2016 年 2 月 16 日下午,加州里弗赛德联邦地区法院的法官 Sheri Pym 签发了一份在表面上不算特别异常的命令。命令对象是 Apple 公司,要求 Apple 协助 FBI 解锁一台 iPhone 5C。这台手机属于 Syed Rizwan Farook——两个多月前在 San Bernardino 县卫生部圣诞派对上开枪杀死 14 人的两名凶手之一。

命令本身只有几页纸,引用了一项 1789 年通过的法律——《All Writs Act》。这部法律最初是给联邦法院授予一项广泛的“补充性”权力——在没有具体程序规定的情况下,可以发布“必要或适当”的令状协助司法运作1。FBI 把这部 227 年前的法律作为它要求 Apple 写一款“政府特供版 iOS”的法律依据。

法官 Pym 的命令具体要求 Apple 做三件事:

  1. 创建一个特殊版本的 iOS,禁用 iPhone 的“10 次错误密码自毁数据”功能
  2. 移除每次密码尝试之间的人工延迟
  3. 允许 FBI 通过 USB、蓝牙或 Wi-Fi 远程输入密码——以便 FBI 可以暴力破解 4 位密码1

这三个要求合在一起,本质上是一件事:Apple 必须制造一款不存在的产品,用来削弱 Apple 自己设计的安全机制

第二天,2016 年 2 月 17 日凌晨 4 点 30 分,Tim Cook 在 Apple 官网发布了一封致客户公开信《A Message to Our Customers》。信的关键句子在过去十年里被反复引用:

“The government is asking Apple to hack our own users and undermine decades of security advancements that protect our customers.”

“政府要求 Apple 攻击我们自己的用户,并削弱保护我们客户几十年的安全进步。”2

接下来的 40 天里,这场争论以一种 1990 年代 Crypto Wars 之后从未见过的强度回到了美国公共领域。它涉及司法部、白宫、最高法院级别的宪法学者、几乎所有美国科技公司的 CEO、联合国人权高专、几十家民权组织。它从一个“如何解锁一台手机”的技术问题,演变为“民主社会是否同意政府强制企业削弱安全产品”的根本问题。

但这场争论在公开层面只持续了 40 天。2016 年 3 月 28 日,FBI 突然撤诉。

撤诉的官方理由是:“第三方提供了一种可能的解锁方式。”具体是哪个第三方、用了什么方法,FBI 没有公开。直到 2021 年 4 月 14 日——五年后——《华盛顿邮报》才披露:FBI 付给澳大利亚一家叫 Azimuth Security 的小公司约 90 万美元,由公司创始人 Mark Dowd 找到入口漏洞、研究员 David Wang 将其串成一条针对 iPhone 5C 的完整漏洞链(代号 “Condor”)3

这场表面上以“FBI 撤诉”结束的争论,其实是 PRISM 之后世界加密政策最深远的一次冲突。它不仅仅是 Apple 对 FBI 的一次胜利,更是一场叫做“加密之战 2.0”的更大冲突的核心战役——而这场更大的冲突,在 2026 年仍在进行。

要理解加密之战 2.0,必须先理解加密之战 1.0。

加密之战 1.0 发生在 1990 年代,是美国政府与公民社会、学术界、产业界之间关于“普通人是否有权使用强加密”的正面冲突。我们在第 7 章已经讲过这段历史,但有必要在这里把它的核心成果列出来——因为加密之战 2.0 是它的镜像。

加密之战 1.0 的关键节点:

  • 1991 年 6 月:Phil Zimmermann 发布 PGP 1.0,把强公钥加密免费传遍 Usenet 与 FTP 网站
  • 1993-1996 年:Zimmermann 因“违反国际武器贸易条例”被美国司法部刑事调查;1996 年 1 月 DOJ 撤销调查
  • 1993 年 4 月:克林顿政府提出 Clipper Chip——一个内置政府密钥托管的商用通信加密芯片
  • 1994 年 5 月:AT&T 实验室的 Matt Blaze 发布技术论文,揭示 Clipper Chip 的设计致命缺陷
  • 1995 年 8 月:Daniel J. Bernstein 起诉美国政府,要求确认“加密源代码是受第一修正案保护的言论”
  • 1996 年:Clipper Chip 项目实质死亡
  • 1999 年 5 月:第九巡回上诉法院在 Bernstein 案中判决——“Computer source code is expressive speech protected by the First Amendment”
  • 2000 年 1 月:克林顿政府全面放开加密出口管制4

加密之战 1.0 在表面上以公民社会的全面胜利结束。强加密合法、可出口、被法律确认为言论保护的对象。Clipper Chip 死了,key escrow(密钥托管)作为政策选项死了,“政府必须能解密任何通信”这个 1990 年代初的政府立场在公开层面死了。

但 2013 年 Snowden 的文件证明那场胜利是幻觉

Bullrun 项目——NSA 在 1990 年代输掉密钥托管之争后转向的秘密策略——是这样运作的:

