近來(lái)越來(lái)越多的信息產(chǎn)品用戶開(kāi)始重視對(duì)自己個(gè)人信息的保護(hù)，信息安全相關(guān)的技術(shù)也開(kāi)始越來(lái)越受到重視和追捧，或者說(shuō)，用戶的重視和工業(yè)界的追捧。

然而，隨著安全技術(shù)的不斷演進(jìn)，有一個(gè)問(wèn)題變得越來(lái)越明顯：最終用戶所重視的安全性，與工業(yè)界所追捧的安全技術(shù)，這兩者并不完全重合。

本文將試圖揭示和闡述這一問(wèn)題，并對(duì)其加以討論。本文意在促使越來(lái)越多的信息技術(shù)的最終使用者，意識(shí)到“安全”一詞在最終用戶，“非最終”用戶和工業(yè)界之間所存在的系統(tǒng)性差異，并希望能夠壯大最終用戶一側(cè)的聲音和力量。

向誰(shuí)證明

最近（2021年7月）正好有一個(gè)非常合適的例子，即某著名商業(yè)操作系統(tǒng)開(kāi)發(fā)商的最新系統(tǒng)，強(qiáng)制要求某項(xiàng)平臺(tái)安全特性一事。這一示例揭示了一個(gè)至關(guān)重要，卻并沒(méi)有被學(xué)術(shù)界充分討論的問(wèn)題：信任的基點(diǎn)，或者說(shuō)根源。注意，我這里并不是在討論位于驗(yàn)證鏈條的最初一環(huán)，為之后的環(huán)節(jié)提供驗(yàn)證的那個(gè)軟件或硬件，而是在這最初的一環(huán)之前的，那個(gè)引入并掌控著“最初一環(huán)”，要求著整個(gè)鏈條提供證明的那個(gè)人。

TPM，可信平臺(tái)模塊，是一個(gè)提供密鑰相關(guān)功能的硬件，它只會(huì)向通過(guò)完整性驗(yàn)證的平臺(tái)和程序提供其密鑰，因而可以用于驗(yàn)證目前的“平臺(tái)環(huán)境”是否可信。即，如果可以讀出TPM密鑰，那么意味著平臺(tái)是可信的，因而密鑰可以被安全地使用，否則，平臺(tái)是被篡改而不可信的，因此不能安全地在此平臺(tái)上使用密鑰。這一密鑰可以進(jìn)一步為其他密鑰提供加密，從而成為平臺(tái)的“最初一環(huán)”。

然而，這并非TPM的全部功能：TPM，以及隨后的包括TrustZone，Intel SGX，以及可能更為著名的Apple T2芯片在內(nèi)的可信計(jì)算技術(shù)，還提供了一項(xiàng)“有趣”的技術(shù)：遠(yuǎn)程證明。它使得用戶可以向某個(gè)遠(yuǎn)程的一方提供一種證明：證明用戶正在運(yùn)行的平臺(tái)和程序的完整性。

或者，我們換一種說(shuō)法，它使得遠(yuǎn)程的一方具有了這樣的權(quán)利：要求最終用戶提供正執(zhí)行的某項(xiàng)平臺(tái)或程序未被修改的證據(jù)。

本來(lái)，對(duì)這種要求，我們可以理直氣壯得回答“關(guān)你*事”，但TPM的出現(xiàn)卻打破了這種局面。強(qiáng)制支持TPM 2.0，則是將所有人置于了這種危險(xiǎn)之中，這將會(huì)使我們失去回答“管你*事”的權(quán)利。

不如說(shuō)，在遠(yuǎn)程證明中，“信任基點(diǎn)”是被轉(zhuǎn)移了的：本應(yīng)作為信任基點(diǎn)的最終用戶，現(xiàn)在成了提供證明的一方，而那個(gè)“遠(yuǎn)程的一方”，現(xiàn)在卻成了要求最終用戶提供證明的一方，成了整個(gè)驗(yàn)證鏈條，甚至整個(gè)平臺(tái)的控制者。而那個(gè)真的在終端前進(jìn)行操作的最終用戶，則淪為了遠(yuǎn)程一方的傀儡。

當(dāng)然，這種轉(zhuǎn)移并非完全沒(méi)有用處：我們可以設(shè)想某個(gè)云計(jì)算服務(wù)提供商可以使用這種方式將其信任基點(diǎn)轉(zhuǎn)移到計(jì)算服務(wù)的最終使用者，那么使用者就能有更強(qiáng)的理由相信云平臺(tái)的安全性。

然而，遺憾的是，云計(jì)算的最終用戶很難真正掌握云計(jì)算平臺(tái)的TPM，這種轉(zhuǎn)移可以通過(guò)TrustZone或SGX實(shí)施，但尚不具有足夠的可操作性。不如說(shuō)在這種場(chǎng)合下，遠(yuǎn)程證明甚至還不如尚處于萌芽階段的安全多方計(jì)算更有用。

兩種視角

通過(guò)這一例子，讀者應(yīng)該能夠體會(huì)到對(duì)“安全”這一概念，其實(shí)一直存在著兩種視角：一個(gè)是一切以最終用戶為中心的，作為普通用戶的視角；而另一個(gè)，則是“最終用戶并非最終用戶”的，服務(wù)提供商，企業(yè)和制造商視角。

