反黑客斗士
阿克利发现了一种可能性:网络终将变得极度专业化,它们将缩小到像坚果那样,只以某一点也就是某一条单一的信息为中心。当这种情况出现之后,你就不用再确保数据位置的安全。你只需要保护数据本身,这样一来,数据就可以安全地移动到任意的位置,协作的障碍也就消失了。这是导致他后来发明数据保护层的第一种理念。
在阿克利为NSA工作期间,正是该局大扩张的时间。“9·11”令美国进入战争时期,对NSA的限制被解除,不仅在海外,也在美国国内,国会和法院都支持急剧扩大国内监视的范围。
直到2008年3月,阿克利才了解到NSA的业务扩张的程度。当时,他在米德堡出席了NSA的一位律师的讲座。阿克利为这个机构工作已经有4年了,他从未听过有人将NSA压倒一切的影响力讲得如此明白。按照阿克利对于讲座的理解,战争权可以超越限制监视的法律。在讲座进行了一段时间之后,那位律师允许听众提问。阿克利举起了手。他回忆自己问的问题是:“你能否想起一个战争权不能批准国内监视活动的例子?”律师说他不能。
现在的阿克利说:“我第一次受到了触动。我打心眼里觉得,哇,这可真不正常。”
阿克利的同事们非常重视隐私,但是高层的态度让他感到不安。此时,他加入了系统和网络跨学科项目(Systems and Network Interdisciplinary Program,简称SNIP),一门关于网络、硬件、软件保护、破解与利用的黑客技术的三年期课程。即使在阿克利参加有关攻击行动的培训时,他也一直在思考保护数据的方法。他认为,要强有力地保护隐私,就必须嵌入为情报机构打造的技术。
2009年2月,他取得了突破。当他在暴风雪中开车回家时,大脑突然活跃起来,所以他不得不驶进一家超市的停车场,梳理他的想法。他明白,用强大的加密方法把数据保护起来并不难。现有的技术已经做到了。数据可以通过加标签来监控,规定访问者读取数据的权限和范围。这些标签是包裹着数据的元数据的一部分,很像是包裹着信件的信封上的发信人和寄信人的地址。阿克利想到的办法是将信封(元数据)锁定在加密的信件(数据)上,由用户对其进行数字公证。加密数据可以安全地移动。得到公证的数据就是可以信任的数据。
数天之后,阿克利回到办公室,请一位写代码的天才同事草拟出他对关于“受信任数据格式”(即TDF)的创意。他需要别人帮助他发展这个创意。他的朋友没有犹豫。阿克利认为,这种技术有可能会促成巨大的改变。
不过,阿克利首先要去参战。
一架支奴干(Chinook)直升机在巴格达郊外的平地上低空盘旋,直升机的旋翼搅动着夜晚的空气。顺着机身后部打开的斜道,阿克利在观察着月光下快速掠过的风景。直升机正在停向预定地点,一名操作尾炮的士兵身缠缆绳,伸到了斜道的外面。阿克利装备了防弹背心、M4突击步枪和夜视镜。他正在追击一名恐怖分子兼炸弹制造专家,此人据信曾经协助了伊拉克叛乱。
阿克利自愿和NSA的精英黑客团队前往伊拉克,这也是SNIP课程的一部分。军队急需技术人员。他所属的特别行动单位里的一名成员在不久前阵亡。阿克利学会了射击、干扰信号和使用跟踪信标。2009年10月,他来到伊拉克,进入了一个每天都会受到迫击炮打击的基地。指挥官给他配备了一张桌子、一个焊烙铁,以及一切可以弄来的零部件。阿克利对临时制作的爆炸装置(IED)做了逆向工程,破解汽车的智能钥匙,将天线藏在他用橡皮模具制作的假物体里。曾经与阿克利合作过的一名海军技术人员马特·巴赫(Matt Bach)说:“只要是靠电池运行或是插电的玩意儿,都可以派他去对付。”
特别行动单位的人员看到,阿克利的桌子上摆满了各种小玩意和奇怪的半成品设备。由于他摆弄这些东西的才能,他们给他起了外号“Q”(有“聪明”之意—译注)。巴赫管他叫“威尔博特”[Will-bot,是阿克利的名与robot(机器人)的合称—译注],因为他觉得,这位朋友是半人半机器人的动物。两人在工作室和健身房里共同度过了很长的时间。举重成了阿克利的一个新爱好;在伊拉克,能够做的其他事情也不多。阿克利说:“吃饭、睡觉、去健身房,然后就是当一名疯狂的科学家。”
在巴格达近郊,支奴干直升机在敌方的地盘里触地。现在是当疯狂科学家的时候了。一辆白色轿车驶上斜道,进入直升机的腹舱,直升机马上起飞。这部车属于目标恐怖分子。特别行动单位还不想拿下他,而是先要对其实施监视。阿克利需要找到跟踪汽车的办法。他必须在数小时之内搞定,要不然目标就会发现他的车失踪了。