  • 从内部削弱标准:NSA 在 NIST 等标准制定机构中安插影响力,让某些加密标准带有 NSA 已知的弱点。最著名的例子是 Dual EC DRBG——一个被 NIST 在 2006 年标准化的伪随机数生成器,被多位密码学家怀疑(后被 Snowden 文件证实)含有 NSA 后门5
  • 与公司秘密合作:与一些公司达成秘密协议,让产品的加密实现“对 NSA 友好”
  • 建造解密能力:投资数十亿美元建造能在合理时间内破解某些公开加密的计算基础设施
  • 盗取密钥:通过 TAO(Tailored Access Operations)入侵公司的内部网络,直接盗取根证书或私钥
  • 拦截硬件:拦截发往特定地址的网络设备,植入硬件后门后再继续发货6

Snowden 文件 2013 年 9 月 5 日公开 Bullrun 项目的存在时,密码学社区的反应是震惊与愤怒。多位密码学家——包括 Ron Rivest、Bruce Schneier、Matthew Green、Daniel J. Bernstein——公开声明,Bullrun 的存在让“NSA 信任度”在密码学社区彻底崩塌。Bernstein 之前曾在 Bernstein v. United States 案中为政府确立“加密 = 言论”的原则;Bullrun 公开后他撤回了对任何 NSA 参与的标准的信任。

这是加密之战 2.0 的真正起点。它不是从 2016 年 Apple vs FBI 开始的——它从 2013 年 9 月公众发现“政府从未真正接受 1990 年代的失败”开始。1990 年代政府输掉了正面战场(密钥托管立法),但他们转入秘密战场(标准削弱与硬件后门),并在那里赢回了大部分阵地。

加密之战 2.0 不是新一轮战争。它是同一场战争——这一次因为 Snowden,公众重新被拉入战场。

公开层面的加密之战 2.0,第一个标志性人物是 James Comey

Comey 在 2013 年 6 月被奥巴马提名为 FBI 局长,9 月 4 日宣誓就职。距 Snowden 公开 PRISM 不过三个月。他面对的局面是一个特殊的:FBI 正在因 Snowden 披露受到舆论压力,但 FBI 内部对“加密让我们瞎了”的焦虑也在快速上升。Apple 在 2014 年 9 月发布 iOS 8——这个版本第一次把 iPhone 上的本地数据加密设计为 Apple 自己也无法解密。在那之前,Apple 持有“主密钥”,理论上可以协助执法部门解锁有令状的设备。iOS 8 之后,连 Apple 自己都不能7

Google 在同一周宣布 Android 5.0 Lollipop 也会默认全盘加密。WhatsApp 在 2014 年 11 月宣布与 Open Whisper Systems 合作,启动 Signal Protocol 集成。

整个美国科技业在 Snowden 公开后的 12-18 个月里,集体做出了同一个决定:让“政府不可解密”成为产品默认。这个决定是商业理性的——他们刚刚因为 Snowden 文件失去了大量国际用户对“美国云”的信任,“加密硬化”是重建信任的最直接路径。

Comey 把这件事称为 “Going Dark”——执法部门“即使有合法授权,也无法获取加密通信内容”。2014 年 10 月 16 日,他在 Brookings Institution 发表了一次后来被反复引用的标志性演讲《Going Dark: Are Technology, Privacy, and Public Safety on a Collision Course?》。演讲的关键句是:

“Encryption threatens to lead all of us to a very dark place.”

“加密威胁要把我们所有人带到一个非常黑暗的地方。”8

Comey 在演讲中提出几个具体诉求:

  1. 修改 CALEA(1994 年通过的《通信援助执法法》)以涵盖加密通信——也就是把 1990 年代为电话设计的“执法部门必须能拦截”的法律义务扩展到 VoIP、即时通讯、邮件
  2. 加密后门 —— 让执法部门在有令状时能解密。这在密码学社区被称为“exceptional access”
  3. client-side scanning(备选)—— 在加密前就扫描内容
  4. key escrow——加密软件把密钥副本存放第三方(克林顿政府 1993 年提案的复活版)

这些诉求在表面上是“温和的、有限的、只在有令状时使用的”。但密码学社区一致认为:从技术上不可能“只让政府用,不让坏人用”。

2015 年 7 月,MIT、Princeton 等 15 位顶级密码学家联名发布报告《Keys Under Doormats》。报告的核心论点是:加密后门技术上不可能“只让政府用,不让坏人用”。任何后门都会成为攻击面。实际经验:Dual EC DRBG、Clipper Chip 都已证明失败9

联名作者的名单读起来像现代密码学的英雄榜:Hal Abelson、Ross Anderson、Steven Bellovin、Josh Benaloh、Matt Blaze、Whitfield Diffie、John Gilmore、Matthew Green、Susan Landau、Peter Neumann、Ronald Rivest、Jeffrey Schiller、Bruce Schneier、Michael Specter、Daniel Weitzner。Diffie 是 1976 年 Diffie-Hellman 密钥交换协议的共同发明者;Rivest 是 RSA 算法的 “R”;Bellovin 是互联网安全的奠基者之一。这些人不是反政府活动家——他们是构建现代密码学的工程师。他们的联名意见在密码学技术问题上几乎等于“专业终结性意见”。

Comey 与 FBI 没有放弃。但加密之战 2.0 的第一阶段——通过立法强制企业引入后门——在国会层面被搁置。CALEA II 没有被国会推动;EARN IT Act 与 Lawful Access to Encrypted Data Act 在 2020 年与 2022 年多次被提出,但都未通过。

