苹果转移iCloud账户加密密钥到中国存储
苹果下周起将把中国客户的iCloud账户转移到中国境内的服务器,届时还将采取一项前所未有的举措——把这些账户的密钥从美国转移至中国。这些密钥可解锁用户在iCloud的照片、笔记和信息。此举引发了一些隐私专家的担忧。苹果表示,已向中国客户建议,可以选择退出iCloud服务以避免将数据存储在中国。
这些密钥是复杂的随机字符串,可以解锁用户存储在iCloud的照片、笔记和信息。苹果称,到目前为止,该公司都是把全球所有用户的密钥存储在美国,以体现对客户隐私和安全的重视。
虽然苹果表示将确保密钥在中国受到保护,但一些隐私专家和前苹果安全员工担心,将密钥转移到中国会令客户数据更易被中国政府获取,而中国政府向来有审查和政治压制的做法。
约翰霍普金斯大学(Johns Hopkins University)密码学教授Matthew Green称,一旦将密钥放到中国,苹果就不一定能在撤出的时候带走密鈅,因为服务器可能被中国政府获取。他说,最终,这意味着苹果无法说不。
苹果称,将密钥转移到中国一定程度上是为了遵守中国去年实施的数据存储法规。苹果称,将把密钥存放在安全地点,保持对密钥的控制,而且未设立任何访问客户数据的后门。一位发言人在声明中还表示,苹果对新法规提出了反对,但还是选择遵守,因为如果停止iCloud服务,将导致恶劣的用户体验,中国用户的数据安全和隐私也会受到影响。
苹果的举动反映出自新法规生效以来﹐希望继续在中国提供云服务的外国公司所面临的艰难选择。其它公司也已服从新规﹐包括微软(Microsoft Co., MSFT)﹐其Azure和Office 365服务由世纪互联(21Vianet Group)运营﹐以及亚马逊公司(Amazon.com Inc., AMZN)。亚马逊与北京光环新网股份有限公司(Beijing Sinnet Technology Co.)和宁夏西云数据科技有限公司(Ningxia Western Cloud Data Technology Co.)签订了云服务运营协议。
Amazon Web Services和微软都在中国为企业提供服务,两家公司未透露将把在中国使用其安全工具的企业加密密钥存储何处。
由于苹果拥有庞大的用户群且该公司历来秉承支持用户隐私的态度﹐隐私专家对苹果尤为关注。2016年﹐美国政府希望苹果帮助解锁2015年圣贝纳迪诺恐袭枪手的iPhone﹐苹果进行了反抗。苹果首席执行长库克(Tim Cook)在当时致用户的一封信中解释其决定时表示﹐多来年﹐苹果一直使用加密工具保护用户的个人数据﹐因为苹果认为这是保证用户信息安全的唯一方式。
苹果表示﹐将仅在该公司认为中国政府部门提出的请求合法的情况下才会提供数据﹐同时表示不会响应批量数据请求。根据苹果的透明度报告﹐2017年上半年该公司收到来自中国政府部门的1,273次数据获取请求﹐涉及超过1万部设备。苹果表示提供了相关数据,仅有14%的请求未配合。
大中华区对于苹果的重要性仅次于美国,该市场上个财年实现收入447.6亿美元,占总收入的五分之一。为了满足中国的法律要求,苹果此前已有引发争议之举,包括将可以绕过政府网络封锁的VPN软件从其中国应用商店下架。苹果称,无论在哪里经营都会遵守当地法律,希望中国在通信方面的限制最终能够放宽。
德杰律师事务所(Dechert LLP)驻北京律师陶景洲称,中国iPhone用户对于苹果转移iCloud数据存储地的做法感到失望,因为中国的隐私保护薄弱。但是他称,中国用户仍然认为,就隐私政策和保护而言,iPhone比某些纯国产手机更好。
苹果在中国的云业务合作伙伴是云上贵州大数据产业发展有限公司(Guizhou-Cloud Big Data Industry Co.),后者的主管部门为贵州省政府。苹果计划从2月28日起将iCloud(中国)服务转由云上贵州运营。客户数据将在两年时间里转移至位于中国的服务器。苹果对于何时将相关账户的加密密钥转至中国不予置评。
苹果自上个月开始通知中国iCloud用户,他们的数据存储将转由云上贵州负责。
中国用户收到的更新版条款与条件中称,“苹果公司和云上贵州有权访问您在此服务中存储的所有数据,包括根据适用法律向对方和在彼此之间共享、交换和披露所有用户数据(包括内容)的权利”。
多伦多大学蒙克全球事务学院(Munk School of Global Affairs)政治学教授、曾研究中国政府黑客活动的Ronald Deibert称,由于苹果中国业务将由一家中国公司管理,很难相信中国政府不会通过该公司访问苹果数据。
云上贵州和中国国家互联网信息办公室未立即回应置评请求。
无国界记者(Reporters Without Borders)已要求在华记者2月28日前更改其苹果账号所属地区或关闭账号,称尽管苹果表示不会提供后门,但中国有关部门仍有可能获得访问用户数据的后门。
苹果表示,已向中国客户做出建议,他们可以选择退出iCloud服务以避免将数据存储在中国。账户设置为其它国家或香港、澳门地区的在华用户数据不会转移到中国的服务器,苹果称,在用户接受中国内地服务新条款之前,苹果不会转移任何用户的数据。
Green和其他人士称,苹果将披露更多技术详情,阐释苹果采取了何种措施来确保密钥和有可能放在云上贵州的互联网使用数据的安全。
数据中心建设顾问Joe Gross称,通过这些被称为元数据的互联网使用信息,中国有关部门有可能得知下载中国政府感兴趣的一部书籍或其它文件的用户身份。
Gross称,从这些数据可得知用户是在上传还是下载文件,身在何处,也许还能得知用户是否在分享文件。
苹果称,获得这些元数据需要依法提出请求。
稿源:华尔街日报