2. The IETF Will Work to Mitigate Pervasive Monitoring (IETF 将致力于缓解普遍监控)

2. The IETF Will Work to Mitigate Pervasive Monitoring (IETF 将致力于缓解普遍监控)

"缓解" (Mitigation) 是一个技术术语, 并不意味着能够完全阻止或挫败攻击。缓解 PM 的协议不会阻止攻击, 但可以显著改变威胁。(参见 RFC 4949 第 24 页的图表, 了解术语 "攻击" 和 "威胁" 的关系。) 这可以显著增加攻击成本, 迫使隐蔽的变为公开的, 或使攻击更有可能被检测到, 可能是在稍后时间。

IETF 标准已经提供了保护互联网通信的机制, 并且有指南 [RFC3552] 用于在协议设计中应用这些机制。但这些标准通常不涉及 PM、协议元数据的机密性、对抗流量分析或数据最小化。在所有情况下, 都会存在一些隐私相关的信息, 这些信息不可避免地会被协议披露。随着技术的进步, 曾经只有资金极其充足的行为者才能使用的技术变得更加普遍可及。因此, 缓解 PM 是对广泛的类似攻击的保护。

因此, 现在是重新审视我们标准的安全和隐私属性的时候了。IETF 将致力于缓解 PM 的技术方面, 就像我们对一般的协议漏洞所做的那样。IETF 协议缓解 PM 的方式将随着缓解和攻击技术的发展而随时间变化, 因此这里不作描述。

开发 IETF 规范的人员需要能够描述他们如何考虑了 PM, 并且如果攻击与要发布的工作相关, 需要能够证明相关的设计决策。这并不意味着 IETF 文档中需要一个新的 "普遍监控考虑" 部分。这意味着, 如果被问到, 需要对 "普遍监控是否与这项工作相关, 如果相关, 是如何考虑的?" 这个问题有一个好的答案。

特别是, 架构决策, 包括重用哪些现有技术, 可能会显著影响协议对 PM 的脆弱性。因此, 开发 IETF 规范的人员在做出架构决策时需要考虑缓解 PM。对架构决策进行充分的早期审查, 包括是否可以进行适当的 PM 缓解, 是很重要的。在流程后期重新审视这些架构决策的成本非常高。

虽然 PM 是一种攻击, 但其他可能符合 PM 定义的监控形式可能是有益的, 并且不是任何攻击的一部分, 例如, 网络管理功能监控数据包或流, 反垃圾邮件机制需要查看邮件消息内容。某些监控甚至可以成为 PM 缓解的一部分, 例如, 证书透明度 [RFC6962] 涉及以可以检测某些 PM 攻击技术的方式监控公钥基础设施。然而, 监控机制显然有被滥用于 PM 的潜力, 因此在协议设计中需要仔细考虑这种紧张关系。为了缓解 PM 而使网络无法管理不是可接受的结果, 但忽视 PM 将违背这里记录的共识。随着时间的推移, 随着这种紧张关系的实际实例被考虑, 将会出现适当的平衡。

最后, IETF 作为一个标准开发组织, 不控制我们规范的实施或部署 (尽管 IETF 参与者确实开发了许多实施), IETF 也不标准化协议栈的所有层。此外, 缓解普遍监控的非技术 (例如, 法律和政治) 方面超出了 IETF 的范围。如果要充分解决 PM 问题, 更广泛的互联网社区需要挺身而出来应对 PM。

总而言之: 当前的能力允许某些行为者以前所未有的规模监控互联网上的内容和元数据。这种普遍监控是对互联网隐私的攻击。IETF 将努力制定缓解普遍监控攻击的规范。