这场公开层面的拉锯到 2015 年底已经形成胶着。然后 2015 年 12 月 2 日发生了 San Bernardino 枪击案。

Syed Rizwan Farook 是一位 28 岁的美国公民、巴基斯坦裔、加州 San Bernardino 县环境卫生部门的卫生检查员。他的妻子 Tashfeen Malik 是 29 岁的巴基斯坦女性,几个月前刚通过 K-1 未婚夫签证抵美。2015 年 12 月 2 日,两人开车前往 Farook 工作单位的圣诞派对,从车里取出 AR-15 步枪与手枪,向同事开枪。14 人被杀,22 人重伤1

二人在四小时后的警匪追击中被击毙。FBI 缴获了 Farook 的工作用 iPhone 5C(iOS 9)。Farook 的个人 iPhone 与一台个人电脑则在事发前被砸毁——这个细节后来被反复指出:真正可能含有有用情报的设备已经被销毁;FBI 索取的是 Farook 留下的、最不可能含有重要计划的工作手机

但 FBI 仍然要求 Apple 协助解锁这台 5C。FBI 局长 Comey 在 2 月 9 日的国会作证中明确表示,这是一个“具体案件,不是政策先例”。Apple 在 Tim Cook 的公开信中则把它定义为“具体案件就是政策先例”。

Apple 提出的五条法律抗辩成为后来类似案件的标准模板:

第一条:违反第一修正案。Apple 论证,强制 Apple 写它不愿意写的代码 = 强制言论。基于 Bernstein v. United States(1999)确立的“代码 = 言论”原则,政府不能强制 Apple 创建表达 Apple 不愿表达的代码10

第二条:违反第五修正案。Apple 论证,强制 Apple 投入数百万美元、数十名工程师数月时间开发“政府版 iOS”,实质上是政府对私营企业的“征用”——按第五修正案,征用必须有“正当程序”与“合理补偿”。这道命令两者都没有。

第三条:All Writs Act 不能用作“创设全新义务”。1789 年的 All Writs Act 是“补充性”权力——它授权法院在“现有法律框架内”发布必要令状协助司法运作。它不应该被用作“创造一种全新的、之前不存在的、强制企业开发新产品的”权力。Apple 论证,FBI 想做的事是“创设新义务”,应该通过立法解决,不应该通过 1789 年的概括性条款绕过国会。

第四条:国会已明确拒绝 CALEA II。FBI 自 2013 年起反复尝试通过国会立法获得它现在想要的权力。国会反复未通过。FBI 现在试图通过 All Writs Act 获得国会明确拒绝给它的权力,违反了“立法权属于国会”的宪法分权原则。

第五条:一旦“政府版 iOS”存在,将被全球执法部门反复索取、被黑客窃取。Apple 论证,即使这次只用于一台 5C,“政府版 iOS”的代码一旦存在,就会被中国、俄罗斯、沙特、印度、土耳其等所有国家的执法部门要求获取。它也会成为黑客攻击的最高优先级目标——一旦泄漏,全球 iPhone 用户的安全都会被影响。

业界声援的规模在美国科技史上前所未有。Google CEO Sundar Pichai 公开支持 Apple;Facebook CEO Mark Zuckerberg、Twitter CEO Jack Dorsey 支持;Microsoft、Yahoo、IBM、Intel、Cisco、AT&T 联名提交 amicus brief;WhatsApp 公开声明(当时正全面推 E2E 加密);ACLU、EFF 联名支持;联合国人权高专 Zeid Ra’ad Al Hussein 公开支持 Apple11

这种业界联合不是利他的。它是商业理性的——如果 Apple 输了,整个美国科技业接下来都会被要求做同样的事。每一家公司都意识到这是它们的共同战线。

但 FBI 也有它的论证。

FBI 阵营的核心论点是“黄金时代假设”——执法部门曾经能够轻易窃听(在 1970-1990 年代的座机时代),现在加密让它们“失去能力”。FBI 反复使用的几个例子是:“恐怖分子、儿童剥削、贩毒者藏匿在加密里”;“司法令状被加密变成废纸”;“我们的同事在调查中遇到加密设备就走到死胡同”。

但反对方阵的反驳同样有力。

Berkman Klein Center 的 “Don’t Panic” 报告是这场反驳的最系统化版本。这份报告 2016 年 2 月发布——恰好在 Apple vs FBI 案开庭前后几周。报告的作者包括 Bruce Schneier、Jonathan Zittrain 等数字法学界的顶级学者。报告的核心论点是:FBI 不是“going dark”,而是“going dim”——只是某些渠道暗了,但其他渠道的可见度爆炸式增长12

报告列出了 FBI 实际可获取的信息:

  • 位置数据:智能手机持续上传 GPS、Wi-Fi、Cell-ID。即使内容加密,“谁在哪里”完全可见
  • 社交图谱:消息平台的元数据(谁与谁通信、何时、多频繁)即使在 E2E 加密下也可获取
  • 设备指纹:浏览器指纹、操作系统、设备 ID、IP 地址
  • 登录日志:用户登录任何服务的时间、位置、设备
  • 物联网爆炸:智能家居(亚马逊 Echo、Google Home、智能门锁、智能电视)、智能汽车、可穿戴设备——每一个新设备都是一个新的潜在监控渠道
  • 云存储:iCloud 备份、Google Drive 备份等大量“加密但有密钥托管”的服务——执法部门可以通过传票获取

