美智库发布《软件定义战争》专题报告,聚焦未来军事装备架构设计
第20期网络安全就业班:2023年08月28日 开班地点:北京
CISP/CISSP/CISP-PTE/CISA/CISW...网络安全证书认证
2022年9月7日,美国战略与国际问题研究中心(CSIS)发布了《软件定义战争:国防部构建向数字时代转型的架构》报告,明确了国防部必须采用新的软件设计和架构方法,以帮助美军保持对全球对手的作战优势。本文针对报告的主要内容进行了编译。
(本文根据原文编译整理,仅供交流参考,观点不代表本机构立场。)
一、背景
美军是世界上装备最精良、历史最悠久、组织最庞大的武装部队,但也面临许多问题:一是美军装备水平远远落后于行业先进软件水平;二是美国国防部垄断了国家的作战职能,使得其无需面对通常形式的行业竞争;三是新兴技术初创公司的崛起以及与竞争对手技术能力差距的缩小,使得美军不得不进行定期“技术更新”。这些问题产生的根源在于国防部和其他美国联邦机构从根本上是以硬件为中心的组织,使其向以软件为中心、风险承受能力更高的组织过渡是非常困难的。因此,美国国防部未能采用新技术,未能改变其固有的工作规程,未能设计和试验新的作战概念。
美国国防部需要做出改变,其中关键是设计一种灵活、大规模、适应性、低成本的架构以提供关键服务,以改变人类在信息和决策环中的角色,并最终在决策环节影响作战速度、准确性、规模和技术。因此设计这种作战系统架构需要具备如下特性:一是更快的决策和执行速度;二是快速更新和优化系统;三是降低建立和部署系统的成本;四是改善交付新功能的成本和速度。目前网络战、马赛克战以及下一代作战网络都已引入上述概念,但尚不深入。下图展示了国防部基于上述概念设计的大型自主通信网络和武器系统的集成概念图。
图1 大型自主通信网络和武器系统的集成概念图
从发展的眼光看,军事装备架构的关键在于软件,其正在颠覆和重组整个行业,尤其是依赖人工流程的零成本活动。若要想获取足够的竞争力,软件就必须成为业界模式和作战模式的核心。
二、闭合杀伤链,袭扰对手的OODA环
杀伤链是包括获取信息、分析情报、做出决策、采取行动、获得结果以及相应完善后续行动的多步骤过程。而OODA环指的是个人、指挥官或团队通过观察、判断、决策和行动等活动取得作战进展的过程。这一过程的最后一部分——启动和闭合杀伤链,通常与发射和摧毁任务有关,而如今同样适用于网络攻击。OODA本质上是人类认知支撑的工作流,获取OODA的优势在于展现更快速、更紧密和更具弹性的作战过程。
随着软件技术和计算技术的进步,在未来的战场上需要在OODA环方面采取以软件为中心的数字方法,否则可能招致与竞争对手在战略、战役和战术级别对抗中的全面溃败。军事硬件和武器系统仍然至关重要,但其只会在软件网络系统的末端,而执行相关决定仍需要复杂的作战决策、目标定位和资源配置。软件将使效果实现的过程更快、成本更低、决策更高效、架构更具扩展性、目标更准确,从而从根本上改变硬件的价值。
三、业界对数据中心架构设计的九大概念
国防部和其他联邦机构可以借鉴业界基于数据中心架构设计的经验教训,其中通用设计经验是采用大规模软件系统,以最低成本获取最高性能,然后在适当情况下逐步去除流程和成本中的人或者硬件等顽固部分。
这就是“软件定义”的概念,通过驱动不同核心设计的决策,整合一些互不关联的硬件产品成为单一操作和管理的整体,同时还具备分布式控制的特点。从军事术语的角度,可认为是“集中指挥、分散执行”的最优化。借鉴业界大规模计算系统和平台普遍采用“软件定义网络”(SDN),军事装备架构同样可以如此,下文将介绍业界针对数据中心架构设计的九大概念。
1.
概念1:采用大规模架构
该概念的特点在于投入更多的资源来解决容量耗尽的问题,一是如同计算机系统扩展更快的处理器、更多的磁盘空间、更快的网卡等,这被称为“垂直扩展”。该概念的缺点是系统容易受服务器容量限制而不堪重负;二是将资源分散到更多的小型计算机上,这被称为“水平扩展”,但缺点是包括数据库存储,文件系统,缓存和数据一致性,软件队列,以及负载平衡可能会出现问题,因此需要重新设计软件结构解决相关问题,比如考虑采取云架构的方式。
军用软件架构将统合考虑上述方法的优缺点,构建可以根据需要进行集中、分配和扩大或缩小规模的低成本、一次性和易于制造的端系统,并运用云架构进行集中计算,目前美国国防部已经考虑在小型无人机上运用上述思想。
2.