阿克利开始了工作。他采用的办法属于机密,因而不能披露具体的细节,但是他成功地让汽车变得易于监视。后来,他面对类似的情况,利用所学的知识设计了一种巧妙的非保密技术。在伊拉克,到处都是白色轿车。美国的无人机和飞机的热成像仪都在建筑物的后面或车流当中跟丢了它们。但是,如果让汽车拥有独一无二的热信号会怎么样?在一个沙漠国家里,汽车上最没有用的功能就是后窗玻璃的除霜器。即便它不能够正常工作,也不会有人注意到。阿克利想出了一个简单的办法,用一把小刀和改锥改变了除霜器的线路,让它在汽车的发动机运行时偷偷启动,喷出的热气会形成一条横穿整个后玻璃窗的粗线。
在接下来的72个小时,美军持续跟踪这辆轿车,直到一天晚上将恐怖分子抓获。此次行动圆满成功。后来,一名军队将领对阿克利说,他在军队里可以做任何工作。在尝过参加军事行动的滋味之后,很少有NSA的人员再回到办公室的隔断里,但是阿克利放不下他的TDF。他看到,军队在战场上难以给通信加密,由于加密太复杂或是太费时间,一些指挥官因此经常使用公开线路。对于平民来说,也存在着同样的问题。比起抓坏蛋,解决这个问题更加让他感到激动。
当阿克利在2010年3月回到NSA时,他担任了Accumulo项目的首席安全架构师。这是一个云基数据库,其规模只受运营资金数量和可用带宽的限制。Accumulo可以处理各种数据输入:音频、视频、图片、文字,等等。你可以把任何数据放入系统当中,无论是牌照跟踪数据还是DNA记录。它可以一点一滴地收集信息,并且让使用者实现跨类别的图形化联系。阿克利说:“实际的数据量难以置信。”
他对大规模监视的保守态度进一步加强了。一天晚上,他和Accumulo团队里的两位数学家谈到了有关涉密法庭规定的话题。这些规定给予政府合法的权力去秘密收集包括美国公民在内的所有人的数据。例如,《爱国者法案》(Patriot Act)的第215条允许政府获取与恐怖主义调查相关的“任何有形的东西”。美国外国情报监视法庭(Foreign Intelligence Surveillance Court)确认,这包括了美国境内几乎所有人的电话记录。
当时,这个解释还是机密。阿克利感到惊骇。如果美国人根本不知道某件事情已经发生,又怎么会觉得这件事情没有问题?他说:“这不再是我们能不能拥有[这类信息]的问题。现在是鸡窝里有头狼,你必须确保这匹狼受到特别的限制,不能只是在鸡窝的周围建一圈篱笆。”
阿克利觉得,他的TDF能够帮得上忙。给每一条数据加一层密将确保该信息按照用户的意愿被使用。阿克利在2009年6月完成了原型产品,并且设法将它纳入到了在整个情报界推行的一个小型试验项目当中。美国国家情报总监办公室(Office of the Director of National Intelligence)后来将它当作一项正式规范予以采纳,并且当成公开标准发布,这意味着谁都可以使用这项技术。
不过,在NSA的内部,阿克利的技术未被看好。只得到了有限的推行。他努力推动在整个机构内部部署它,却因为官僚机构的惰性而停滞不前。阿克利感到失望,感觉他正在建设的未来有可能会无疾而终。
他招募了一些渴望从事电子邮件加密工作的同事,选中了一个体现他对于处理隐私问题的感觉的公司名字:Virtru(是“大师”和“真正的”两个英文词的合称—译注)。现在是去外面的世界碰运气的时候了。2012年8月,阿克利将自己的工牌扔进了一个收纳箱里,开车离开了米德堡和这片他生活了8年的隐密而又神奇的地方。
历史上,美国联邦政府一直抑制向大众推广加密技术。例如在20世纪70年代,NSA以国家安全为由,强迫美国专利局(U.S. Patent Office)给某些发明加上密级。但是,密码破译者并未退缩,特别是当个人计算机普及之时。
早期给电子邮件加密的尝试都以失败告终,因为这些尝试要求收信人和发信人都使用一种特殊的程序,能这么做的人不够多。到了90年代,一位名叫菲尔·齐默尔曼(Phil Zimmerman)的计算机科学家创造了PGP加密软件,可以在不同的平台运行。随着互联网的快速扩张,PGP在全世界流行开来。美国政府的反应是,调查齐默尔曼是否“存在出口军需品的行为”,但是政府并没有能够限制他的发明。这项发明实现了端对端加密,只有交流的双方能够破解信息。双方需要交换编码密钥。密钥由一长串几乎无法破解的数字组成。这是供个人用户使用的电子邮件加密法,不过这些用户都是玩技术的。PGP永远不会成为主流,因为它太难用了。
从那以后,出现了少数努力简化隐私技术的服务,都取得了不同程度的成功。Cryptocat是一种浏览器功能拓展软件,用于在线聊天,斯诺登和记者格伦·格林沃尔德(Glenn Greenwald)曾经使用过。齐默尔曼和一位前美国海军海豹突击队(Navy Seal)的成员在2012年成立的Silent Circle公司被政客、明星等要人接受,这些人愿意花钱更换设备或软件。Wickr是一款用于智能手机的即时通信应用软件,声称能够在每封邮件发出之后,“以法医学的角度破坏”密钥。这种方法被称为完全向前保密。