报告的结论是:FBI 实际能获取的信息远多于过去——比 1990 年代的电话窃听时代的信息量大几个数量级。所谓“going dark”只是 FBI 在公关上的修辞,不是技术现实。

“案件数字”争议进一步暴露了 FBI 的修辞问题。2018 年 FBI 公开声明:“因加密无法解锁约 7,800 部手机。”这个数字被 FBI 反复引用作为“加密危机”的具体证据。但 2018 年 5 月《华盛顿邮报》披露:FBI 内部技术评估显示实际数字仅约 1,000-2,000 部。FBI 公开承认“内部统计错误”,但批评者认为这是夸大宣传13

修辞战与事实战的差距,是加密之战 2.0 一个反复出现的特征。FBI 的公关叙事在情绪层面有力,但在技术细节上经常无法承受密码学社区的审查。

Apple vs FBI 的庭审原定 2016 年 3 月 22 日开始。3 月 21 日,FBI 突然要求延期。3 月 28 日,FBI 宣布已成功解锁,撤销诉讼。

这种戏剧性的退场让所有关心这件事的人——支持 Apple 的、支持 FBI 的、关心宪法问题的——都失去了一个法律裁决。All Writs Act 是否可用于创设新义务、政府是否能强制公司削弱产品安全——这些核心问题没有被法庭裁决。它们至今仍然没有 binding 判例。

FBI 撤诉的真实原因——一家澳大利亚小公司开发的漏洞链——直到 2021 年 4 月才被披露。但这件事的深层意义在当时已经清晰:政府不需要 Apple 后门也能解锁 iPhone。如果 FBI 真的“无能为力”,他们不会在庭审前几天找到第三方解决方案。FBI 的“我们必须有 Apple 协助”的核心论点本身就是修辞性的,不是技术性的3

但这并不意味着 Apple vs FBI 没有产生具体后果。它产生了三类后果,每一类都在过去十年里继续展开:

第一类:业界全面转向“无后门可能”加密

WhatsApp 在 2016 年 4 月 5 日宣布全员端到端加密——距 Apple vs FBI 撤诉只有 8 天。这个时间点不是巧合。WhatsApp 与 Open Whisper Systems 的合作从 2014 年 11 月开始,Signal Protocol 的集成花了一年半。2016 年 4 月 5 日全员上线,是 WhatsApp 工程团队对“Apple vs FBI 这种事情可能再来”的提前部署。

WhatsApp 当时已有 10 亿用户。一夜之间,全球十分之一人口进入默认 E2E 加密通信。这是人类历史上规模最大的一次加密普及14

WhatsApp 的全员 E2E 在工程上不是一件小事。它涉及对所有 1v1 通信、所有群聊、所有语音通话、所有视频通话、所有附件、所有备份的加密。Signal Protocol 的 Double Ratchet 算法对每条消息使用不同密钥——即使某条消息密钥被破解,过去和未来的消息都不受影响。这种“前向保密 + 事后破解后的恢复安全”组合是密码学社区在过去 20 年开发的最高水平的实际可部署协议15

WhatsApp 的全员 E2E 不是孤立事件,它是整个业界连锁反应的一部分:

  • Signal:用户从 2016 年的几十万激增到 2024 年的约 1 亿月活
  • iMessage:2011 年起就是 E2E,2022 年 Apple 推出 “Advanced Data Protection” 让 iCloud 也可选 E2E
  • Telegram Secret Chats:可选 E2E
  • Google Allo(2016,后停止):可选 E2E
  • Wire:默认 E2E
  • Meta Messenger:2023 年 12 月完成全员默认 E2E 切换
  • Google Messages(RCS):2023 年默认 E2E

到 2026 年,全球至少 40 亿人使用 E2E 即时通讯——这是 PRISM 前不可想象的。

第二类:Apple 内部硬化设计

2016 年后的 iPhone(A8 起)引入 Secure Enclave 协处理器——一个独立的加密处理芯片,密码尝试限制在硬件层面实现。即使 Apple 自己也无法绕过密码尝试限制。这意味着 2016 年 FBI 对 Apple 提出的“特殊版 iOS”的请求,在 2016 年之后的 iPhone 上技术上变得不再可行——即使 Apple 想做,它也做不到。

2018 年 Apple 在 iOS 11.4 加入 “USB Restricted Mode”——一项专门防止 Cellebrite 等取证设备暴力破解的设计。这项功能让 iPhone 在锁屏一段时间后自动禁用 USB 数据传输,让取证设备无法连接7

每一次执法部门找到新的破解方式,Apple 都在下一代硬件或下一版 iOS 上修复。这是一个永远的猫鼠游戏,但游戏的整体方向是清晰的:让“Apple 协助解锁”在技术上越来越不可能

第三类:政府转向“零日漏洞市场”

既然厂商不合作,政府就买漏洞利用。这导致了一个全球漏洞采购市场的成型:

  • Azimuth Security(澳大利亚):解决了 FBI 的 San Bernardino 案
  • NSO Group(以色列):Pegasus 间谍软件
  • Cellebrite(以色列):UFED 取证设备
  • Zerodium(美国):0-day 中介,最高收购单个漏洞 250 万美元
  • Candiru(以色列):Sherlock 桌面间谍软件
  • Cytrox / Intellexa(北马其顿 / 希腊 / 美国):Predator 间谍软件

