行业新闻与博客

在 Mozilla 根论坛中肆虐的 DarkMatter 辩论具有重大意义 

尽管自由开放的互联网听起来很吸引人，但大多数理智的人会承认我们确实需要一定程度的监管。没有它 - 完全没有任何限制 - 互联网开始看起来更像是带有性剥削和非法商品的黑暗网络。由于限制太多，事情很容易变得具有压制性。

 你可以看到双方在世界各地的各种场所如何发挥作用，从那些没有监管网络犯罪无政府规则的国家到控制公民在线生活各个方面的严格独裁政权。

 但是，全球网络的全球性质使得试图在各自国家中规范互联网的国家法律的混乱无效，这使得一些超国家实体需要做出一些这些监管决定。

 该实体应该是谁，这不是一个容易回答的问题 - 如果可以的话。但是虽然没有正确的答案，但肯定有一些错误的答案。 

其中之一就是将其转交给科技行业。 

不可否认，从表面上看，这样做会有所帮助。一些公司，由于其无处不在和定位，当然有能力在互联网上实现变革。但允许这种权力不受限制是一个非常滑坡。

 在内心深处，一个人的道德感是通知监管的事情之一。

 科技产业不应该成为道德的仲裁者。

 让我们使用我们自己的行业（SSL / TLS 和 PKI）中的示例，其中证书颁发机构，浏览器供应商和根程序（通过 CA / B 论坛）就整个行业必须遵守的一系列标准进行协作。

 现在，在 Mozilla 根论坛上展开了一场引人入胜的辩论，在论坛中，我们将根据证书颁发机构的内容对 Mozilla 基金会的根计划作出决定（我们将在一秒钟内解释）。它是更大辩论的一个极好的缩影。

 由于 Mozilla 在业界的地位，Mozilla 的根计划是独一无二的。不同于谷歌，苹果和微软 - 他们负责管理其他主要的创纪录计划 - 莫扎拉是一个非营利性组织，它没有通过金融镜头查看很多这些决定。Mozilla 确实尝试以符合其精神的方式行事，它合法地希望让互联网变得更加美好。 

在主要的根程序中，Mozilla 的意图是最高尚的。

 这就是为什么它的根论坛目前是争论可能包含 DarkMatter 根源的争论的原因。 这里有很多需要解压缩的地方，我会尽量做到尽可能全面，但在我们进一步发展之前，我想明确地说明这篇文章（以及扩展，Hashed Out 或 SSL Store） ™）并不主张将 DarkMatter 纳入其中，也不主张其应用程序应该被拒绝 - 它只是提出了一些需要与此决定一起考虑的严重问题，并对我们之前提出的问题产生了影响。毕竟，这个行业中没有任何事情发生在真空中。

 Mozilla 根计划 

让我们从根程序开始吧。很多人可能已经知道了这一点，但无论如何还要跟我说话。每个计算机系统（无论是桌面设备还是移动设备）都使用根存储。根存储是一组证书颁发机构根证书，它们存在于设备上并便于公钥基础结构（PKI）。数字证书和 PKI 促进了互联网上的安全连接（HTTPS），电子邮件签名，文档签名，代码签名等。

 当设备出现数字证书或签名文件时，它会使用附加的数字签名来帮助对其进行身份验证。为此，它查看签名，然后将其跟回到其私钥对其签名的证书。它继续跟随签名，直到它到达其商店中的一个根。只要数字证书可以链接回其中一个根，那么设备就会信任它。如果没有，则发出错误。

 这就是您无法自签名证书的原因。这也是使根证书如此有价值的原因。证书颁发机构（DigiCert，Sectigo，Entrust 等）负责颁发数字证书。他们必须遵守严格的标准，以防止错误发放这些证书。

 要发布数字证书，您需要拥有受信任的根。这意味着你需要让各个 root 程序接受你的 root。

 根目录包含在根程序中后，任何使用该根程序的系统都会自动信任您发出的任何数字证书。显然，这可能是危险的，那些被称为流氓证书，并且它们会造成严重损害。因此，这些根程序受到严密保护。

 有四个主要方案值得注意：

• Mozilla 的
•  苹果
•  微软
•  谷歌

Microsoft 系统使用 Microsoft 根存储，Mac OS 和 iOS 系统使用 Apple。Android 设备使用谷歌和 Mozilla Firefox 网络浏览器，Thunderbird 邮件客户端 - 以及许多开源操作系统发行版 - 使用 Mozilla 的根存储。

 虽然 Mozilla 的根计划并非公开民主，但为了保持透明度，许多有关其业务的对话都存放在可由公众访问的 Google 论坛上。在其他行业专家和利益相关者可以权衡的论坛上。

