承诺的制定与破裂
多年来,Meta告诉用户和监管机构,在Facebook Messenger和Instagram直接消息上实现end-to-end encryption在技术上具有挑战性——这是一个复杂的工程问题,公司正在努力解决。2023年,该公司宣布已经解决了这些挑战,在两个平台上推出了end-to-end encrypted messaging,并进行了相当大的宣传。该声明被定位为全球数十亿用户的重大隐私里程碑。
该公司现已做出U形转变。Instagram直接消息,许多用户认为受到Meta声称已实现的end-to-end encryption保护,似乎从来都没有被充分加密——或者encryption已在公司未公开解释的回滚中被移除。这一发现使依赖这些保证的用户处于明显更糟的隐私位置,比他们认为自己处于的位置更糟。
什么是End-to-End Encryption
End-to-end encryption确保消息在发送者设备上被加密,只能由指定收件人解密。服务提供商——在这种情况下是Meta——不持有encryption keys,因此无法读取加密消息,即使受到执法部门的强制或影响Meta服务器的data breach的情况下。
没有end-to-end encryption,消息通过标准transport encryption (HTTPS/TLS)在传输中受保护,但一旦到达Meta基础设施就可以由公司解密。这意味着Meta可以读取Instagram DMs进行content moderation、advertising targeting或其他目的,执法部门可以通过针对Meta的法律程序获得消息内容。对于在Instagram DMs中共享敏感个人信息的用户——健康信息、财务讨论、关系通信、政治组织——缺乏end-to-end encryption表示他们可能不知道的有意义的exposure。
为什么这在Instagram之外很重要
这种情况说明了一个更广泛的问题,即encryption commitments如何向用户传达。End-to-end encryption并不是在整个平台上要么存在,要么不存在的简单二进制。它可以针对某些消息类型实现,但不能针对其他类型实现,有效破坏其保护的例外情况。公司可以在实现end-to-end encryption方面做出技术上准确的声明,但在暗示的实际隐私保护方面却具有深刻的误导性。
用户通常缺乏技术知识来独立验证他们使用的消息应用是否真正在end-to-end encrypting他们的消息。他们依赖于公司通信的真实性、第三方审计和安全研究人员。当一家公司逆转或未能实现它声称提供的encryption时,用户没有实际方式了解,除非研究人员特别调查并报告差异。
竞争和监管背景
Meta的encryption reversal出现在messaging privacy的政治争议程度达到过去十年任何时点的时刻。US、UK和European Union的执法机构继续向科技公司施压以提供access to encrypted communications。几个EU member states试图通过Chat Control提议mandate encryption backdoors,尽管这些面临了重大的法律和技术反对。
对于想要在数字通信中真正隐私的用户,最可靠的路径仍然是专用encrypted messaging applications,如Signal,由具有明确隐私使命的nonprofit foundation开发,其encryption implementation已被独立security researchers广泛审计。Meta的rollback是一个提醒,隐私承诺由advertising-supported platforms做出,与其商业模式有内在的紧张关系:通过理解用户兴趣和行为来产生收入的公司面临结构性激励来保持对通信内容的access,即使它做出了通过encryption限制该access的公开承诺。
本文基于9to5Mac的报道。阅读原文。