这个市场在 2016 年之后快速成长,到 2021 年的 Pegasus Project 暴露时已经成为一个全球性的“监控产业链”(这部分我们在第 11 章详细讨论过)16

加密之战 2.0 的一个深刻反讽是:政府越是因为厂商加密“无法获取通信”,越会转向漏洞市场;漏洞市场越成熟,0-day 漏洞越商品化;商品化的漏洞越多,全球网络越不安全。FBI 在 San Bernardino 案中索取的“特殊版 iOS”如果获得了,可能比它最终采取的“买澳大利亚公司的漏洞”对全球用户安全的伤害更小。这是 Comey 在 2014 年 Brookings 演讲中没有提到的连锁效应。

Signal 的故事是加密之战 2.0 的另一条主线。

Signal 的核心人物是 Moxie Marlinspike——真名 Matthew Rosenfeld,Moxie 是他公开使用的笔名。他在 1990 年代后期成为活跃的安全研究员,2010 年创立 Whisper Systems,2011 年被 Twitter 收购。2013 年与 Trevor Perrin 创立 Open Whisper Systems——专门开发开源加密通信工具17

Signal Protocol(最初称 Axolotl Ratchet)的核心创新有三个:

Double Ratchet 算法:每条消息使用不同密钥(forward secrecy)。即使某条消息密钥被破解,过去和未来消息均不受影响。同时具备 Perfect Forward Secrecy(前向保密)与 Post-Compromise Security(事后破解后的恢复安全)。基础组合是 Diffie-Hellman + Symmetric-Key Ratchet。

Sealed Sender:服务器不知道发件人身份(Signal 自己 2018 年加入)。即使 Signal 被传票,也无法提供发件人元数据。

Metadata 最小化:Signal 服务器只知道用户注册时间、最后连接时间。不知道:谁联系谁、何时联系、消息内容、群组成员15

Signal 在 2014-2016 年的关键决策是与 WhatsApp 合作——把 Signal Protocol 集成到 WhatsApp 的产品中。这个决策让 Signal Protocol 一夜之间获得 10 亿用户的实战部署,也让 Signal 自己(作为独立应用)成为加密通信社区的“金标准”。

2018 年 1 月,Moxie 与 WhatsApp 联合创始人 Brian Acton 创立 Signal Foundation。Acton 在 2017 年与 Facebook 因隐私争议决裂后离开 WhatsApp,投入 5,000 万美元作为 Signal 基金会的启动资金。Signal 从此成为一个非营利基金会的产品,不需要广告、不需要数据变现——它的运营完全依靠捐赠17

Signal 在 2018-2024 年的成长是这样的:

  • 2018:约 1,000 万 MAU
  • 2021 年 1 月:WhatsApp 隐私政策更新引发用户大规模迁移;Signal 用户两周内增长数倍
  • 2024 年:约 1 亿 MAU

到 2026 年,Signal 是全球 NGO、记者、活动家、律师、议员、外交官事实上的标配通信工具。香港 2019 反修例运动、伊朗 2022 抗议、缅甸 2021 政变后的抗议、乌克兰前线、加沙报道——Signal 都是关键工具。“Use Signal” 在过去十年里成为了左翼活动家、记者、人权工作者的标准建议。

Moxie 本人的角色逐渐复杂化。他从 2018 年开始就反复表达“我对 Signal 的兴趣是技术问题,不是组织问题”——他多次拒绝把 Signal 商业化,多次拒绝接受任何全职公司职位。2022 年 1 月,他卸任 Signal 主席,由 Brian Acton 接任过渡。他随后转向区块链——参与 MobileCoin 项目(一个以隐私为重点的加密货币)。2024 年 Meta 聘请他做 AI 隐私顾问17

Moxie 的“退场”是密码学社区一个反复讨论的话题。他个人的工程能力与公关能力是 Signal 早期成功的关键,但他始终拒绝把 Signal 变成“以他为中心”的组织——他在 Signal 的最后几年里持续把决策权下放到工程团队。这种“创始人退场”模式在硅谷其实很少见,但它让 Signal 作为一个项目能在没有 Moxie 的情况下继续运营。

Signal 近年的几个动向值得提到:

  • 2024 年 2 月:Signal Foundation 推出“用户名”(Signal Username)功能——用户可以只凭用户名相互联系,把电话号码对其他用户隐藏(注册本身仍需手机号)。这是对元数据问题的一次关键改进
  • 2022 年 11 月:Signal 推出 “Stories” 功能(短视频/图片,24 小时自动消失)——这是 Signal 与 WhatsApp / Snapchat / Instagram 在功能上的趋同,但仍保持 E2E
  • 2025 年:Signal 持续与多国监管对抗——英国 Online Safety Act 的“客户端扫描”要求被 Signal 公开反对,Signal CEO Meredith Whittaker 多次声明“如果被强制扫描,Signal 会退出英国市场”18

Signal 作为一个 NGO 持续运营这件事本身,就是加密之战 2.0 一个不可忽视的成就。在一个所有主流互联网服务都不得不商业化、广告化、数据化的环境里,Signal 证明了一个“完全免费、完全开源、完全 NGO 运营、完全 E2E”的通信工具可以持续存在并服务全球数亿用户。

WhatsApp 全员 E2E 与 Signal 的崛起,加上 iMessage 长期的 E2E 默认,让 2017-2020 年之间的“加密通信”在全球达到了一个普及的临界点。但这种普及也立刻招来了反向压力。

