蘋果蔑視法院:聖伯納丁諾與例外存取
賽義德·里茲萬·法魯克於2015年12月2日離開聖伯納丁諾衛生局辦公室,隨後與妻子塔什芬·馬利克一同返回。法魯克與馬利克隨即向法魯克的同事們開火,發射了超過一百發子彈,隨後逃離現場。不久之後,襲擊者在與警方的槍戰中喪生。這起事件造成十四人死亡、二十一人受傷,成為9/11以來最嚴重的國內恐怖攻擊。FBI局長詹姆斯·柯米表示,有跡象顯示兇手曾接受激進思想的洗腦,並可能受到海外恐怖組織的啟發;然而,他同時補充稱,並無證據顯示這些兇手屬於某個有組織的較大團體。柯米指出,數百名FBI探員正試圖了解這些兇手的動機及其生活中的每一個細節。不久之後,有消息傳出馬利克曾在Facebook上宣誓效忠伊斯蘭國。在與警方槍戰中喪生之前,這兩名恐怖分子曾試圖隱藏和銷毀電子證據,其中一部運行iOS 9的iPhone 5C成為FBI與蘋果之間法律與媒體爭鬥的焦點。FBI曾要求蘋果協助解鎖該設備,但蘋果拒絕了該要求。
調查進展期間,2016年1月,加州聖荷西召開了一次科技高層與政府安全領導人會議,討論包括加密及伊斯蘭國宣傳等廣泛議題。在會議上,蘋果執行長蒂姆·庫克(據美國國務院的理查德·斯滕格爾認為,他代表在場的業界領袖發言)向包括FBI局長柯米、白宮幕僚長丹尼斯·麥克唐諾以及國家安全局局長麥可·羅傑斯在內的政府代表表示:「加密技術的大勢已不可逆轉,它不會消失,反而只會變得更強大。」庫克主張政府必須認清這一現實,並因此提出問題:「在一個普遍存在加密技術的世界裡,如何最佳化搜尋恐怖分子的能力?」對於設置後門的可能性,庫克評論道:「如果我認為這能保護我們所有人,我也會支持這樣做。」隨後,會議進入其他議題,可能是因為政府高層擔心若進一步強調加密問題,會影響與科技領袖的更廣泛議程。
2016年2月16日,FBI再次要求蘋果解鎖該iPhone,這次基於《全權令》獲得法院命令。該命令指示蘋果提供「合理的技術協助」,以實現三項重要功能:
- 繞過或停用自動抹除功能,無論該功能是否已啟用;
- 使FBI能夠通過實體設備端口、藍牙、Wi-Fi或其他可用協議,將密碼碼送至該設備進行電子測試;
- 確保當FBI向該設備提交密碼時,設備上運行的軟體不會故意在密碼嘗試之間引入額外延遲。
為達此目的,命令要求蘋果提供「經簽署的iPhone軟體檔案、恢復包或其他可載入於該設備的軟體影像檔案」。該更新將允許密碼以電子方式輸入,而非手動操作,使得透過窮舉攻擊更易於解鎖iPhone。
蘋果執行長蒂姆·庫克回應FBI所謂「前所未有」的要求時表示:
「雖然我們相信FBI的意圖是好的,但政府強迫我們在產品中內建後門是不對的。最終,我們擔心這項要求會破壞政府應保護的自由與權利。」
庫克表示他對恐怖分子「毫無同情」,並希望正義得以伸張——蘋果已向FBI提供了其所有掌握的資料,甚至派出工程師協助指導探員。然而,由於全盤加密(FDE)的關係,蘋果將部分用戶資料置於其組織控制之外,信任端點加密技術來保護用戶,正如他們所言:「我們認為你的iPhone內容與我們無關。」庫克解釋道:
我們已盡一切努力……在我們能力範圍內、且符合法律規定地協助他們。但如今美國政府要求我們提供一項我們根本不具備,且我們認為過於危險而不該創造的東西。他們要求我們在iPhone中建造一個後門。
庫克指出:「在錯誤的人手中,這套軟體……有可能解鎖任何實體擁有的iPhone。」他主張:
FBI可能會用不同的字眼來描述這個工具,但毋庸置疑,建造一個能夠繞過安全機制的iOS版本,必然會創造一個後門。而儘管政府可能主張這項工具只會用於這一案件,但我們無法保證其使用受到限制。
庫克進一步論述,即使政府聲稱該工具僅針對單一設備使用:
一旦技術被創造出來,就可以被反覆使用於任何數量的設備上。在現實中,這就相當於一把萬能鑰匙,能夠打開數以億計的鎖——從餐館、銀行到商店乃至住宅。沒有人會認為這是合理的。
庫克強調,蘋果找不到任何一個美國企業曾被迫使使其客戶承受更高攻擊風險的先例,也沒有先例顯示可以依據1789年的《全權令》要求這樣做。《全權令》允許法院「發出一切在其轄區內、符合法律慣例及原則之必要或適當的命令。」問題在於,此案中發布這樣的命令是否繞過了國會制定法律的責任,並可能破壞公眾對國家安全監督的信心。庫克形容FBI的要求「令人寒心」,而其對《全權令》的詮釋將允許FBI:
要求蘋果構建監控軟體,以截取你的訊息、訪問你的健康記錄或財務數據、追蹤你的定位,甚至在你不知情的情況下開啟你手機的麥克風或攝像頭。
庫克表示,蘋果以對美國民主的「最深敬意」及對國家的熱愛,對FBI的要求提出挑戰,但他們必須「站出來,對美國政府的過度擴權說不」。
蘋果在法律上提出申訴,要求撤銷FBI的法院命令,其論點進一步指出,一旦該存取方法被建立,「遲早會有外國政府要求使用同樣的工具。」政府主張該工具只會用於解鎖涉案iPhone的說法也遭到駁斥:
政府稱:「就這一次,就這一部手機。」但事實上,政府已經提交多項類似命令的申請,其中一些案件正在其他法院審理。隨著上週本院命令的消息傳出,州及地方官員也公開宣稱,打算使用這個作業系統來解鎖數以百計其他被查扣的設備——即便那些案件與恐怖主義毫無關係。
蘋果的律師指控FBI試圖透過法院尋求一種危險的權力,而這種權力本來就被國會和美國人民所拒絕授予。蘋果最後主張,社會願意為保護隱私而在安全上做出讓步:
社會中不乏選擇不為更高效率的刑事法律執行付出代價的例子。例如,儘管若政府能強迫嫌犯自證其罪,可能會有更多罪犯被定罪,但社會卻不容許違反第五修正案所保障的反自證其罪特權。也不容許違反第四修正案,儘管如果政府能在無搜查令情況下自由進行搜索及扣押,可能更容易取得關鍵證據。
在我們法律系統的每一層面上……社會都曾為了保護某些權利而犧牲了對執法機關調查犯罪及將罪犯繩之以法的利益。社會仍在討論本案所提出的重要隱私與安全議題。政府無論多麼有心想要無所遺漏地進行調查,都無權終止這場辯論,並強加其觀點於社會。
科技業界、密碼學專家及公民自由團體紛紛支持蘋果,並提供了有力的證詞以支援其訴訟。谷歌執行長桑達爾·皮查伊表示,協助執法部門取得現成資料與要求公司讓客戶設備及數據被駭客入侵是「完全不同」的,後者可能成為一個「令人擔憂的先例」。WhatsApp執行長簡·考姆則發文指出:「我們絕不能允許這個危險的先例得以樹立。今天,我們的自由和權利正岌岌可危。」史諾登評論道,這是「十年來最重要的科技案件」,並表示「FBI正創造一個讓公民依賴蘋果來捍衛他們權利,而非相反的世界。」在許多方面,這個案件引起了公眾前所未有的關注,有評論員總結道:
蘋果幾乎已成為一種信仰,不僅在美國,而是在全球各地,從日本到羅馬尼亞。它擁有數以百萬計的追隨者,對其保持著近乎崇拜的忠誠。因此,當蘋果遭受攻擊時,人們會留心所有關於加密的技術細節,沒有人會說「我沒有什麼好隱瞞的。」
對此,柯米回應蘋果的說法,強調案件的核心:
這並不是要樹立先例或傳遞任何訊息,而是關乎受害者與正義……我們只想藉由取得搜查令,有機會試著猜測恐怖分子的密碼,而不致使手機自毀,也不需花上十年時間來正確猜出。僅此而已。
柯米補充道:「我們不想破壞任何人的加密,或是放任一把萬能鑰匙橫行天下。」他承認FBI並不清楚手機內究竟存有何物,「也許這部手機中藏有尋找更多恐怖分子的線索,也許沒有。但如果我們不追查這條線索,我們將無法直視受害者的眼睛,也無法正視鏡中的自己。」柯米希望大家能「深呼吸,停止宣稱世界末日即將來臨」,但他也指出「隱私與安全」之間存在著戰略性張力,並評論道:
這種張力不該由以營利為目的的企業來解決,也不該由以調查為職責的FBI來解決。應由美國人民決定,在這個前所未見的世界中,我們希望如何自我治理。我們不應該被最響亮的聲音牽引,走向一個極端的立場,因為找到合適的平衡對每一位美國人來說,將影響長遠未來。
未來總統唐納德·特朗普曾在一場政治集會上呼籲抵制蘋果產品,質疑道:「他們[蘋果]以為自己是誰啊?」
法院案件最終未得以展開——3月20日,FBI找到一個匿名第三方,幫助他們存取法魯克的iPhone。據報導,該第三方為以色列公司 Cellebrite,但其所利用的技術漏洞尚未公開。柯米表示,此案激發了一個全球性的市場,使得各方開始探索是否能破解運行iOS 9的蘋果5C手機。儘管存取成本確切數字尚不明朗,柯米指出超過120萬美元的投資是值得的(這筆費用可能涉及該漏洞的反覆使用)。柯米也對訴訟不再必要表示滿意,並稱:「訴訟並非解決涉及我們所有人關切的艱深價值問題的最佳場所。」
FBI似乎並不熱衷於進行庭審——也許案件在公眾中的輿論反應並不如預期般正面。此案曾受到媒體密切報導,佔據24小時新聞循環,甚至在史蒂芬·科爾伯特深夜秀等政治談話節目中成為議題,科爾伯特曾就此案對檢察長進行了盤問。FBI顧問吉姆·貝克後來回顧這場法律失利時表示:「我曾認為聖伯納丁諾案件為國會改變法律、解決更大問題提供了充分依據,因為這起案件涉及眾多受害者並與恐怖主義直接相關。顯然,我錯了。」
FBI撤回該案的決定也可能受到紐約一項較少被公開的法律裁決影響。2015年10月,FBI根據1789年的《全權令》向法院請求強制蘋果解鎖被扣押的iPhone 5s(運行iOS 7),該手機因為是較舊版本,蘋果能夠解鎖。奧倫斯坦法官在2016年2月29日裁定,必須依據該法案文字中「符合慣例與原則」來適用《全權令》。政府此前至少有70次援引《全權令》要求蘋果解鎖嫌犯設備。法律爭議的核心在於,政府是否在利用《全權令》來行使國會認為不應賦予政府的權力。1995年通過的CALEA法案明確禁止將該法適用於提供「資訊服務」的實體,而蘋果聲稱其屬於該定義範疇。蘋果主張,國會在考慮資訊服務是否應受此法規管制時,決定不讓其適用於該領域。奧倫斯坦在裁決中支持蘋果,並指出:「政府在此尋求的,實際上是要求法院賦予國會選擇不授予的權限。」他補充道:「政府在此的論點顯然與該法條相抵觸。」此外,奧倫斯坦認為政府對該法律的詮釋:
允許法院賦予行政部門國會明確決定保留、只要該權力未被明確禁止,就能進行調查的權力,將會使《全權令》從一項僅用於彌補司法運作漏洞的有限法規,變成一項能夠顛覆三權分立、僅受國會更高層次禁止或預防限制約束的機制。我認為,這樣的詮釋在憲法上難以站得住腳,因此是不可允許的。
奧倫斯坦明確指出:「政府依賴《全權令》來獲取在實質上屬於立法權的權力,其結果將會產生荒謬到不可容忍的後果。」他表示,政府:
已慎重決定,還不如從法院獲取這種密碼立法權限……而不是冒著公開立法辯論可能產生不如其意結果的風險。
奧倫斯坦總結道:
如何在安全與隱私之間取得最佳平衡,對我們社會至關重要,而隨著科技進步日新月異,這個問題變得越來越迫切。但這場辯論必須從今天開始,並且應該由那些具備理解技術與文化現實能力的立法者來進行。若法官假裝我們的開國元勳在1789年就已進行並結束了這場辯論,那將背叛我們的憲法傳統以及人民對民主治理的追求。
翌日,柯米在國會發言時表達了他的困惑:「老實說,我不完全理解,因為CALEA是關於資料在傳輸中的安全,而這次則是關於靜止資料的問題。」柯米試圖淡化這一裁決,稱:
「這正是法官的工作,他們會解讀國會的法案,並理解其意義,尤其在情勢變化下。因此,我預計這條路會充滿坎坷,會有許多律師長時間工作,但最終我們會達到法院對其涵蓋範圍有充分認識的那一天。」
然而,柯米重申,他認為平衡互相衝突的利益並非FBI的責任:
「我們並不是要告訴美國人民如何解決這個問題。FBI並非某個外星勢力降臨地球,我們是屬於美國人民的,我們只使用法律賦予的工具。所以,我們的工作僅僅是告知大家存在這個問題。每個人都應該關心,都應該了解美國生活中是否存在不受搜查令保護的空間……我不知道答案是什麼。可能是美國人民通過國會和法院決定這個問題太難解決,或是執法部門在強加密技術保護我們的通訊及文件上已做得足夠好,又或者這是我們必須找到一種方法來達到更好平衡的問題。」
FBI對該裁決提出上訴。然而,該案於2016年4月悄然撤回,因為司法部透過其他途徑獲取了手機存取權,這也宣告了FBI法律攻勢的終結。
2018年,司法部監察長對FBI在聖伯納丁諾事件中的行為展開調查,發現FBI的行事存在不規範之處。調查報告顯示,有關是否在採取法律行動前已使用一切可行手段解鎖該iPhone,證詞存在衝突。報告指出,一名高級FBI官員「開始擔憂」某位下屬「似乎並不想找到技術解決方案,或許他明知解決方案卻保持沉默,以追求對蘋果有利的法院裁決。」該官員認為法魯克的案件正是「陷入黑暗」挑戰的代表性案例。參議員懷登評論說:「現在很明顯,FBI明顯更有心利用這起可怕的恐怖攻擊事件來樹立一個強大的法律先例,而不是迅速取得恐怖分子手機的存取權。」民主與科技中心的格雷格·諾傑姆指出:「監察長顯然關心的是,FBI整體上是否並未致力於尋找那些不需要削弱加密的技術解決方案。」蘇珊·蘭道則表示,這一發現「引發了FBI在面對鎖定設備時究竟受到多大阻礙的問題——以及多少所謂『陷入黑暗』的爭論,其實只是FBI在尋求更簡便的調查方法。」
當FBI存取法魯克的手機時,該手機的價值有限。執法消息人士告訴CNN,雖然從設備中恢復了新的數據,但並未顯示與ISIS或其他目標有任何聯繫,儘管這一點本身可被視為有價值,因為它支持恐怖分子以「單獨行動者」運作的理論——也有可能嫌疑人還擁有其他未被發現的設備。如果恢復的數據證明有用,FBI極有可能大聲宣稱這筆情報有力支持他們爭取蘋果存取工具的論點。然而,另一種可能則是,有極為敏感的線索被發現,而FBI不希望因此提前暴露調查目標;但看起來到了2020年,公眾若有任何此類線索的價值,都會被告知。
柯米局長在整個2015年都持續評論「陷入黑暗」的挑戰,他指出敘利亞的伊斯蘭國正在「招募並指派數十名情緒不穩的美國人去殺人,而這個過程越來越多地透過端對端加密的行動訊息應用程式進行。」他警告說:「毫無疑問,在一個普遍採用強加密技術的世界中,壞人可以毫無顧忌地溝通。」柯米還引用了德州加蘭另一案件的情形,
在他們出發企圖大規模殺戮之前,其中一人曾與一位我們知道是美國境外恐怖分子的人交換了109則訊息。我完全不知道他們說了些什麼,我仍然無法告訴你他們說了些什麼。因為他們是透過一個端對端加密的訊息應用程式進行溝通……這非常重要,足以讓他們跨越一個海洋交換109則訊息,討論當天即將發生的事情,但我卻無法告訴你內容。這就是一個問題,這正是民主制度所面臨的問題。
截至2019年中期,FBI仍未存取這些訊息。柯米的論調逐漸變得更為激進,他開始主張加密技術本身就是民主面臨的一個問題,而不再僅僅呼籲就此議題展開平衡辯論,由社會做出抉擇。
