这一声明在巴黎的走廊里听起来像是一声真正的“独立呐喊”:法国总理下令政府放弃WhatsApp和Signal,转而使用被标榜为“本土”的消息应用Olvid。目标很明确:保护国家机密免受外国情报机构的染指。
然而,一个苦涩的讽刺很快浮出水面:Olvid的核心——其服务器基础设施——运行在美国巨头亚马逊云服务(AWS)的内部。
对于公众来说,这似乎只是一个简单的技术托管问题。但对于主权网络安全架构师来说,这是首要的政治漏洞。
治外法权与主权冲突
通过依赖亚马逊的基础设施,Olvid自动进入了美国CLOUD法案的管辖轨道。
法律分析揭示了管辖权不安全的情况,仅仅采用一款国家“应用”并不能解决这一问题。转折点在于“控制”与“本地化”的概念差异。
CLOUD法案从根本上改变了法律范式,规定服务器的物理位置并不重要。服务提供商(此处为AWS)的合作义务仅源于其与美国的管辖联系。
在法律上,这与GDPR产生了正面冲突。欧洲法院已经确立,美国的监控法律未能提供与欧洲同等的数据保护水平。
数字主权不是软件的属性,而是监管链完整性的特征。
FISA的幽灵与加密的虚假承诺
更糟糕的是,这种对美国基础设施的依赖将这些数据置于外国情报监视法(FISA)的阴影下。
面对这些威胁,Olvid声称其端到端加密构成了足够的护盾。从隐私工程的角度来看,这种辩护是危险且片面的。
即使消息内容被加密,AWS的集中式基础设施依然暴露了元数据。知道谁在和谁说话、什么时候、频率如何以及从哪里说话,通常比消息内容本身对外国情报机构更有价值。
加密保护了文本,但集中式服务器暴露了联系人网络。
真正的危险还在后头
只要欧洲的基础设施依赖于受治外法权约束的实体,我们通信的法律安全将始终是短暂和虚幻的。
21世纪的国家安全需要完全的基础设施和硬件独立。“现在收集,以后解密”策略是未来十年最具破坏性的威胁。
今天被拦截的国家机密,无非是一颗数学定时炸弹。
(阅读我们分析的第2部分:定时炸弹与零知识必要性)