概念2:消除单点故障
目前美军设计要点是以硬件、人、大规模为中心,注重规模。比如航空母舰,其如同一个大的主机或数据库系统,作为“垂直扩展”的典型系统,其面临很多单点故障的问题。由于其昂贵的属性,因此某一单点引起的系统崩溃时通常没有备份,引发的代价是昂贵的。
国防部和业界开始考虑识别并消除单点故障,构建一个可靠稳定的弹性架构,其中采用如无人机蜂群等分散式的集群系统作为试点,可有效对竞争对手高价值军事目标进行威慑和攻击,自身个体平台出现故障时不会影响整体目标,同时可收获高收益。
3.
概念3:应用虚拟化技术
虚拟化技术通过将计算机服务器转换成可以复制、克隆、快照和移动的虚拟机以改变数据中心,其掀起了云计算和“软件即服务”的革命。通常上虚拟化是在两个不同的系统之间创建抽象和转换的行为,或者将一个旧型系统作为大型数字工作流程的一部分进行操作和管理。当完成上述活动时,虚拟化将进入第二个维度,即设置端点硬件以同时运行多个软件栈,通过共享底层硬件实现基于分布式服务化的“云架构”。
对于军事应用而言,虚拟化系统需要将平台、传感器和工作流程封装在一组可调用的应用程序编程接口(API)中,API作为标准化的软件层接口,可以通过被调用实现武器系统通过杀伤链演示作战效果。其通过输入控制命令和执行系统信息,获取状态、容量、使用统计数据,以支持作战规划、保障和资源管理活动。在国防部联合全域指挥控制(JADC2)演示中,作为杀伤链的一部分演示了基于API的武器系统访问,其可以由软件控制管理,但还未在外场军演中正式验证。
4.
概念4:引入低成本商业硬件与无状态终端
本概念针对“垂直扩展”向“水平扩展”的过程导致终端形成“无状态”但可处理的情况,采取实时软件部署和配置的方式进行解决,其具备的优点包括:随时间变化大幅降低维护成本;根据需要改变规模;迅速升级新系统;紧急情况屏蔽瓶颈运行;引入新的安全策略。重要特性是数据存储于云中,而本地通过系统同步处理应用程序。
美国国防部的做法是在其中引入人工智能程序,并由此重新设计新系统。例如可以在多个责任域通过人工智能算法进行数据训练,但训练效果因环境不同而异,而在作战环节中收集的数据可以使训练效果达到最佳。因此,人工智能模型需要随时更新。未来,国防部将试图在每一种软件上都使用人工智能,当嵌入硬件系统时,就需要连续甚至无线方式的远程更新,为了响应这一机制,国防部也会在本地系统上部署更多的即时软件。同样,在战场面临问题时,也会通过上述方式尽快进行故障恢复。因此,改变软件的补丁或“单点发布”并将其部署到现场硬件系统的能力将成为作战保障的关键。
5.
概念5:设计量测仪器
当今业界几乎所有产品都配备了量测工具来测量各种数据,比如实时终端控制系统、终端状态,以及用户使用功能等,但美国防部目前却无法获取其端系统的状态信息。
要想实现该概念,美国防部必须从开始阶段就设计和构建集成量测仪器的终端硬件系统,其中包括远程控制、传感器协调以及对系统运行至关重要的组件。其中传感器应提供开关状态和信息数值等相关能力,并应考虑传感器与自动化组件配对,同时具备向用户状态报告的能力。但军方目前并不支持上述概念。目前国防部的军用系统进行数据同步主要通过直升机、飞机或无人机上取出硬盘,送到安全数据中心后再进行下载处理。
6.