解決「陷入黑暗」挑戰的政策方案並不具吸引力。奧巴馬政府的加密工作組針對例外存取的選項提出了一份報告。該內部文件指出,並不存在「一刀切」的技術方法,每種加密類型都需要獨特的技術解決方案。報告評估了一些技術挑戰,認為對某些問題並無明確解決方案,同時也指出,惡意行為者始終可以利用那些無法存取的加密資料。此外,文件還提到,許多服務和加密產品均採用開源軟體,而對於這類軟體,政府並無一個中央權威可供合作以開發存取解決方案。文件中並未推進任何具體選項,並指出
一些技術專家、公民社會及企業可能會認為任何政府存取措施都是試圖取得廣泛且非針對性的批量收集權限。因此,這些團體幾乎肯定不會信任僅依賴政策或法律來強制執行的限制,而更傾向於由技術本身來實現限制。
與業界合作被認為是最佳選擇;然而,作者建議不要提出技術解決方案,
因為考慮到業界和公民社會對政府言論的對抗性反應,任何提議的方案幾乎肯定會迅速成為攻擊的焦點,並成為反對方進一步強化立場的依據。政府提出的技術方案,很可能被視為引入後門或漏洞的建議,不但不會促進更多討論,反而只會加劇緊張局勢,而非建立合作。
工作組建議,不妨先提出一系列原則,而非具體解決方案,藉以將公私部門的對話焦點放在實際操作與政策取捨上,而非爭論政府是否試圖削弱加密或在技術產品與服務中引入漏洞。建議的原則包括:集中於針對性存取而非大規模存取,不允許政府單方面存取(即不允許所謂的「金鑰」),使用技術手段強制限制存取範圍,盡量減少對創新帶來的負面影響,促進國際間的採用,以及避免破壞對安全的信任。此外,工作組文件還簡略探討了四種存取方案: 首先是修改實體設備硬體,加入一個「獨立的、物理的加密端口」,由供應商保管一套金鑰,以便在收到搜查令時啟用解密。這種方法成本較高,但可限制政府及惡意行為者的濫用。 其次是讓供應商啟用遠程存取,利用軟體更新程序上傳政府所需的軟體,從而對設備進行「廣泛的存取」。然而,這可能會質疑既有軟體更新管道的可信度,並可能導致用戶關閉更新,使設備安全性大幅降低。 第三種選項是採用類似Clipper晶片的多方共持密鑰的遠程存取方案,但作者認為這種方法實施與維護都相當複雜。最後一種選項是利用遠程存取迫使設備生成未加密的備份,然後將該備份提供給政府。當這份工作組文件流出網路後,國家安全發言人馬克·斯特羅已確認這些提案並未被推進。
接下來,值得簡要檢視一個由合法攔截反對者引用的主要案例,以了解攔截能力如何反而降低系統安全性。這個案例涉及雅典的沃達豐-帕納豐。在2004至2005年的冬季,攻擊者利用沃達豐-帕納豐旗下愛立信電信網路設備中的合法攔截條款,監聽了超過一百名目標的通話。受害者包括希臘總理及其夫人、國防部、外交部與司法部部長,以及雅典市長。具體的侵入方法尚不清楚,但可以確認的是,有四台愛立信交換機遭到入侵,使得攻擊者得以利用原本供政府使用的合法攔截軟體,複製出目標通話的數據流,並轉發至攻擊者控制的電話上。儘管手機與最近基地台之間的通話是加密的,但在沃達豐內部網路的部分環節卻未採用加密。調查人員表示,這些交換機是以罕見的精細與複雜手法重新編程的。該漏洞在攻擊者更新其軟體時被發現,因為更新導致網路錯誤,使得合法簡訊未能送達。雖然攻擊者的身份從未被確認,但歷史學家詹姆斯·班福德認為,這起事件有跡象顯示可能是中情局與國家安全局所為。儘管此案例很好地說明了攔截能力如何增加系統脆弱性,但也有諸多跡象顯示希臘方面並未遵循資訊安全的最佳實踐。相比之下,當時所提出的Clipper晶片方案將具備更為完善的程序與技術保障。儘管成熟的攔截能力能夠防範大部分攻擊,但面對潛在的巨大情報獎勵,一個決心堅定且資源充足的行動者仍可能投入大量資金與人力以達成目標。事實上,很少有系統能夠長期抵抗這樣的攻擊,這也是為何最敏感的網路通常都會與其他網路(例如網際網路)實行物理隔離,以確保安全。