你想给某人发送一条他人无法阅读的消息。解决方案是加密,即在发送前用某种方式将消息打乱,而接收方可以将其复原。为此,他需要一把密钥,一份关于如何解开消息的说明。
然而,如果我们谈论的并非政府与其使馆间的通信,而是普通人之间的通信——包括素未谋面的陌生人——那么这个解决方案便存在一个问题。如果我连安全发送消息的途径都没有,那我可能也没有安全发送密钥的途径。一旦有人在途中截获并复制了密钥,他就能阅读我未来所有的消息。
几十年前发明的解决方案,是「公钥加密」。它依赖于一个能生成一对特殊关系密钥的数学程序:用其中一把密钥加密的消息,需要用另一把才能解密。其中一把,即你的「公钥」,你可以分发给任何人,公之于众,越广为人知越好。而另一把,你的「私钥」,则永远由你自己掌控。
现在,任何人都可以通过用你的公钥加密,来写一条只有你能阅读的消息,这条消息将由只有你拥有的私钥来解密。如果一个间谍拥有你的公钥副本,他也能给你发送秘密消息。但他无法阅读他人发给你的消息,即便他成功截获了它们,因为解密需要私钥。
公钥加密不仅解决了在可能被监视的信道上安全通信的问题,它还解决了远距离证明你身份的问题。假设我想给一个陌生人发消息,并证明这消息确实发自我本人。我用我的私钥加密消息,附上一条未加密的说明,言明此消息已用我的私钥加密,然后用他的公钥将「消息+说明」整个加密,再发送给他。他收到后,用他的私钥解密,读到说明,然后再用我的公钥解密消息本身。此刻,他便知道,这条消息是由某个拥有与我公钥相匹配的私钥的人加密的,因此,它发自我本人。这便是「数字签名」的工作原理。
假设接收方不知道我的公钥,但他拥有某个我们双方都信赖的组织的公钥——比如 American Express、天主教会,或电子自由基金会。我便去那个组织,向他们出示我的公钥和身份证明。他们会为我签发一份「数字证书」,声明此公钥属于在 Santa Clara University 任教、 The Machinery of Freedom 一书的作者 David D. Friedman。他们用其组织的私钥为证书签名。我将这份证书附在我的签名消息后一并发送。接收方可以用张贴在世界各地每一家 American Express 办公室门口的公钥,来验证证书上的签名。此刻,他便知道了我的公钥。如果我并非完全信任 American Express,我可以从六家不同的权威机构获取证书,一并发送给他。除非他们全都为 National Security Agency 工作,否则我应是安全的。
倘若我想证明的并非我的「真实空间」身份,而是我的「网络空间」身份——即证明我就是他之前互动过的那个网络人格呢?那个人格与他当初用来加密消息的那个公钥相关联。我只需用与之匹配的私钥来签署我发送的消息,便可证明我的网络身份。
正如这个例子所示,公钥加密不仅使安全通信成为可能,它还能使声誉与匿名相结合,让你得以拥有一个负有声誉的网络人格,而无需告诉世上任何人——包括你以该人格与之交往的人——你是谁,你多大,或你住在哪片大陆。
但对于一个观察者(可能来自 IRS 或 NSA)而言,仍有两种方式可以识别你。其一是通过观察电子邮件的来去向。其二,假设你在网上从事经济交易,则是通过追踪资金流向。
公钥加密使得反制措施成为可能。应对流量分析的方案,是「匿名转发器」。你用接收方的公钥加密你的消息,附上一条写有他电子邮件地址的便条,再用转发器的公钥将整个包裹加密,然后发送出去。转发器剥去最外层的加密,读取电子邮件地址,然后将里面的消息转发出去。转发器有成千上万封邮件进出,进出邮件无法匹配,因为它们之间差了一层加密。即便一个能监视每一封邮件、其发送者和接收者的观察者,也无法将原始发件人与最终接收者联系起来。
倘若转发器本身已被你试图躲避的那些人所控制了呢?这个问题同样有解。你邮件的转发地址并非最终接收方,而是另一个转发器。剥去第一层加密后,会显示出第二个转发器的地址,并暴露出第二层加密,这次是用第二个转发器的公钥加密的。让你的消息在抵达最终接收方的途中,经由十个转发器「弹跳」,那么除非这十个转发器全都被同一伙坏人所拥有,否则没有任何观察者能将发件人与接收者联系起来。
在线支付的问题,则可以通过加密技术的另一项应用来解决,即「匿名数字现金」,这项技术最初由荷兰密码学家 David Chaum 提出。通过它,一个人可以向另一个人发送一条消息来完成支付,而无需双方知晓对方身份,持有这笔钱的银行也无需知晓任何一方的身份。对此感兴趣且具备足够数学背景的读者,应能通过网络搜索找到其数学细节。至于其他人,我在此提供一个低技术含量的版本:
低技术版电子现金
我随机生成一个极长的数字。我将这个数字和一张一美元钞票放进一个信封,寄给「网络现金第一银行」。该银行承诺,对以此方式收到的任何钱款做两件事:
- 若有任何人走进银行并出示那个数字,他将得到与该数字关联的那张一美元钞票。
- 若银行收到一条消息,其中包含其库存某张一美元钞票所关联的数字,并指示银行将其变更为一个新数字,银行将执行此操作,并在一个公开的公告板上公布此笔交易已完成的事实(但不包含新数字)。那张一美元钞票此后便与新数字相关联。
Alice 已给银行寄去一美元,附带数字 59372(实际上会是一个长得多的数字,以防他人猜到——此处为简化)。她现在想从 Bill 那里购买价值一美元的数字图像,于是她将这个数字通过邮件发给 Bill 作为支付。Bill 则向银行发送邮件,内含三个数字:59372, 21754 和 46629。
银行查询其库存中是否有与数字 59372 关联的一美元;查询结果为有。它便将与那张钞票关联的数字变更为 21754,即 Bill 提供的第二个数字。同时,它在一个公开的公告板上发布声明:「由 46629 标识的交易已完成。」 Bill 读到这条消息,便知 Alice 确实有一美元存款,且现在已归他所有,于是他便向 Alice 发送了价值一美元的数字图像。
Alice 不再拥有一美元了;银行库存中也不再有与她所知的数字相关联的一美元,因此如果她试图再次花费它,银行会报告该款项已不存在。而 Bill 现在则拥有一美元,因为 Alice 最初寄来的那张钞票,如今已与一个新数字相关联,而这个新数字只有他和银行知道。他此刻的处境与交易前的 Alice 完全相同,因此他可以用这一美元去向别人购买东西。如同普通的纸币,这「一美元」的电子现金也从一只手传递到另一只手。最终,某个持有它的人决定想要换回实体钞票,他便带着他所知的那个数字(Alice 最初那一美元当前所关联的数字)去银行,换回一张一美元钞票。
这或许技术含量不高,但它满足了所有要求。支付通过发送消息完成。付款方和收款方除了通信地址外,无需知晓对方任何身份信息。银行也无需知晓任何一方的信息。最初那张钞票寄来时,信封上没有姓名,只有一个识别码。每一次转手,银行虽收到邮件,却无从得知发送者是谁。即便银行识别出最终前来兑现的人,他也无法向上游追溯这笔钱的流转路径。这虚拟的一美元,与我钱包里的纸币一样匿名。
一个强隐私的世界
想象一下,用于安全通信和身份认证的公钥加密、一个数字转发器网络,以及某种形式的匿名数字现金,都已得到普遍应用。再进一步假设,虚拟现实等技术已足够发达,以至于许多人将生活的大部分时间都花在网络互动上。其结果便是一个人类前所未有的强隐私世界——网络空间。
你很难对你看不见的东西征税。如果你在真实空间赚钱,在网络空间花钱,政府可以对你的收入征税。如果你在网络空间赚钱,在真实空间花钱,政府可以对你的支出征税。但如果你在网络空间赚钱,又在网络空间花钱,那么你的收入和支出对国税局(IRS)而言都是不可见的。
你很难监管你看不见的东西。假设我想出售法律咨询服务,尽管我并非律师协会成员。我创建一个网站和一个网络身份:「在线法律鹰」,外加一个公钥。在接下来的一年里,我通过免费提供优质的法律咨询来建立我的声誉,那些采纳了建议的人会发现其价值所在。此后我开始收费,并接受数字现金支付。我违反了州的执业许可规定。但既然律师协会无从知晓我是谁、我住在哪,他们便没有任何办法对我执行这些规定。
将这些例子推广开来,你便得到了一个政府控制真实空间,而网络空间却是无政府状态的世界。
暴力与欺诈:在线无政府状态下的执法
在网络空间,暴力大多不是一个选项;互联网协议可不支持传输子弹。要在真实空间杀死某人,甚至只是逮捕他,你必须知道他是谁。而欺诈,则依然是个问题。
以合同为例。我雇你为我写一个电脑程序。如果我预付款,我可能永远也拿不到程序。如果你先写程序,你可能永远也拿不到报酬。解决方案是声誉强制。除非我过去有履行合同的良好记录——一个与我的网络身份相关联、且一旦我收货不付款便会受损的声誉——否则你不会愿意预先写程序。同理,除非你也有这样的声誉,否则我不会愿意预付款。
为使其奏效,我们需要某种机制,让感兴趣的第三方(比如未来可能想与我们中某一方做生意的人)在发生争端时,能判断出是谁欺诈了谁。解决方案是仲裁。我们的合同,经由双方用各自私钥数字签名,其中包含了我们已同意的仲裁者的公钥。若发生争端,由仲裁者裁定谁亏欠对方什么。如果败诉方未能支付,仲裁者便会就此写一份声明,用其私钥数字签名,并将这份签名文件交给胜诉方,让他发布在一个网页上,并用对方的名字做满标签。任何想查验败诉方声誉的人,只需进行网络搜索,便会找到这份文件,发现此人不可信赖,连自己选择的仲者的裁决都拒不遵守。他可以通过检验数字签名来核实这一切。无需进一步调查。