给电子邮件加密更加复杂。Mailvelope,一种用于Chrome和Firefox浏览器的PGP扩展软件,要求用户管理密钥。不过,对于没有受到信任的中间人来说,交换密钥很麻烦。只有一小群人愿意抛弃雅虎(Yahoo)或Gmail的邮件账户带来的舒适感,采用Hushmail、StartMail等电子邮件加密平台。对于一家公司来说,在一个封闭系统内处理双方信息和加密的电子邮件服务也是一件危险的事情。电子邮件安全服务软件Lavabit也曾经被斯诺登使用过,该公司宁愿关门,也不愿意按照美国政府的要求,上交它的会暴露在其服务器上的电子邮件的主密钥。
出于以上这些原因,一直没有人能够搞定电子邮件加密。阿克利认为他能。他已经有产品提供给有意的公司,但是对于他和手下由情报界的老员工组成的团队来说,更大的目标—保护所有拥有邮箱的人的隐私—也同样重要。他们在位于弗吉尼亚州阿灵顿市(Arlington)的一座房子里建立了工作间,里面有成堆的比萨饼盒子、红牛(Red Bull)饮料罐子,偶尔还会看到一只死老鼠。他们在这里对Gmail、雅虎、Outlook和Mac Mail进行逆向工程,制作TDF插件。这项技术必须易于使用,只要点击一下鼠标就行了。
到了2013年春天,插件基本就绪。电子邮件采用完全向前保密方式加密,用户可以设定,加密信息在一定时间之后失效或撤销。发件人可以控制信息的转发位置。最棒的是,这款插件不需要任何人更换电子邮件提供商或是开设多个账户。电子邮件的接收者也无须下载插件就能够读取加密信息。
在天使融资轮中,公司筹到了400万美元,招来了蒂姆·埃德加(Tim Edgar)等受人关注的顾问。埃德加曾经在贝拉克·奥巴马(Barack Obama)的手下担任白宫国家安全团队的第一任隐私和公民自由主管,后来搬到了杜邦环岛(Dupont Circle)附近更好的房子里。阿克利为办公室采购了一块门前地毯,上面写着“带着搜查证回来”。
他不介意情报界履行自己的职责。他的不满之处在于拉网式监视。他希望搜查证要针对个案。从他的自身情况来看,阿克利和Virtru都没有什么信息是需要交出来的。由于TDF是在现有的电子邮件提供商上面运行,Virtru的服务器上根本看不到电子邮件,电子邮件提供商也根本看不到Virtru的AES 256位加密钥匙。(有好几位专家确认阿克利采用了这种安全架构。)这是很方便的端对端加密。
埃德加说:“这种加密将让大批量数据收集计划变得无法执行。”他目前在布朗大学(Brown University)做访问学者,专注于网络冲突、隐私和互联网自由。“电子邮件对于社会、企业和个人来说仍然非常重要,但提高它的安全度是一件很难的事情。威尔·阿克利想做的,是让普通用户极其轻松地发送加密电子邮件,并且还可以管理这些电子邮件。如果他成功了,并且他的技术被广泛采用了,那么确实将会给大量互联网通信的隐私和安全问题带来革命性的变化。”
阿克利决定免费提供Virtru的基础产品,希望说服人们,遵照他们自己所说的对于隐私的渴望而行动起来。不过,用户需要一点信任感。对于所有人来说,轻松加密的唯一办法是让Virtru成为密钥的媒介。对于这个理由来说,透明是最重要的。TDF是开源的。外部的密码学专家可以检查它,并且让它更加强大。阿克利聘用了一家安全机构iSEC,就是请其破解这款插件。他还让自己的朋友韦斯顿·霍普金斯(Weston Hopkins)审校代码,霍普金斯曾经是DEF CON黑客大会上的一个获胜团队里的一员。霍普金斯对我说:“代码写得很好。”
随后,斯诺登泄密事件发生了,NSA的触手之长让数百万的美国公民感到惊恐。他们现在能够看到阿克利从前看到过的东西。尽管如此,阿克利并不愿看着NSA的命门任由媒体曝光。他觉得,斯诺登本可以通过发布少量的文件来促进同样的对话。阿克利说:“他造成了不可思议的巨大损害。他说出了太多的内线和方法—给敌人提供了一个蓝图。”那么,外人会怎么看待Virtru的NSA血统呢?
在斯诺登之后,很多事情都变了。因从前与NSA合作而声誉受损的公司将隐私作为优先工作。苹果决定给它的新款iPhone加密。雅虎和微软(Microsoft)发誓要保证信息安全。谷歌也做了类似的承诺,开始为它的Chrome浏览器开发加密拓展功能。
美国政府不乐意看到这些,它想在新的加密当中添加后门,以便有助于调查。密码学专家们讨厌这个想法。在他们看来,给安全开个洞只会给坏分子制造空子。科技企业担心,如果为美国网络间谍提供切入点,它们的产品在将海外将永远不被信任。美国国会一直为此争论,而NSA仍然在法院里应对有关它的批量收集计划的官司。