概念6:重视模拟、试验和验证
计划、演练和演习是备战不可或缺的一部分,需要不停地采取类似战棋推演的形式根据当前的态势评估结果确定下一步的计划和行动。但上述计划和行动很少经过事先测试,这和作战模拟规模、平台和目标数量、战场仿真保真度等相关,另外和模拟本身的实际配置也有关系,最重要的是其中的数据的复杂性和重要程度也使传输的难度加大。
目前,国防部正在采取措施整合基于真实、虚拟和构造(LVC)的武器系统测试方法,希望能将真实作战系统的信息以一种合规的方式导出或提取到模拟系统中,以支撑后期构建对抗性红蓝对抗系统或数字孪生系统。上述方法将允许国防部使用人工智能技术和其他能力来测试不同的对手战略和技术,并探索对抗方法。但目前尚无正确的平台和API,因此上述计划仍停留在纸面上。
7.
概念7:引入故障检测技术
在软件测试过程中业界会采用随机杀死软件系统的某些部分,以测试整个系统的恢复能力。国防部也应该引入这种失败检测技术,其可以考虑如下形式:一是在作战软件系统引入上述测试主要功能;二是在模拟环境中测试作战计划,以获取其中的不可控因素。后续,国防部需要建立软件模拟系统,并在真实作战条件下进行模拟的现场测试以获取最终的设备完美性能。
8.
概念8:构建边缘自主化和自动化处理机制
软件定义的系统通常特征是分离控制和数据,实际上是一种分布式的控制和数据处理方式,基于降低系统成本和复杂性,需要将一些小的控制决策由分布式终端去完成。随着国防部的系统越来越多,运营难度和成本都在急剧提高,只有通过更多的自动化和自主化,并在相应环节采用人工智能技术,才能消除人工参与的代价,授予体系中的某一系统其可以控制的能力可以大大减轻整个体系的复杂度。
9.
概念9:集成开发环境与部署环境
目前美国防部的核心代码开发环境与终端部署环境并未紧密集成,其各种各样的开发环境都在试图解决上述问题,但没有简单的途径。将代码部署到实际终端更具挑战性,因为需要大量的部署前测试和评估,但加快“开发—生产—部署—维护”周期将对获取竞争战场优势至关重要。
业界已经开始实施这一理念,实现封装代码并以“密封”方式部署到终端,这样可以使新系统处理和适应开发的代码,同时将系统构建为开发、安全和运营流程的可接受目标。人工智能的嵌入更为重要,其需要更多在业务环境中获取信息重新学习和部署,进行必要的学习和更新。因此,只有将开发环境与生产环境集成才能真正适应未来软件系统的发展。
四、概念整合和架构设计
美国防部在设计、开发、运行和维护其所有武器系统和支持硬件时,应该采用上述核心概念。在这种理想化的体系结构中,端到端的软件体系结构连接所有相关的传感器(输入)和武器系统(输出),还将使对所有正确的工作流程(杀伤链)以及预测情报系统、信息传递、目标和火力建模变得更容易,所有这些都将整合到一个建立在几个大型核心平台上的单一架构中。其中最为重要的是,通过自动或人工控制的复杂、大规模、高度可用的软件将一切集成,同时将开发环境和部署环境整合以便更快地进行代码开发、部署和维护。
要实现上述过程,需要进行下述步骤:一是分散式处理,下放某些功能和处理权限,确定处理端的结构化接口和API;二是协同工作平台和机制,确保系统组件可以随着时间的推移形成体系能力。这种“松散耦合、高度一致”的架构可以通过引入更多的组件和能力并集成到体系中,扩大自身能力。三是定义正确接口和明确总体架构,可采用行业公认的行业标准和开源最佳实践,并具备相关的可扩展性。下图是一个标准的软件定义架构。
图2 软件定义战争的理想核心系统体系结构
五、结束语
软件定义战争是未来的趋势,随着新技术的应用和以数据为中心理念的形成,适应未来作战和表现更多灵活性的军事武器装备将成为未来制胜战场的关键,因此美国防部需要改变其军事装备软件设计概念和架构,并将虚拟化、自动化、实时监控和大规模理念运用到软件架构中,同时着重考虑人工智能在其中的应用程度,最大限度地紧密联系军事目标和军用设备软硬件之间的闭合杀伤链的组织和运用,最终融入美下一代作战系统的思考和设计中。
执法部门获取加密数据的法律改革可能性
