前沿課題研究與實踐___之五---金鑰託管及問題探索 (轉)

前沿課題研究與實踐___之五---金鑰託管及問題探索 (轉)[@more@]主題：前沿課題研究與實踐___之五---金鑰託管及問題探索 四、金鑰的管理問題
除了政府的金鑰託管計劃外，幾個商業金鑰託管正在付諸實施。這導致了明顯的問題：對來說，金鑰託管的好處是什麼？
實際上沒有任何好處，使用者不能從金鑰託管得到任何東西。如果他願意，他可以他的金鑰。金鑰託管保證：即使使用了，警察也能夠竊聽他的談話或閱讀他的資料。金鑰託管機構承認：即使使用加密，NSA不經批准也能夠竊聽他的國際電話。也許，他將被允許在現在反對金鑰託管的國家使用密碼，這似乎好象是唯一的好處。
金鑰託管有相當大的缺陷。使用者不得不相信託管機構的性，以及參與人的誠實。他不得不相信託管機構沒有改變他們的策略，政府沒有改變他的法律，那些得到金鑰的執法機構和託管機構會合法地和負責地做事。設想一下當恐怖分子襲擊紐約世貿中心大樓時，對警察來說，還有什麼樣的限制不能拋到一邊呢？今天的美國政府和執法部門經常在網上或收看普通人的通訊就是一個例子。
難於想象託管加密方案的工作會象他們的發起人設想的那樣沒有一些法律的壓力。很明顯的下一步是禁止使用非託管加密，這可能是使商業付費的唯一辦法，並且它肯定是使技術上富有的罪犯和恐怖分子使用它的唯一方法。不清楚要使非託管密碼成為將會遇到什麼阻力，或它怎麼影響作為研究學科的密碼學。沒有非託管加密裝置，我能研究面向軟體的加密演算法嗎？我還需要特別的許可嗎？
還有法律上的問題，如果有加密資料被開，託管金鑰怎麼影響使用者的責任？如果美國政府試圖保護託管結構，是不是有隱含的假設，在使用者或託管機構都會危及到秘密的安全時，洩密的一定是使用者呢？
對於政府或商業性的金鑰託管機構而言，它的整個託管金鑰被偷盜了會怎麼樣？如果美國政府試圖對它保持一段時間的沉默又會怎麼樣呢？很清楚，這會對使用金鑰託管的使用者願望產生負面影響，如果不是自願的，這樣的一些醜聞又將增加政治壓力，迫使政府要麼讓其成為自願，要麼對該產生的事實增加更為複雜的新規定。
最危險的事情是現政府的政治對手、對某些情報或警察機構坦率直言的批評家，已經被監視多年的醜聞會公諸於世。這可能引起公眾強烈地反對託管加密的情緒。
如果簽名金鑰和加密金鑰一樣被託管，存在更多的問題。當局使用簽名金鑰操作反對可疑罪犯能否被接受？基於託管金鑰簽名的真實性在法庭上會被接受嗎？如果當局籤一些不適宜的合同（或商業），以幫助國家扶持的工業，或只是為了偷竊金錢，而使用他們的簽名金鑰，使用者會有什麼樣的追索權呢？
密碼的全球化導致了另外一些問題，金鑰託管的政策在其它國家將會一致嗎？跨國公司為了保持與各種地方法律一致，他們必須在每個國家保持單獨的託管金鑰嗎？如果沒有某種一致性，金鑰託管方案的好處之一（強加密的國際化使用）必將崩潰。
如果有些國家根本不接受託管機構的安全性會怎麼樣呢？使用者在那裡怎麼做生意呢？他們的數字化合同能得到當地法院的支援嗎？或者他們的簽名金鑰託管在美國的事實會允許他們在瑞士聲稱別的人也可能簽署他的電子合同嗎？在這些國家做生意的人是否有特殊的棄權呢？
工業間諜又會怎麼樣呢？沒有理由相信那些目前正在為其重要的或政府性質的公司從事間諜活動的國家會放棄在金鑰託管加密系統上做手腳。的確，由於事實上沒有哪個國家會允許其他國家監視自己的情報工作，所以，託管加密的廣泛使用必將可能增加搭線竊聽的盛行。
即使具有良好公民權記錄的國家，其使用金鑰託管只是為了合法追蹤罪犯和恐怖分子，但它肯定也用於別的地方以跟蹤異已分子、有敲詐勒索傾向的政敵等等。數字通訊在監視公民的行動、意見、購買和集會等一整套工作上提供的機會比模擬世界可能提供的機會大得多。
人們不清楚2000年以後這種情況對商用金鑰託管將有怎樣的影響，美國等西方國家向土耳其或中國出售現成的金鑰託管系統，就類似於70年代向南非出售電棍和80年代為伊拉克建立化工廠。更糟糕的是，由於這種對通訊的竊聽十分易行且不可能被跟蹤，因而可能誘使許多政府對其大多數公民的通訊進行跟蹤，甚至連以前不打算這樣做的政府也會如此。因而不能保證自由民主的社會就能抵禦這種誘惑。