Apple 2021 年 8 月的 CSAM 扫描提案是 PRISM 时代加密辩论最让密码学社区震惊的一次事件。

Apple 在 2021 年 8 月 5 日宣布一组功能,统称为 “Child Safety”。其中两项与加密辩论直接相关:

  1. NeuralHash:在每台 iPhone 上部署一个本地神经网络模型,用来在用户的照片上传到 iCloud 之前扫描是否匹配已知的 CSAM(儿童性虐待材料)数据库。匹配的照片会被标记,达到一定数量后会被 Apple 人工审查并向 NCMEC(美国国家失踪与被剥削儿童中心)报告
  2. Messages Communication Safety:iMessage 中的儿童账号会扫描收发的图片,如果检测到裸体内容会模糊处理并通知家长19

Apple 强调这两项功能“不破坏端到端加密”——扫描发生在设备本地,加密通信本身没有被读取。Apple 还强调技术上的多重保护:只有匹配多张已知 CSAM 时才会触发;阈值由 Apple 设定(约 30 张);最终人工审查会确认;用户可以选择不使用 iCloud 来完全绕过19

但密码学社区的反应是几乎一致的反对。反对的核心论点不是“技术上不可能”,而是“政治上必然失控”。

Bruce Schneier:在他的博客上发布长文反对,标题是 “Apple’s NeuralHash Algorithm Has Been Reverse-Engineered”——文章发表几天后,独立研究员就发现了 NeuralHash 的 hash collision 问题(可以构造两张完全不同的图片,让它们的 NeuralHash 相同)

Matthew Green(约翰霍普金斯大学密码学教授):在 Twitter 上发表的反对意见被广泛转发。核心论点:“Apple 部署的不是一项技术,是一个基础设施。一旦这个基础设施存在,‘扫描什么’就成为一个政治问题”

Edward Snowden:从莫斯科发文反对,强调 Apple 的提案“打开了一个不可逆的门”

EFF:公开信反对,论点是“客户端扫描就是大规模监控,无论扫描的具体内容是什么”20

反对的核心机制论点是这样的:今天用来扫描 CSAM 的同一个 NeuralHash 基础设施,明天可以被各国政府要求用来扫描其他内容——同性恋图像、抗议标语、特定政党的资料、记者的源材料、维吾尔语文本、达赖喇嘛的照片、香港抗议者的截图。Apple 设计的“只扫描 NCMEC 提供的 CSAM 数据库”在技术上是可以工作的,但一旦基础设施在每台 iPhone 上部署,各国政府必然会要求 Apple 接入它们自己的“违法内容数据库”。

Apple 在 2021 年 9 月推迟了 NeuralHash 与 Messages Communication Safety 的部署。2022 年 12 月正式宣布 NeuralHash 计划撤回——Apple 改为推出 “Advanced Data Protection for iCloud”——一项让用户选择把 iCloud 数据本身也 E2E 加密的功能。这意味着即使 Apple 想扫描 iCloud 上的照片,它也不再能读取那些照片21

NeuralHash 的快速死亡是密码学社区一次重要的胜利。但它没有结束这个问题——它只是把同样的提案从一家公司(Apple)推到了立法机构。

欧盟 Chat Control 提案 是 NeuralHash 死亡后立法层面的等价物。

欧盟在 2022 年 5 月由内政事务专员 Ylva Johansson 提出“Regulation to Prevent and Combat Child Sexual Abuse”——简称 CSAR,俗称 Chat Control。提案的核心是要求即时通讯平台强制扫描用户通信中的 CSAM、grooming(性诱拐)行为,以及——在某些版本中——任何“恐怖主义内容”22

这个提案在过去三年里反复被推出、被反对、被修改、被再次推出。它的几个关键版本:

  • 2022 年 5 月:第一版提案,要求所有平台强制扫描所有通信
  • 2023 年 11 月:欧洲议会的“内政与司法事务委员会”(LIBE)大幅修改提案,引入“针对性扫描需法庭命令”等限制
  • 2024 年 6 月:比利时轮值主席国推出新版本,遭密码学社区反对
  • 2024 年 12 月:波兰轮值主席国试图推动通过,未达成共识
  • 2025 年初:丹麦轮值主席国推出“妥协版本”
  • 2025-2026 年:辩论仍在继续

每一次新版本被推出,密码学社区都会重复 Apple NeuralHash 时的反对论点:客户端扫描就是大规模监控;任何扫描基础设施都会被滥用;CSAM 是政治楔子,真正的目的是建立通用扫描能力。Signal 的 CEO Meredith Whittaker 多次声明,如果 Chat Control 通过强制扫描版本,Signal 会退出欧盟市场18

英国 Online Safety Act 2023 是另一条战线。这部法律 2023 年 10 月通过,要求互联网平台对“非法内容”——包括 CSAM、恐怖主义内容、欺诈、自杀诱导等——主动监控并删除。法律中含有一项被密码学社区称为“幽灵客户端扫描”的条款:英国通讯监管局 Ofcom 可以要求平台部署“accredited technology” 来扫描加密通信中的 CSAM23