数字时代,加密作为最重要的技术之一,既产生了巨大的社会效益,也会对公共安全构成重大威胁。虽然它为数字通信和交易提供了必要的信心和信任,但不法分子也可以利用加密来保护犯罪证据不受执法部门的调查。作为回应,执法机关不得不想办法绕过加密。然而,目前的方法是有限的,方式的成功往往取决于执法部门控制之外的变量。由于犯罪证据越来越多地采用数字加密技术对犯罪证据进行加密,使得执法机关往往无法获得,或者需要采取昂贵的措施才能获取。加密技术有可能妨碍对犯罪的侦查和威慑,并对社会造成重大危害。
为解决这一难题,存在两项主要的法律改革可能。第一种,议会选择监管加密技术的生产和使用,以加强执法部门对未加密信息的合法访问。这种“例外访问”制度将迫使加密提供商向执法机关提供解密数据的“后门”访问。第二种,授权执法机关通过对拒绝解密自身数据的个人实施制裁来强制个人。这可以通过强制用户提供密码、加密密钥、生物识别码或未加密数据来实现。这两种立法解决方案都引起了关注。例外访问带来了技术挑战,包括仅用于合法执法目的的安全漏洞被恶意行为实施者利用的风险。强制解密可以避免这种风险,但会引起隐私和自证其罪方面的担忧。
本文从政策和宪法的角度对这两个备选方案进行了评估,最终结论是,例外访问虽然很可能符合宪法,但会造成巨大的数据不安全风险,且无法证明该方案对执法和公共安全有益处。相反,强制解密将提供部分解决方案,同时不会过度损害数据安全,但强制解密不可避免地会引起违宪审查,不过该问题通过随时调整强制解密方案也可以符合加拿大《权利与自由宪章》(以下简称“宪章”)要求。通过要求授权书强制用户解密,并给予解密行为证据豁免权,将有效防止钓鱼执法,但应当允许解密信息本身用于调查和起诉目的。
一、 现有绕过加密的方法
加密系统的理论安全性是通过考虑是否可以使用合理的时间和计算能力破坏它来决定的。然而,即使是计算安全的加密也容易受到攻击。根据所使用的算法、其操作的设备以及用户做出的决定,执法机关能够在不获取加密密钥的情况下恢复明文信息。此外,许多系统从用户选择的密码导出密钥,在这种情况下,加密的强度仅取决于用户选择的密码。基于这些分析,执法机关目前能够访问加密数据的方法主要有:传统调查方法、第三方援助、利用漏洞以及猜测密码。然而,这些方法都有很大的局限性。
(一)传统调查方法
对于监视方式,首先,如果执法机关事先不知道嫌疑人正在使用特定设备,那么监视就不适用;第二,即使预先将设备作为目标,通常也难以秘密捕获输入数据。例如,软件工具需要秘密安装在嫌疑人的设备上,且远程安装需要利用安全漏洞,而这些漏洞的克服成本可能高得令人望而却步,甚至可能根本不存在漏洞。第三,监控通常具有高度侵入性,例如,记录信息、通信和活动等。
对于搜索方式,执法机关可以使用搜索和扣押权力来定位用户的密码或目标明文信息的副本。然而,这些方式可能只对作案手法稚嫩的犯罪分子有效,更老练的不法分子会完美地保护密码和数据。此外,设备制造商、软件设计师和服务提供商正在使普通用户采用安全最佳实践变得越来越简单,通常以“默认”设置的形式提供强大的安全性,而无需用户采取任何行动。
对于询问方式,尽管执法机关接受了诱导合作的培训,也不能完全保证这种方法会成功,特别是在审讯老练的不法分子时。嫌疑人在回答执法机关询问时享有保持沉默的自由,执法机关(目前)不能要求他们协助解密。
(二)第三方援助
第三方协助解密的程度取决于所使用的加密形式。端到端加密不受任何第三方的影响,这就给执法机关带来了更具挑战性的障碍。如果系统中没有额外的薄弱环节,或者提供商存储加密密钥的副本或保留某种确定方法,否则执法机关将无法访问用户的信息。
执法机关目前有两种方法来获得第三方的解密协助,这两种方法都不适用于端到端或安全设备加密。首先,当执法机关证明其对数据的合法权力时,无线电信提供商必须提供其加密数据的明文版本,但提供商没有义务,而且在任何情况下,都不可能有能力在进入网络之前提供加密数据的明文;第二,执法机关可以要求任何服务提供商(如设备制造商)自愿协助解密,如果他们不自愿遵守,执法机关可以使用《刑法典》第487.02节强制他们这样做。该条款授权法官或大法官“命令某人提供协助,如果该人的协助可能被合理地认为是使授权或逮捕令生效的必要条件。” 然而,随着端到端和安全设备加密变得越来越普遍,协助解密命令的效力可能会减弱。
