你的一些日常科技工具缺乏这一重要的安全功能

说到计算机，便利性和安全性经常是矛盾的。简单易用且不会将自己锁在门外的系统往往比那些不太用户友好的系统更不安全。端到端加密 (E2EE) 通常就是这种情况，在这种系统中，只有拥有正确密钥的人才能解密消息、备份和其他任何东西，而服务提供商或任何其他中间人都无法解密。虽然它更安全，但它确实存在一些便利性问题，最近它经常出现在新闻中。

英国议会目前正在审议其期待已久的《网络安全法案》，该法案实质上将使安全的端到端加密非法化。使用 E2EE 作为其消息应用程序的 WhatsApp 和 Signal 均表示，它们将退出英国市场，而不是危及用户安全。

另一方面，Slack 不使用 E2EE 来保护其用户。这意味着 Slack 理论上可以访问其服务上发送的大多数消息。（付费最高的企业客户可以使用自己的加密设置，但如果老板或 IT 部门控制着密钥，他们就可以阅读任何员工消息。）数字权利组织 Fight for the Future 刚刚发起了一项活动，呼吁 Slack 改变这种状况，因为它目前“在后罗诉韦德案环境中，将寻求、提供和协助堕胎的人置于危险之中”。

最后，谷歌更新了其双因素身份验证器应用程序，允许在设备之间同步登录的秘密一次性代码。这意味着用户在购​​买新手机时无需重新配置每个设置了 2FA 的帐户。不幸的是，正如两位安全研究人员在 Twitter 上指出的那样，Google Authenticator 尚未使用 E2EE，因此谷歌（或任何入侵您谷歌帐户的人）都可以看到用于生成 2FA 一次性代码的秘密信息。虽然利用这一点可能需要一些努力，但它会严重破坏本应是安全的系统。作为回应，谷歌表示将添加 E2EE，但没有给出时间表。

[相关：您应该使用的 7 款安全消息应用程序]

对于如此重要​​的技术，E2EE 是一个相对简单的想法——尽管实现它所需的数学运算很复杂，需要对大量非常大的数字进行分解。用短信之类的东西来理解最容易，但同样的原理也可以用来保护其他类型的数字通信——比如双因素授权码、设备备份和照片库。（例如，通过 iMessage、Signal 和 WhatsApp 发送的消息是端到端加密的，但标准短信不是。）

E2EE 通常使用一种称为公钥加密的系统。每个用户都有两个在数学上相关的密钥：一个公钥和一个私钥。公钥可以真正公开；它不是秘密信息。另一方面，私钥必须不惜一切代价受到保护——这是加密安全的原因。由于公钥和私钥在数学上是相关的，因此使用难以逆转的算法用某人的公钥编码的文本消息只能使用匹配的私钥解码。

假设 Bob 想要给 Alice 发送一条加密短信。他们使用的服务将所有公钥存储在中央服务器上，每个用户都将私钥存储在自己的设备上。当他发送消息时，应用程序会将其转换为一个长数字，从服务器获取 Alice 的公钥（另一个长数字），并将这两个数字通过加密算法运行。这个在其他人看来完全是胡说八道的长数字被发送给 Alice，然后她的设备用她的私钥解密它，这样她就可以阅读文本了。

但这个例子也凸显了 E2EE 可能带来麻烦的地方。如果 Alice 丢失了包含私钥的设备，会发生什么？那么她就无法解密任何人发给她的任何消息。而且由于她的私钥没有备份在任何地方，她必须设置一个全新的消息帐户。如果它是一个短信应用程序，那就很烦人了，但如果它是一个重要的备份或 2FA 系统，那么因为丢失私钥而被锁定在帐户之外是一个非常现实的风险，而且没有好的解决方案。

如果鲍勃向爱丽丝发送了一条关于他称霸世界计划的消息，会发生什么？好吧，如果英国政府有一条法律规定，所有关于称霸世界的消息都必须抄送给他们，那么服务提供商就有点为难了。他们无法提供 E2EE 并执行任何类型的内容审核。

这也是 E2EE 经常出现在新闻中的原因之一。虽然从理论上讲，它对用户来说很棒，但对于提供这些服务的公司来说，在为用户提供高安全性和设置服务以便客户支持能够帮助那些无法登录账户的人以及他们能够遵守政府要求和传票之间，存在着非常现实的权衡。不要指望加密很快就会从新闻中消失。