英国政府在法律通过前承诺“only when technically feasible”——也就是承认目前的加密技术不可能在不破坏加密的前提下扫描内容,所以这一条款实际上不会立即生效。但承诺的措辞极其模糊。WhatsApp、Signal、Element、Wire 等多家加密通信公司公开声明,如果英国试图强制部署客户端扫描,它们会退出英国市场。

美国 EARN IT Act 是同类提案在美国的版本。该法案 2020、2022、2024 多次被提出。表面打击 CSAM,实质是把 Section 230 庇护(互联网平台对用户内容的法律免责)与“扫描加密内容”挂钩——平台如果不部署客户端扫描,就失去 Section 230 保护,意味着可能被无数民事诉讼淹没。该法案多次未通过,但反复被重新引入24

澳大利亚 Assistance and Access Act 2018 已经通过——它含三级要求(自愿协助 / 必要技术援助 / 技术能力通知),可以要求公司提供解密协助。印度 IT Rules 2021 要求 messaging 平台实现“可追溯”——WhatsApp 起诉至德里高等法院。

把这些立法尝试合起来看,会出现一个清晰的模式:全球各民主国家政府都在以“保护儿童”或“打击恐怖主义”的名义,试图通过立法获得 1990 年代 Crypto Wars 1.0 中政府未能获得的客户端扫描能力。每一次尝试都被密码学社区与公民社会推迟或修改,但相同的提案永远会以下一个新名字回来。

这是加密之战 2.0 的核心特征:它不是一场决战,是一场永远的拉锯。政府永远不会真正接受“不能解密”的世界;密码学社区永远会反对“客户端扫描”。每一次新立法都会重新触发同样的辩论,每一次辩论都会重新教育新一代立法者与公众。

回头看加密之战 2.0 的过去十年,会发现它与加密之战 1.0 在结构上有一个惊人的镜像。

加密之战 1.0 的政府论点是:普通公民不应该拥有政府不能解密的加密通信能力

加密之战 2.0 的政府论点是:互联网平台不应该提供政府不能解密的加密通信服务

加密之战 1.0 的密码学社区论点是:加密 = 言论。代码受第一修正案保护。普通公民有使用强加密的权利

加密之战 2.0 的密码学社区论点是:端到端加密是一种数学性质,无法被“只对政府开放”地削弱。任何后门都会被滥用

加密之战 1.0 的结果:政府在公开战场上输了——克林顿政府放开了出口管制,Bernstein 案确立了“代码 = 言论”。但政府在秘密战场上赢了——Bullrun 项目通过削弱标准与硬件后门获得了它的解密能力。

加密之战 2.0 的结果(到 2026 年):政府在公开战场上仍在输——CALEA II 未通过、EARN IT 未通过、Apple NeuralHash 死亡、EU Chat Control 持续受阻。但政府在秘密战场上仍在赢——商业漏洞市场(NSO、Azimuth、Zerodium)让任何有预算的政府都能买到 0-day 攻击能力。

这是两场战争的同一种逻辑:公开战场上的胜利无法阻止秘密战场上的扩散

加密之战 2.0 还有一个加密之战 1.0 没有的特征:全球化。1990 年代的加密之战主要发生在美国——克林顿政府对加密出口管制、Zimmermann 对司法部、Bernstein 对政府——是一场美国国内宪法之争。2010 年代后期的加密之战 2.0 同时发生在美国、欧盟、英国、澳大利亚、印度、中国、俄罗斯——每一个国家都有自己的版本,每一个版本都有相同的核心结构(政府要求扫描或后门 vs 公司与公民社会反对)。

这种全球化让“加密之战”变成了一场没有总指挥的多线战争。但它也让“反对客户端扫描”成为一个全球共同立场——密码学社区在欧盟、英国、美国、澳大利亚使用同样的技术论点反对同样的立法提案。这是 cypherpunks 在 1992 年发起密码学运动时不可能预见的全球协调度。

加密之战 2.0 在 2026 年的状态可以概括为:

  • E2E 加密在主要消费平台已经默认普及(40 亿用户)
  • 政府在立法层面没有获得它们想要的客户端扫描或后门能力
  • 政府已经全面转向漏洞市场与终端入侵(Pegasus 等)
  • 元数据收集仍然在加密体系之外大规模进行
  • 客户端扫描立法在多国仍在被反复提出与反对
  • “Going Dark” 作为修辞工具仍然被各国执法部门反复使用,但其事实基础在 Berkman Klein “Don’t Panic” 报告之后已经严重削弱

加密之战 2.0 没有结束。它将继续到下一波立法提案、下一个 0-day 市场扩张、下一次 CSAM 政治楔子、下一次大规模执法事件。每一次循环都会重新触发同样的辩论。

但有一件事是清楚的:Snowden 之后的世界,“加密”已经不再是一个小众技术议题。它是一个被反复进入公共议程的政治问题,由密码学家、立法者、记者、公司、活动家持续参与。这是 1992 年那 700 个 Cypherpunks 邮件列表订阅者不可能想象的世界——他们梦想的“普通人使用强加密”的世界已经实现,但他们也未必预见到这种实现要伴随永久的拉锯。

加密之战 2.0 的最大教训不是政府或公民社会哪一方“赢了”。它的教训是:在现代国家,加密能力的归属问题永远没有终结。任何一次“胜利”都只是下一场战役的前奏

这是一场永远的战争。

而 Snowden 在 2013 年公开 PRISM,让公众第一次直接看到这场战争的真实战场。他没有结束这场战争——他让它从地下走到了地上。十三年过去了,战争仍在继续。但比起 2013 年之前,至少现在它是在公开层面发生的。

