標籤彙整: GCHQ

英國政府索取解密密鑰 電郵服務商寧可結束業務

資料來源:英國政府索取解密密鑰 電郵服務商寧可結束業務

曾經獲得斯諾登信任的電郵服務商 Lavabit,和網絡安全通訊服務商 Silent Circle,因不肯把解密密鑰交給美國國家安全局 (NSA) 而先後被逼結束業務,同樣事件原來在今年初亦曾經在英國發生。英國國家通訊總局 (GCHQ) 在年初向 CertiVox 索取可解密用戶電郵的密鑰,CertiVox 寧可結束他們的電郵加密系統 PrivateKey,也不向 GCHQ 低頭。

國際財經時報報導,在斯諾登還未泄露 NSA 的機密文件,Lavabit 和 Silent Circle 還在提供安全可靠的電郵服務,2013 年初 GCHQ 便已經向 CertiVox 索取可以解密用戶電郵的密鑰,當時 CertiVox 正向用戶提供一個可進行端對端加密的安全電郵系統,稱為 PrivateKey,用戶可透過網頁界面或 Outlook 把電郵加密,加密後的內容連 CertiVox 的員工也無法解密。但是 GCHQ 要求 CertiVox 給 PrivateKey 建立後門,讓他們可以讀取用戶的電郵,CertiVox 的行政總裁 Brian Spector 說:

 我們有兩個選擇,一是建構世界上最安全的加密系統,安全得連 CertiVox 也無法讀取你的數據;一是花 500,000 英鎊在系統建立一個後門,讓 GCHQ 讀取數據,再把數據交給美國國家安全局,但是這與我們當初向用戶宣揚的價值觀和訊息背道而馳。

CertiVox 最後選擇取消 PrivateKey 服務,GCHQ 雖然目標未達,但也不是沒有收獲,至少他們成功結束一個他們無法破譯的電郵加密系統,原有的用戶惟有使用一些安全性較低的服務,一些可以被 GCHQ 截取內容,或者窺看電郵元數據 (送件者、收件者、標題、日期時間等等) 的服務。

澳洲與外國情報夥伴分享國民的通訊資料

資料來源:澳洲與外國情報夥伴分享國民的通訊資料

英國衛報刊登斯諾登最新的泄密文件,顯示通訊監控的「五大眼」國家曾經在 2008 年討論如何分享國民的通訊資料,部分國家表示要把資料「最少化」(只分享必要的部分),但澳洲的情報機關卻大方地表示夥伴們可以得到完整的原始數據,即使涉及醫療、法律和宗教範疇的數據也不受限制。

「五大眼」是指美國、英國、澳洲、加拿大和新西蘭,斯諾登的文件顯示,他們的情報機關 2008 年 4 月在英國國家通訊總局 (GCHQ) 位於卓特咸 (Cheltenham) 的總部開會,討論分享哪些情報,澳洲情報機關的代表表示可以分享國民的原始通訊數據,無須刪除與隱私相關的資料:

只要不是蓄意針對澳洲某一位國民,DSD (澳洲情報機關當時的名稱) 可以分享整批的、未經選擇的、完整的元數據。

DSD (Defence Signals Directorate) 現已改名為 ASD (Australian Signals Directorate)。

不過加拿大卻清楚地表明與夥伴們不同的態度,他們願意分享整批的通訊資料,不過條件是國民的資料必須被「最少化」,即是說要刪除部份數據,保障國民的隱私。

斯諾登套取美國國安局職員的密碼,取得超越自己權限的機密文件

資料來源:Reuters

美國路透社華盛頓分社獨家報道,斯諾登利用社交工程 (social engineering) 技巧套取美國國安局 (NSA) 夏威夷辦公室職員的密碼,取得超越他權限的機密文件,部份泄露給傳媒的國安局機密就是透過這方法取得。

美國國安局一直在調查斯諾登如何取得那些超越他權限的機密文件,最近發現數名夏威夷辦公室的職員曾向斯諾登透露個人密碼,斯諾等對他們說需要他們得密碼來執行系統管理工作,該等人士現已被調離崗位 (但消息來源沒有說明他們是調到另一個崗位,還是被辭退)。斯諾登曾經在夏威夷的辦公室任職外判系統管理員大約一個月,在這期間他可能套取了 20-25 名國安局職員的密碼,並取去數以萬計國安局和英國國家通訊總局 (GCHQ) 的機密文件。

所以說,不論系統多麼嚴密,密碼如何複雜,授權機制如何完善,系統的安全性其實只繫於最弱的一環:「人」。