 这是因为透明度 - 而且因为 Mozilla 作为一个 20 岁的非营利组织在互联网上作为一个尽责和仁慈的演员而享有当之无愧的声誉 - 这个决定可能会成为一个领头羊。 

谷歌，苹果和微软对他们的程序更加不透明，但为了互操作性，主要的根程序通常都符合要求（参见：赛门铁克不信任）。

 我只想说，目前正在展开的辩论将会对其他根计划的决定产生重要影响。 

输入 DarkMatter Group 

手头的问题是 DarkMatter 组的 CA Root 应用程序。以前，DarkMatter 使用 QuoVadis 签发的中间根来签署和颁发证书，从而充当子 CA. 然而，在过去两年中，DarkMatter 一直试图成为一个合适的 CA，其根源包含在各种根程序中。 

这就是它的全部所在。

 该 DarkMatter 集团是位于阿拉伯联合酋长国的一个网络安全公司。最近，由于路透社的一篇文章概述了该组织如何管理“Project Raven”，其部分由前国家安全局代理人组成，并帮助阿联酋及其执政党（它是一个君主制）的间谍持不同政见者，敌对领导人和记者。 

Project Raven 的故事揭示了前美国政府黑客如何代表外国情报机构使用最先进的网络间谍工具，该服务间谍人权活动家，记者和政治对手。

 对 9 名前 Raven 操作员的访谈，以及对数千页项目文件和电子邮件的审查表明，NSA 教授的监控技术是阿联酋监控反对者努力的核心。

 我建议阅读整篇文章，它会引发一个有趣的故事。

 一个 DarkMatter 完全拒绝作为虚构。 

DarkMatter 首席执行官 Karim Sabbagh 于 2月25日发布： 

我写这篇文章是为了提供 DarkMatter Group 在最近关于阿联酋的媒体文章中的立场，该文章引用了安全和情报问题。它还提到了关于我们是谁以及我们做了什么的误导信息的 DarkMatter。在 Mozilla 政策小组中也提出了类似的主张，在该小组中，论坛成员被要求对 DarkMatter 集团采取行动，因为他们试图将我们的 Roots 纳入他们的 Trust Store 中，这使得两年的流程脱轨。我们认为这是非常不公平的，事实上没有根据。

 我想向您保证，DarkMatter 的工作主要集中在防御性网络安全，安全通信和数字化转型上。我们从来没有，也不会经营或管理针对任何国籍的非防御性网络活动。 

这场谈话不是一场黑白争论，而是在一些令人不安的方向上倾斜，可能会打开几罐蠕虫。它开始涉及各种组织的结构和所有权，一般根本计划的主观性质，未来的先例，道德和事后事实行动的智慧。这也是关于科技产业是否应该成为道德仲裁者的公民投票。

 我们将通过每一个，正如我们从顶部说的那样：我们只是提出这些问题。我们并不打算得到答案。 但有人更好，因为这些是关键的决定。 

DarkMatter 是否有资格加入 Mozilla 根程序？ 

欢迎来到灰色区域。从技术上讲，答案是肯定的。但是，也没有。这是因为 Mozilla，或许是明智的，在做出包含 CA 根源的主观决定方面给了自己一些摆动空间。 

除了一些关于序列号的争论之外，DarkMatter 具有 CA 包含在 Mozilla 根程序中所需的所有技术资格。 Per，DarkMatter 总法律顾问 Benjamin Gabriel，他对此过程中的偏见表示担忧： 

正如您所知，DarkMatter 在过去三（3）年中花了相当大的精力来建立其商业 CA 和信托相关业务。一个重要的里程碑是成功完成了两（2）次 Web Trust 公共审计，验证 DarkMatter 的 CA 业务是否按照 Mozilla 根存储策略和最新版本的 CA / 浏览器论坛（“CABForum”）中规定的标准运行发布和管理公开信托证书的要求。我们已公开披露了我们的证书政策和认证实践声明，其中显示了我们如何遵守上述要求。

 请记住，它已经在 QuoVadis 下作为子 CA 运行。因此，如果您要从应用程序中删除名称，DarkMatter 可能没有被包含的问题。

 不幸的是，对于 DarkMatter 来说，这些应用程序远非匿名。他们需要大量的审查和审计。它们还允许 Mozilla 拒绝一个应用程序，甚至没有提供决策的理由（尽管这条路线会严重破坏组织透明的尝试）。以下是 Mozilla 的 Root 计划政策的相关段落：

 我们保留在根程序中不包含特定 CA 的证书的权利。这包括（但不限于）我们认为 CA 已对用户的安全造成不应有风险的情况，例如，在不知道那些证书中引用其信息的实体（“MITM 证书”）的情况下故意签发证书。Mozilla 没有义务解释任何包含决定背后的推理。 