(三)利用漏洞
为了发现漏洞,国家机构开发自己的黑客能力,或者从第三方处购买。一些加密实现还将密钥存储在设备上,使其容易被攻击者恢复。然而,执法机关只能在加密提供商修复漏洞之前利用漏洞,而技术公司在预防和迅速纠正漏洞方面投入了大量资金以期最大化数据安全。此外,利用漏洞也引起了更广泛的政策关注,因为国家支持的黑客攻击,即使只针对可能的不法分子,也可能削弱守法公民的加密安全。
(四) 猜测密码
由于许多加密系统从用户选择的密码中获取密钥,执法机关通常可以将精力投入到更容易猜测的任务中。猜测密码有两种主要方法:尝试所有可能的组合(暴力攻击)和尝试密码列表(字典攻击)。每种方法的成功概率取决于加密系统的强度和密码的复杂性,以及执法机关可用的计算资源。正如圣贝纳迪诺案所表明的,即使是一个四位数的数字PIN码也会给执法带来重大挑战。
二、立法回应
根据现行法律,执法部门破解加密的能力取决于其控制之外的许多变量,包括:加密用户做出的决定;加密系统的强度和设计;以及用户或服务提供商是否愿意与警方合作。要实现执法机关对加密数据的访问,主要有两种立法选择:要求服务提供商同意执法机关通过后门例外访问加密数据;以及强制犯罪嫌疑人解密自己的信息。我们将从政策和宪法的角度评估两种制度是否成立。
(一) 例外访问
1.政策
例外访问制度要求服务提供商为其系统加密的所有数据建立执法后门。理论上,这将使他们能够轻松获得任何加密信息的明文,而不需要用户的任何参与。
自1990年代中期以来,根据加拿大政府规定,解密义务仅涵盖由电信提供商加密的通信,而不包括在移动操作系统上默认加密的信息,以及由应用程序提供商端到端加密的通信。可以看出,执法部门破解加密的能力也是有限的,而且可能会越来越有限。因此,例外准入立法也就成为执法机关的倾向性选择。然而,这项制度存在着重大的经济、司法和技术障碍。
首先,任何要求服务提供商为执法机关设置后门的立法都会产生巨大的前期开发成本。许多技术专家认为,根本不可能设计一种特殊的访问方式,允许执法机关进入,同时防止犯罪分子和外国情报机构等恶意行为者进入。此外,例外准入立法规定的义务可能会减少对加拿大技术部门的投资,一些供应商可能会完全退出加拿大,而不是承担合规的负担。规模较小的初创企业也可能受到影响,这可能会使技术创新降温。而用户很容易找到不受干扰的其他加密方法,那么最终执法机关仍将面临无法获取加密信息的情况。最后,特殊的访问权限不能使后门不受坏人的控制。
尽管例外访问将是加密问题的一个糟糕解决方案,可能会损害隐私和言论自由,但我们不认为这是违宪(《宪章》第8条和第2(b)条)的。
2.隐私和《宪章》第8条
《宪章》第8条规定,“每个人都有权免受不合理的搜查或扣押。” 加密本身并不能产生合理的隐私期待,在解密数据之前,执法机关必须证明他们有权合法访问数据,也就是说,执法机关必须遵守第8条下的“合理性”要求才能获取数据。通常,这将要求他们根据合理和可能的理由获得搜查令。但一旦他们确立了对数据的权力,法律就不会限制他们努力使数据变得易读,即使加密或任何其他安全措施使其难以做到这一点。因此,更多的个人数据可供执法机关访问可能存在严重损害个人隐私的风险,但这并不一定意味着将产生负面的结果。
首先,强大而普遍的加密降低或可能降低证据的可用性,例外访问只会恢复以前的隐私安全平衡;第二,隐私与安全的权衡并不总是零和博弈,如果一项技术能够在不严重侵犯守法公民自由的情况下大幅提高执法部门发现和阻止不法行为的能力,为什么法律不允许这样做?最后,虽然例外访问确实会引起隐私问题,但与安全和经济风险相比这些问题显得微不足道。
3.言论自由和《宪章》第2(b)条