沒(méi)錯(cuò)，持有第二種視角的，實(shí)際上更多的是企業(yè)，尤其是官僚機(jī)構(gòu)成熟的，渴求著對(duì)員工的病態(tài)掌控的大企業(yè)。企業(yè)員工所使用的設(shè)備歸企業(yè)所有，歸企業(yè)控制和管理，作為最終用戶的員工則只是這些設(shè)備的操作者，而非控制者。員工在這些設(shè)備上受制于企業(yè)，在企業(yè)的完全管理和控制之下。

而且，諷刺的是，本應(yīng)站在操作者視角，自覺(jué)為用戶提供可信證明的服務(wù)提供商，卻幾乎從來(lái)沒(méi)有在意過(guò)這些。相反，網(wǎng)絡(luò)存儲(chǔ)服務(wù)提供商檢查和過(guò)濾著用戶的每一項(xiàng)數(shù)據(jù)，即時(shí)消息提供商隨意地，不提供理由和申訴地封禁著用戶，作為服務(wù)提供商，它們卻反過(guò)來(lái)想要控制用戶。

當(dāng)然我們并非不能理解這一點(diǎn)：至少街頭的ATM機(jī)不屬于具有“控制臺(tái)訪問(wèn)”的某個(gè)銀行客戶。不過(guò)，不同的是，ATM機(jī)只是在提供自動(dòng)柜員服務(wù)；但企業(yè)員工每天要有數(shù)個(gè)小時(shí)花在企業(yè)配備的計(jì)算機(jī)上，而這臺(tái)機(jī)器卻不歸他所有；在線服務(wù)提供商的用戶更是在自己的個(gè)人計(jì)算機(jī)上使用提供商的服務(wù)：這些提供商甚至想要控制本屬于用戶的東西。

在上述第三種情形中，蘋(píng)果公司是把這種控制做到極致的廠商之一。T2芯片使用蘋(píng)果公司的密鑰，向蘋(píng)果公司提供證明，T2芯片的信任基點(diǎn)從來(lái)都是蘋(píng)果公司而不是最終用戶。蘋(píng)果公司可以不需要用戶憑據(jù)就解開(kāi)激活鎖，而最終用戶卻沒(méi)有任何辦法重置它。用戶購(gòu)買了蘋(píng)果公司生產(chǎn)的設(shè)備，但設(shè)備的控制權(quán)卻從未被轉(zhuǎn)移到用戶手中。

作為最終用戶

學(xué)術(shù)界將信息安全劃分為三要素，保密性，完整性，可用性，然而對(duì)于最終用戶來(lái)說(shuō)，這三要素首先必須要建立在一個(gè)基礎(chǔ)上：控制。

最終用戶必須獲得對(duì)設(shè)備，對(duì)平臺(tái)，對(duì)程序的完全，或者至少是足夠充分的控制，否則這三要素便會(huì)失去根基。在不受用戶控制的設(shè)備上，設(shè)備可以隨意影響平臺(tái)和加密程序的執(zhí)行，因此其完整性就無(wú)從保證，加密程序的完整性無(wú)法被保證，那么密鑰和用戶數(shù)據(jù)的保密性就無(wú)從保證。不受用戶控制的設(shè)備和程序可以隨時(shí)在它們的實(shí)際控制者的要求下停止運(yùn)行，因而可用性也無(wú)從保證。

單純就TPM來(lái)說(shuō)，對(duì)于最終用戶而言，TPM提供的能力并非無(wú)用，它提供了對(duì)設(shè)備失竊以及“邪惡女仆攻擊”的防護(hù)。但另一方面，TPM并非足夠安全，最終用戶對(duì)“最初一環(huán)”有多得多的選擇，而TPM甚至不是其中足夠安全的選項(xiàng)。另外，在多數(shù)用戶事實(shí)上面臨著無(wú)數(shù)更為嚴(yán)峻的挑戰(zhàn)的情況下，討論失竊和邪惡女仆攻擊未免為時(shí)過(guò)早。另外，用戶必須向TPM導(dǎo)入自己的平臺(tái)密鑰才能實(shí)現(xiàn)對(duì)TPM的掌控，它的存在顯然削弱了用戶對(duì)平臺(tái)的控制，而非加強(qiáng)。

對(duì)平臺(tái)和程序的完全控制，需要用戶能隨意改變這些程序的行為，這對(duì)絕大多數(shù)商業(yè)軟件來(lái)說(shuō)都是天方夜譚，因?yàn)樗鼈儫o(wú)一例外得都會(huì)要求用戶交出某些控制。這其中比較過(guò)分的大廠可能是騰訊，尤其是騰訊的PC端游戲：不過(guò)游戲產(chǎn)業(yè)依然有以cdpr為首的少數(shù)廠商愿意尊重用戶的控制權(quán)。

的確我們可能不得不向這種現(xiàn)實(shí)妥協(xié)，但我依然建議最終用戶們盡量選擇那些尊重你的控制權(quán)的軟件，因?yàn)橹挥羞@樣，才會(huì)有越來(lái)越多的軟件開(kāi)發(fā)者和開(kāi)發(fā)商，意識(shí)到用戶的決定權(quán)也是很重要的。

而且我認(rèn)為需要提醒大家一點(diǎn)，在我們奪回對(duì)機(jī)器的控制權(quán)之前，安全性是無(wú)從談起的。如果我們向設(shè)備制造商或者服務(wù)提供商交出了太多控制權(quán)，那么我們的處境就變得會(huì)和大企業(yè)的員工們一樣，它們將完全掌握我們的數(shù)字生活，甚至這些影響還會(huì)滲透到線下。我們不會(huì)希望這些事發(fā)生。