述了应用层加密方法。国土安全部表示,部署应用层加密系统不会违反国土安全部的任何政策,该系统将为人口普查局收集的数据提供额外的安全保障,允许数据以加密形式保存在人口普查局的网络服务器上,然后再过渡到一个更安全的系统中。
国土安全部也表示,E3A网页内容过滤的目的,并非是为了过滤由外部网页浏览器发送至政府运行的网页服务器的数据。相反,E3A的设计纯粹是为了监控外部网站与在政府网络内部运行的网页浏览器之间发送的数据。例如,E3A可以拦截用恶意软件加密的数据,这些恶意软件运行在用户的网页浏览器内,并与外部网络服务器进行通信。会议结束后,人口普查局向国土安全部释明其不会以可解密被调查者数据的方式部署E3A。
本期作者:方婷, 赵婧琳
关于“寰球密码法律政策发展动态简报”
为深入研讨我国密码法相关制度与现实挑战,凝聚国内外密码与网络安全精英,合力推动我国密码产业发展,苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报,供政府、产业及学术同仁参考。以期联合政产学研力量,为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会、编辑部采取开放组织形式,欢迎各界同仁予以各种方式积极参与和支持,踊跃投稿!
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。