显然，对 DarkMatter 的敲击是新闻报道 - 它否认 - 声称它帮助阿联酋监视自己的公民（也可能是一些国际公民）。尽管有这些报道，Mozilla 还没有收到任何关于 DarkMatter CA 容量中错误发布或不良行为的确凿证据。

 Per Mozilla 的 Wayne Thayer： 

在这种情况下，我们不知道有关滥用证书的直接证据。然而，证据确实强烈表明，如果尚未滥用，则可能会发生误用。 

使这个问题更加复杂的是，与大多数组织一样，DarkMatter Group 拥有不同的业务部门，可以执行不同的功能。作为 DarkMatter 的高级副总裁，Scott Rea 解释道：

 DarkMatter 有几个业务部门，专注于广泛的网络安全活动。Trust Services BU 负责 DarkMatter CA，主要致力于实现安全通信和数字转换。我们利用其他 DM BU 的服务，这些服务主要专注于防御性网络安全活动，例如网络防御和托管安全服务，以保护和确保 CA 运营的完整性。 

DarkMatter 需要披露有关其控制权和所有权的一定数量的信息。

然而，这并没有满足论坛中更严格的声音，这导致了提议要求 CA 分享比可能更舒适的更多专有信息。

 而这确实是所有这一切中固有的最大问题：主观性是一把双刃剑。虽然它为 Mozilla 提供了这一决策的一定程度的灵活性，但它也将过程偏向于错误。

 双重标准的定义？ 

无论您在 DarkMatter 集团中的地位如何，客观地说，它与其他组织的标准大不相同。它不仅被认为是 CNNIC，Procert，WoSign 和 StartCom 等现在不受信任的 CA 之前的罪行，它还被认为是一个站不住脚的标准：未来可能会发生什么。

 这是另一个非常滑坡 - 我不确定其他组织会想要遵守的标准。 

这不是汤姆克鲁斯的电影，少数派报告，没有法律依据来惩罚一个人或组织，他们将来可能犯下的罪行。据我所知，地球上没有一个以这种方式运作的法律体系。

 当然，这是一个由私人实体做出的决定，所以它不会受到与政府相同的限制和参数的影响，但这也是为什么科技行业不适合做出这些决定的又一个论据。Mozilla 是一个异常值，它以核心理念为指导，这种理念远远超过推动业内其他公司的财务动机。

 谈到合法性，值得注意的是，尽管对 DarkMatter 集团提出了指控，但它从未被指控违法。其中很大一部分原因是因为它（据称）在民族国家的旗帜下开展业务，这为它提供了一套略有不同的规则。这一点很重要，因为虽然很容易解雇一个违反各种国家法律的组织，但当组织在其管辖范围内的法律范围内运作时，情况会有所不同。 

大多数人认为 DarkMatter 有。

 问题不在于 DarkMatter 的行为，因为我们（以及我们，我的意思是整个行业的共识）将我们自己的西方道德和道德投射到一个公司和一个国家的中间。没有普遍的道德标准。它不同的地方。无论我们是否同意法治，DarkMatter 集团都与阿联酋政府建立了完全合法，守法的公私合作伙伴关系。

 现在让我提出一个修辞问题，如果 DarkMatter Group 的结构由处理不同角色的不同业务部门组成，这意味着 CA 运营可能与与阿联酋合作的 Project Raven 业务部门没有太多（如果有的话）重叠政府 - 与谷歌与美国国防部（无人机目标，名为 Project Maven  ）或中国政府（审查搜索引擎）的工作有何不同？

 说真的，有什么区别？一个字母？Google 是 CA. 谷歌深信不疑。谷歌还与各种政府和政府机构合作开展秘密项目。许多公司都有这种政府合作伙伴关系 - 许多美国科技公司与国家安全局密切合作，后者臭名昭着地关注美国公民 - 往往从未公开披露他们的合作。它可能看起来像苹果和橘子，但采取谷歌自己的员工抗议合作的无人机目标系统。他们习惯于进行一些国家认为是针对外国国民的非法跨境行动。该计划在国内甚至引起争议。这只是冰山一角。美国政府做了很多我们批评阿联酋的事情。 

就在昨天，有消息称美国一直在监视与墨西哥边境附近的记者和移民活动家。 

重点不是诋毁谷歌或美国，而是要指出这一切是多么主观。 

它的主观性来自我们的西方世界观。我们正在预测自己的道德和道德，这些道德和道德并非普遍共享。那么，如果经济实力的平衡发生巨大变化，而进口公司拥有不同的道德指南，20年后会发生什么呢？ 

今天的先例如何在明天发挥作用？ 

事后 

回到反对 DarkMatter 的论点，进入一个遵纪守法的公司可能做的，或者可能做的，是一个非常模糊的地方。这绝对不是书中的规则，即使它确实在自由裁量条款下卷起来。你在哪里划线？你可能要建立一个非常重要的先例，一个非常有影响力的先例。