倘若双方都没有声誉可输怎么办?他们可以租用第三方的声誉,即一个「托管机构」。双方都在该机构存入一笔保证金,并同意,若他们选定的仲裁者做出裁决,保证金将按裁决结果支付给对方。至于可能出现的其他问题及其应对之策,则留待读者自行思考。
如何抵达未来
到目前为止我所描述的一切,在技术上我们几十年前就已知道如何实现。公钥加密被广泛用于保护在线商务,但其基础设施尚未发展到人人拥有一对密钥、数字证书被常规用于将公钥与真实身份锚定、大部分在线通信都受到端到端加密保护并经由数字转发器发送的程度。匿名电子现金由 Chaum 在 1990 年提出,但至今尚未实现,其原因或许在于它需要一个可信的银行,而银行受到严格监管,且匿名电子现金的存在将废掉一个重要的执法工具。
这最后一点可能正在改变,这要归功于一种名为「比特币」(Bitcoin)的不同类型的电子现金的出现。比特币不仅不是匿名的,它还是有史以来最不匿名的货币形式,因为每一笔交易对所有比特币持有者都是可见的。但交易是以一个账户而非真实身份来标识的,而且显然,通过增加类似匿名转发器的程序,有可能将支付与收款的链接切断,从而将其转变为完全匿名的货币。它相对于 Chaum 版本的一大优势,在于它不需要一个可信的发行方。感兴趣的读者可以在线探究其细节;要充分阐述则需要另一本书的相当篇幅。
基础设施其余部分的缺失所导致的问题,在 2013 年由斯诺登(Snowden)对美国国家安全局(National Security Agency)活动的揭露而得到证明。国安局不仅从电话公司获取谁在何时致电谁的信息,还在大规模地监视在线活动,其手段部分通过合法搜查令,部分通过其合法性依赖于对相关法规的秘密解释的方法,还有一部分,如果斯诺登的说法属实,则是完全非法的活动。美国当前刑法的一个特点是,只有政府才能提起公诉,这对于那些犯下政府所默许的罪行的罪犯而言,甚是方便。
广泛采用端到端公钥加密和使用匿名转发器,将使国安局一直以来的大部分行径成为不可能,尽管他们仍可以去追查保护不周的私钥,比如通过黑入存有私钥的电脑。据我所知,没有任何安全系统能对人为失误免疫;利用此类失误,在过去,一直是成功入侵的核心手段。
国安局所作所为的曝光,增加了公司和个人采取行动保护在线隐私的压力,但一个现实问题依然存在。对我们多数人而言,加密我们的邮件,只有在我们互动的大多数人也都成为公钥基础设施的一部分,拥有密钥对和必要软件时,才是有意义的。只要他们没有,我们就不会用;只要我们不用,他们也不会用。另一个问题是,加密和匿名转发器,只有在大量人使用时才能保护隐私。只要使用者寥寥无几,使用它们本身就会让你冒上被识别为「有不可告人之事」的风险。一个强隐私的在线未来是可能的,但远非确定。
在 Future Imperfect 一书中,我更详尽地讨论了这些问题,并将它们与一个反向的技术发展趋势配对:监视。廉价的录像机、面部识别软件和数据库技术的结合,可以创造——可以说正在创造——David Brin 所称的「透明社会」,一个公共场所发生的一切都被记录在案且可供检索的世界。再将时间快进一点,到廉价摄像头已具备蚊子的大小和空气动力学特性时,透明度或许就不再局限于公共场所了。
想象一个未来,网络空间的隐私远超我们以往所知,而真实空间的隐私则荡然无存。那个世界究竟有多私密或多公开,将取决于我们的生活有多少是在网络空间度过的,以及我们能多好地保护我们与网络空间的连接,使其免受真实空间的监视。如果一只「视频蚊子」正盯着你打字,那么用强加密来保护你的邮件也无济于事。
欢迎来到未来。
本章献给 Tim May,密码朋克(Cypherpunk)邮件列表的创始人,许多此类议题正是在大约二十年前于此被提出和辩论;以及献给 Verner Vinge,计算机科学家和科幻作家,他于 1981 年发表的小说 True Names,指明了在线匿名的可能性。
上一章:
《自由的体制》第六十五章 非学校教育:一种自由意志主义的育儿方式Thoughts Memo 汉化组译制
感谢主要译者 gemini-2.5-pro,校对 Jarrett Ye
原文:daviddfriedman.com/Machinery 3rd Edn.pdf#page=335.12
本译文仅供学习交流,不代表译者观点