波多黎各聖胡安——完美隱私軟體(Pretty Good Privacy)開發者菲爾·齊默爾曼(Phil Zimmermann)被公認為加密軟體教父。20世紀90年代,齊默爾曼把自己的軟體放到網上讓人下載。之後他曾受到刑事調查,該調查最終於1996年撤銷。如今,他的完美隱私軟體是全球使用最廣泛的電子郵件加密軟體。
但是近來,齊默爾曼忙於他的新項目Silent Circle,以求為智能手機用戶提供加密。在波多黎各聖胡安的一個安全會議上,齊默爾曼發布了面向安卓(Android)設備和iPhone的這一服務。Silent Circle讓用戶在加密狀態下打電話、發送簡訊以及舉行視頻會議。過了一段預先設定的時間後,相關信息會從手機上完全刪除。通過使用有同行評議的新型開放源代碼加密技術,通信安全得到保障。
齊默爾曼的商業夥伴包括完美隱私公司(PGP Corporation)的聯合創始人喬恩·卡拉斯(Jon Callas),以及兩位前海豹突擊隊隊員(Navy SEALs)——麥克·楊克(Mike Janke)和維克·海德(Vic Hyder)。完美隱私公司現在屬於Symantec公司。齊默爾曼說,他的目標市場是駐紮在海外的軍人、在已知存在監視行動的國家經商的商人、人權活動人士、異見人士以及(最近才包括的)記者。齊默爾曼說,自去年10月啟動Silent Circle項目以來,他幾乎把全部時間都用在華盛頓,忙於與政府機構和承包商簽合同。
他堅決要求該服務基於訂費。個人用戶每月支付20美元(約合120元人民幣),企業用戶按照僱員人數收費。他說,他常常被問道,既然人們能輕易用Skype打免費電話,為什麼還要使用該服務?
他說,「我讓他們去用Skype。我不想跟他們浪費口舌。這個技術是為真正需要高級密碼技術的人提供的。我們不是Facebook。我們跟Facebook完全相反。」
Silent Circle的界面看起來很像原生iOS和Android系統中的撥號和文字信息界面,其視頻會議服務和Skype的相似度很高。用戶可獲得10位數的「沉默號碼(silent number)」,以便聯絡其他Silent Circle用戶。如果每月多交29美元,用戶就可以使用這些號碼呼叫非Silent Circle用戶。在這種情況下,該項服務將把用戶和其加拿大伺服器之間的呼叫加密,使那些想要追蹤用戶的人在追到加拿大之後就斷了線索。
該公司把伺服器設在加拿大是有理由的,因為這樣就不再受制於美國政府。加拿大的隱私法律也比美國嚴格得多,甚至比歐盟還要嚴格。齊默爾曼指出,執法機構和Silent Circle服務本身都無法竊聽Silent Circle用戶的通信。
「當我們說我們沒有密鑰時,我們說的是實話,」齊默爾曼說。他指的是解密信息所需的電子鑰匙。
齊默爾曼發明瞭自己的點對點加密協議,以避免有人偽造保障通信安全的授權機構所發放的證書來截取Silent Circle的通信。2011年,出售安全證書的荷蘭公司DigiNotar就遭到攻擊,很多人認為攻擊方是伊朗政府或為其效勞的黑客。
「因為那次事故,如今有數千名伊朗異見人士被關在監獄裡,」齊默爾曼說。
在對DigiNotar公司被攻擊一案進行分析後,電子前沿基金會(Electronic Frontier Foundation)發現,證書授權系統並不安全。「在我們增強或用更安全的系統來替換證書授權系統之前,」該基金會說,「我們對HTTPS/TLS/SSL不安全問題所做的一切補救措施都只是權宜之計而已。」
如今已出現很多承諾保障通信安全的應用程序。手機應用Wickr提供加密視頻、照片和文本信息的類似服務。但安全研究人員抱怨說,他們對該應用的協議瞭解不夠。
預料到會出現這種批評的Silent Circle,公布了自己的源代碼,供各方審議,以證明其加密是安全的,而且沒有任何預設的「後門」。
「在我的職業生涯中,我一直本著不設後門的原則,」齊默爾曼說。「所以我們現在也不會創建後門。」