《宪章》第2(b)节规定,人人有权享有“思想、信仰、见解和言论自由,包括新闻和其他传播媒介的自由”。因此,以言论自由为基础反对例外准入制度的原因主要包括:首先,计算机代码是表达性的,要求编码实现后门违反了强制表达的禁令;第二,通过限制人们安全通信的能力,后门侵犯了加密用户的言论自由。然而,这两种观点都不成立。
首先,后门的编码不一定具有表达性。像人类的语言一样,计算机代码在某些情况下可以表达,而在其他情况下则纯粹是功能性的。计算机代码是否具有表达能力取决于上下文。如果编码产生表达结果,如网站内容或视频游戏,则该结果受第2(b)节保护,否则不受保护。其次,例外准入对言论自由的影响并不确定,例外准入并不授权国家对言论实施任何制裁或限制,对加密用户言论自由的影响更是太遥远,推测性太强。
(二)强制披露
1.政策
强制披露制度要求加密用户在执法机关独立建立了访问数据的合法权限时交出密钥或提供明文,否则用户可能会被指控犯罪并面临刑事制裁(如监禁)。
强制披露不允许执法机关实时解密监控拦截的信息,也避免了例外访问引发的安全漏洞问题;不会给工业、消费者或执法机关带来经济负担;可以在没有管辖权约束的情况下执行;大大降低了执法机构或国家安全机构非法、滥用或歧视性监视的风险。尽管如此,一些人还是以自证其罪和隐私为由反对强制披露。
2.自证其罪和《宪章》第7条
第一个问题是强制解密是否涉及任何自证其罪的利益。非证词证据可分为两类:语言(包括文件和陈述)和非语言(包括身体样本、身体印象和参与鉴定)。强迫使用非语言证据并不明显地涉及自证其罪。虽然加密密钥和语言一样,是以字母数字形式表示的,但与语言不同的是,它们纯粹用于机械目的,它们不传达关于物质世界或用户对物质世界的体验的信息,只是解锁了阻止通信内容被理解的安全功能,因此,加密密钥本身应被视为非语言强制。
第二个问题是滥用国家权力。拥有调查权力的调查人员可能施加不适当的压力,诱使犯罪嫌疑人自证其罪;或者滥用法定强制手段,实施钓鱼执法。这两种可能性都是存在的。然而,这些最终引起的担忧是关于隐私,而不是对自证其罪的担忧,可以设计一种强制解密机制轻松规避上述问题。
3.隐私和《宪章》第8条
如果对强制解密不实施监管,国家可以随意要求嫌疑人披露密钥,许多无辜的人可能会面临侵入性解密要求。基于强制解密侵犯了对隐私的合理预期,因此,执法机关必须获得基于可靠客观理由的逮捕令,以相信嫌疑人有能力访问执法机关合法拥有的加密数据为前提。获得许可证将防止执法机关参与钓鱼执法,并减少受此类要求约束的无辜人数,如此,根据《宪章》第8条,强制解密才是合理的。如果执法机关有强有力的证据证明嫌疑人可以访问加密数据,并且已经独立确立了获取加密数据的合法权限,那么就不能以隐私相关理由为托词禁止强制解密。
结论
加密提供的信任和安全性对于数字时代的人类繁荣至关重要。但加密也有可能为不法行为提供不可逾越的屏障,并改变宪法刑事诉讼中体现的利益共识平衡。理想情况下,加密不应阻止执法机关理解他们合法拥有的信息。
然而,各国政府应该谨慎实施会削弱加密社会效益的解决方案。强迫技术公司安装后门有可能将个人、政府和商业数据暴露给恶意行为者。至少就目前而言,例外访问对数字网络和数据安全构成了太大的风险,无法证明其对执法的好处。它还面临着令人生畏的后勤和司法障碍,可能阻碍其有效性并产生巨大的社会成本。强制解密虽然只是部分解决方案,但有望增强执法部门获取数字数据的能力,同时避免引起安全问题的几率。虽然强制解密确实涉及《宪章》的自证其罪和隐私保护,但构建一个符合宪法的制度并不困难。具体要求包括:(1) 除紧急情况外,基于合理和可能的理由,要求对强制行为进行司法预授权,即个人应当解密执法机关依法有权拥有的数据;(2) 排除被告被迫解密的证据,同时允许接受明文。
这些限制将大大降低执法机关以任意、歧视或其他滥用方式使用强制解密的风险。对一些人来说,国家强迫个人放弃密码、密钥或生物识别码似乎仍然是错误的。但是,只要执法机关独立地确定了他们对加密数据的权力,并表明被强迫者有能力解密数据,这对于帮助维护执法部门侦查和阻止犯罪的能力来说将付出比较低的代价。(完)