 因为现在我们处于 Ex Post Facto 立法的领域，你在事后制定规则并追溯应用它们。在法律界对这一原则达成了如此强烈的共识，一些看似公正和明显的纽伦堡审判  - 在第二次世界大战后起诉纳粹战犯 -  被一些法律学者称为非法，因为实际上没有法律规定关于许多罪名的书籍。

 尽管存在任何普遍的道德共识，但每个发达国家几乎每个法律体系都同意的一个原则是事后判决，因此裁决是不公正的。

 这实际上是一个有趣的平行，因为在道德上，道德上，从常识的角度来看，人们普遍认为惩罚纳粹绝对是正确的行动方针。就像从常识的角度来看，给像 DarkMatter 这样的组织这么大的力量可能不是一个好主意。但就像美国公民自由联盟为 KKK 第一次修改组织权利辩护时一样，也有一些原则和先例可以巩固发达国家的法律和司法体系。 

如果这些决定现在没有得到很好的执行，那么这一决定所确定的先例将继续影响其他更紧迫的讨论。 

客观地说，很容易看到像 DarkMatter Group 这样的组织，并说为了网络安全起见，我们无法接受这个根应用程序。这太危险了。感觉就是这样。但这种观点忽视了更大的影响。这根本不是关于 DarkMatter 的，而是关于我们将要明确应用的标准集。以及谁应该设定这些标准。

 如果我们因为它可能会做什么而拒绝 DarkMatter，在怀疑时，我们如何应用该标准向前发展？ 

如果通过将该标准应用于其他已建立的 CA，它会迫使我们重新评估他们的参与情况呢？或者我们是否只是根据其所在地和其他合作伙伴关系，纵容不同的组织应用不同的标准？根据我们自己的世界观，我们认为那些即使在他们发生的地方完全合法的情况下也会变坏。再次，这是一个滑坡。一个也可能导致区域偏见或偏见的指责。

 虽然个人持有这些意见是好的，但这个行业可能不应该是道德和道德的仲裁者。

 因为在一天结束时，这将构成仲裁道德。尽管 DarkMatter 遵循了当地法治，但我们不喜欢这些法律以及根据这些法律进行的所谓活动 - 因此存在问题。

 根据定义，这是偏见的。DarkMatter 总法律顾问 Benjamin Gabriel 周二早上致电：

 虽然我们欢迎公众讨论作为维护 Mozilla 根商店信任和透明度的重要组成部分，但我们希望引起您的注意，以及其他受尊敬的 CABForum 成员，DarkMatter 合理地理解 Mozilla 的偏见和利益冲突。组织已经制定并进行了手头的讨论。尽管公开讨论中提出了透明度的明确目标，但 Mozilla 员工最近的公开评论（包括您在讨论中的开场陈述）表明了一种隐藏的组织敌意，这对于“正当程序”和“基本公平”的概念是致命的。到 Mozilla Root Store 的任何 CA 申请人。

 在真空中没有任何事情发生 

有关 DarkMatter 的问题以及它是否包含在根程序中是明智的，这是公平的。这是一场重要的辩论。但这不是一次性决定，因此需要谨慎对待这一决定。因为有先例，所以无论做出什么决定都会产生深远的影响，而且 - 最重要的是 - 一旦你设定了新的标准，就需要全面地应用它。没有选择性，适合你的时候。 

但这些都没有回答技术行业是否最适合首先处理这类决策的问题。因为，如前所述，Mozilla 是一个异常值。大多数有记录的公司都不是按照一系列原则运营的非营利性公司。他们是营利性企业。当谈到盈利能力和经营公司时，对鹅而言，对鹅而言并不总是有好处。一家公司并不担心在世界上做得好，而是继续增长和利润。

 即使是争论也是天真的。对全世界企业的时间和时间已经证明，他们将为自己和股东做最好的事情 - 包括制定有争议的政府合同 - 往往以牺牲周围的人为代价。在道德和道德标准方面，这是一种利益冲突。

 只要看看谷歌和 Facebook 的热情以及他们对美国和欧洲各个团体的审查。关于公司是否有权在自己的平台上隐藏或删除某人的言论，这引发了一场激烈的争论。要求他们做出比亚历克斯琼斯是否应该解体更具深远影响的决策，这是一场灾难。 

不幸的是，对于谁应该做出这些决定没有一个好的答案。如果有的话，无论如何都会让很多人不满意。 

但是，让科技行业做出这些决定，或者更确切地说，信任它来做最适合互联网的事情 - 或者只是 - 这是不明智的，最糟糕的是不负责任。 

因为在 20年，30年，40年后，当经济格局发生变化，权力动态发生变化时，我们今天设定的先例将要么帮助我们，要么阻碍我们。

 这是希望它是前者。