这就是加密之战 2.0 的核心成就:让一场曾经只有少数人知道的战争,成为所有人都可以观察、讨论、参与的战争

References

  1. “Apple–FBI encryption dispute.” Wikipedia. https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute

  2. Cook, Tim. “A Message to Our Customers.” Apple, February 17, 2016. https://www.apple.com/customer-letter/

  3. Nakashima, Ellen & Albergotti, Reed. “The FBI wanted to unlock the San Bernardino shooter’s iPhone. It turned to a little-known Australian firm.” The Washington Post, April 14, 2021. https://www.washingtonpost.com/technology/2021/04/14/azimuth-san-bernardino-apple-iphone-fbi/

  4. “Crypto Wars.” Wikipedia. https://en.wikipedia.org/wiki/Crypto_Wars

  5. “Dual_EC_DRBG.” Wikipedia. https://en.wikipedia.org/wiki/Dual_EC_DRBG

  6. “Bullrun (decryption program).” Wikipedia. https://en.wikipedia.org/wiki/Bullrun_(decryption_program)

  7. “iOS Security.” Apple Platform Security documentation. https://support.apple.com/guide/security/welcome/web

  8. Comey, James. “Going Dark: Are Technology, Privacy, and Public Safety on a Collision Course?” Speech at Brookings Institution, October 16, 2014. https://www.brookings.edu/events/going-dark-are-technology-privacy-and-public-safety-on-a-collision-course/

  9. Abelson, Hal et al. “Keys Under Doormats: Mandating insecurity by requiring government access to all data and communications.” MIT Computer Science and Artificial Intelligence Laboratory, July 6, 2015. https://dspace.mit.edu/handle/1721.1/97690

  10. “Bernstein v. United States.” Electronic Frontier Foundation. https://www.eff.org/cases/bernstein-v-us-dept-justice

  11. “Companies and groups backing Apple in fight with FBI.” Reuters, March 3, 2016. https://www.reuters.com/article/apple-encryption-supporters/

  12. Berkman Klein Center. “Don’t Panic: Making Progress on the ‘Going Dark’ Debate.” Harvard Law School, February 1, 2016. https://cyber.harvard.edu/pubrelease/dont-panic/Dont_Panic_Making_Progress_on_Going_Dark_Debate.pdf

  13. “FBI Overstated the Going Dark Problem.” American Enterprise Institute. https://www.aei.org/technology-and-innovation/the-fbi-overstated-the-going-dark-problem-and-the-facts-on-encryption-remain-the-same/

  14. Metz, Cade. “Forget Apple vs. the FBI: WhatsApp Just Switched on Encryption for a Billion People.” Wired, April 5, 2016. https://www.wired.com/2016/04/forget-apple-vs-fbi-whatsapp-just-switched-encryption-billion-people/

  15. “Signal Protocol.” Wikipedia. https://en.wikipedia.org/wiki/Signal_Protocol

  16. “Zerodium.” Wikipedia. https://en.wikipedia.org/wiki/Zerodium

  17. “Moxie Marlinspike.” Wikipedia. https://en.wikipedia.org/wiki/Moxie_Marlinspike

  18. “Signal would ‘walk’ from UK if forced to weaken encryption.” BBC News, February 25, 2023. https://www.bbc.com/news/technology-64584001

  19. “Expanded Protections for Children.” Apple, August 5, 2021 (archived). https://web.archive.org/web/20210805213419/https://www.apple.com/child-safety/

  20. Portnoy, Erica & Pfefferkorn, Riana. “Apple’s Plan to ‘Think Different’ About Encryption Opens a Backdoor to Your Private Life.” Electronic Frontier Foundation, August 5, 2021. https://www.eff.org/deeplinks/2021/08/apples-plan-think-different-about-encryption-opens-backdoor-your-private-life

  21. “Apple kills its plan to scan your photos for CSAM.” Wired, December 7, 2022. https://www.wired.com/story/apple-photo-scanning-csam-communication-safety-messages/

  22. “EU Chat Control: A Blow Against Encryption.” European Digital Rights. https://edri.org/our-work/chat-control/

  23. “Online Safety Act 2023.” UK Parliament. https://bills.parliament.uk/bills/3137

  24. “EARN IT Act.” Electronic Frontier Foundation. https://www.eff.org/deeplinks/tag/earn-it-act

  25. “Going Dark - FBI Comey testimony.” Federal Bureau of Investigation. https://www.fbi.gov/news/testimony/going-dark-encryption-technology-and-the-balances-between-public-safety-and-privacy

  26. “Pretty Good Privacy.” Wikipedia. https://en.wikipedia.org/wiki/Pretty_Good_Privacy

  27. “Clipper chip.” Wikipedia. https://en.wikipedia.org/wiki/Clipper_chip

  28. Zimmermann, Phil. “Why I Wrote PGP.” 1991-1999 archive. https://www.philzimmermann.com/EN/essays/WhyIWrotePGP.html

  29. “WhatsApp.” Wikipedia. https://en.wikipedia.org/wiki/WhatsApp

  30. “Meredith Whittaker.” Wikipedia. https://en.wikipedia.org/wiki/Meredith_Whittaker