這一聲明在巴黎的走廊裡聽起來像是一聲真正的「獨立吶喊」:法國總理下令政府放棄WhatsApp和Signal,轉而使用被標榜為「本土」的通訊軟體Olvid。目標很明確:保護國家機密免受外國情報機構的染指。
然而,一個苦澀的諷刺很快浮出水面:Olvid的核心——其伺服器基礎設施——運行在美國巨頭亞馬遜雲端服務(AWS)的內部。
對於公眾來說,這似乎只是一個簡單的技術託管問題。但對於主權網路安全架構師來說,這是首要的政治漏洞。
治外法權與主權衝突
透過依賴亞馬遜的基礎設施,Olvid自動進入了美國CLOUD法案的管轄軌道。
法律分析揭示了管轄權不安全的情況,僅僅採用一款國家「應用程式」並不能解決這一問題。轉折點在於「控制」與「在地化」的概念差異。
CLOUD法案從根本上改變了法律範式,規定伺服器的物理位置並不重要。服務提供商(此處為AWS)的合作義務僅源於其與美國的管轄聯繫。
在法律上,這與GDPR產生了正面衝突。歐洲法院已經確立,美國的監控法律未能提供與歐洲同等的數據保護水平。
數位主權不是軟體的屬性,而是監管鏈完整性的特徵。
FISA的幽靈與加密的虛假承諾
更糟糕的是,這種對美國基礎設施的依賴將這些數據置於外國情報監視法(FISA)的陰影下。
面對這些威脅,Olvid聲稱其端到端加密構成了足夠的護盾。從隱私工程的角度來看,這種辯護是危險且片面的。
即使訊息內容被加密,AWS的集中式基礎設施依然暴露了元數據。知道誰在和誰說話、什麼時候、頻率如何以及從哪裡說話,通常比訊息內容本身對外國情報機構更有價值。
加密保護了文本,但集中式伺服器暴露了聯絡人網絡。
真正的危險還在後頭
只要歐洲的基礎設施依賴於受治外法權約束的實體,我們通訊的法律安全將始終是短暫和虛幻的。
21世紀的國家安全需要完全的基礎設施和硬體獨立。「現在收集,以後解密」策略是未來十年最具破壞性的威脅。
今天被攔截的國家機密,無非是一顆數學定時炸彈。
(閱讀我們分析的第2部分:定時炸彈與零知識必要性)