3月24日,欧盟管理机构宣布《数字市场法案》(数字市场法案,简称DMA)已达到达成共识,将对欧洲大型科技公司实施全面监管制裁。一项具有深远影响的雄心勃勃的法律,该法案最引人注目的措施将要求每一家大型科技公司(欧盟市值超过750亿欧元或用户群超过4500万人)创造一种产品,与小型平台互操作。对于消息应用程序,这意味着将WhatsApp等端到端加密服务与SMS等安全性较低的协议混合使用——安全专家担心这会破坏消息加密方面来之不易的成果。DMA的主要关注点是一类被称为“看门人”的大型科技公司,根据其受众或收入的规模来定义,并通过扩展他们能够针对较小竞争对手的性权力行使的结构。通过新规,政府希望“开放”这些公司提供的部分服务,让小企业参与竞争。这可能意味着让用户在AppStore之外安装第三方应用程序,让外部卖家在亚马逊搜索中排名更高,或者要求消息应用程序通过多种协议发送文本。但这可能会给承诺端到端加密的服务带来真正的问题:密码学家的共识是,即使不是不可能,也很难在应用程序之间保持加密,这可能会对用户产生巨大影响。Signal受到的影响最小,不会受到DMA条款的影响,但WhatsApp(使用Signal协议并归Meta所有)肯定会受到影响。结果可能是WhatsApp的部分(如果不是全部)端到端消息加密被削弱或删除,导致10亿用户的私人消息无法受到保护。鉴于需要精确执行加密标准,专家表示没有简单的解决方案来协调加密消息服务的安全性和互操作性。著名互联网安全研究员兼哥伦比亚大学计算机科学教授史蒂文·贝洛文(StevenBellovin)表示,在实践中,无法将具有不同设计特征的应用程序的不同形式的加密混合在一起。“试图调和两种不同的加密架构是根本不可能的;一个或另一个必须做出重大改变,”Bellovin说。“仅在双方在线时才有效的设计与在存储信息时有效的设计不同。”下一个工作设计将看起来非常不同......你如何让这两个系统互操作?”Bellovin说,让不同的信息服务兼容可以导致最小公分母的设计方法,在这种方法中,使某些应用程序对用户有价值的独特功能被剥离,直到一个单一的通用级别的兼容性。例如,如果一个应用程序支持加密的多方通信,而另一个不支持,那么维持它们之间的通信通常需要放弃加密。此外,DMA提出了另一种方法,让隐私倡导者表示同样不满意:在两个加密方案不兼容的平台之间发送的信息是当它在它们之间传递时被解密和重新加密,打破了“端到端”的加密链,并为不良行为者拦截漏洞创造了障碍。Muffett说:“这就像你走进麦当劳,以打破垄断现在要求您从其他餐厅订购寿司拼盘。当要求的寿司从表面上要求的寿司餐厅通过快递到达麦当劳时会发生什么?麦当劳可以而且应该为顾客提供这种寿司吗?快递合法吗?Isitpreparedsafely?”,每个信息服务都对自己的安全负责——Muffett和其他人认为,通过要求互操作性,一个服务的用户会暴露在另一个服务可能引入的漏洞中。最终,整体安全只能实现如果最薄弱的环节是最强的。
