主题：我所了解的中国“棱镜”情况 -- 汴梁牛二

“棱镜”这个事情出了，不少人哗然说美国政府也会如此。其实真正业内人士反而会觉得莫名其妙，因为从理论上说每个人都应该知道政府肯定会监控通信网络，如果美国政府没有这么做反而是不负责任，纳税人的钱交给政府就是换取政府的安全保证的。所谓被监控的一点点不便或者受侵犯的感觉，实在是没人在乎的。从这个角度来说，美国人要么是在装傻，要么是天真的不可理喻。

从另一个方面说，对通信系统的监控系统，或者叫LI系统，早就不是什么秘密。在电信联盟的技术规范里面，通信侦听有一整套公开的技术规范。任何一个通信系统设备如果不满足这个规范是无法投入市场的。对语音通信网络的侦听，录音从来就不是一个秘密，绝大多数国家的相关部门可以在自己的终端上直接监听任何一个号码的通话。目前引起轩然大波的，可能主要还是数据通信网络，或者说互联网通信。人们总是有一个莫名其妙的感觉，似乎Email，SNS，IM通信内容更加隐秘一些，所以就应该更加安全，不能说不是一种感知错位。

在中国的电信网络里面，所有通信光缆都要有一个镜像接口复制所有内容给相关部门，这是公开的。至于有关部门是不是检查所有的内容则看他们的需要。美国国土安全部（好像叫HLS）的要求更加变态，要求能够短时间内获取通信内容发送方的详细位置。这是一个浩大的工程，对于一个可能四处移动的设备来说，跟踪起来难度极大。国内政府控制力度要强一些，所以对技术手段的依赖不是那么高，这就是为什么我们现在走到哪里，用Wifi上网总是要输入手机号码的原因。

问题在于，目前越来越多的通信手段，你获取了数据包也无法复原。例如Gmail使用了SSL加密通信，截取数据包是无法恢复文件内容的。Google和中国政府闹翻的导火索，就是国安部门用“中间人攻击”的方法去获取一些藏独分子的Gmail内容。例如一个监控目标A用Gmail发送信息，安全部门虽然有他通信的数据包，但是恢复不回来。但是相关部门可以全权控制网络，所以他们做了一个网关，这位A君以为自己在用Gmail，实际是先登到安全部门的服务器上，然后再转发给Google的服务器的，这样就获取的相关内容。这种方法存在一个问题，就是Gmail采用端到端SSL加密，如果中间插入网关进行劫持，会导致安全证书弹出。比较低级的做法是伪造一个安全证书，例如伪造一个Gooogle公司的安全证书，比较粗枝大叶的人也许就会忽略这个不同。但是安全部门应该不会采用这种低劣的手段，也许他们攻破了MD5或者SHA-1，能够真正伪造出一个证书来。但是最后Google还是发现了这种行为，所以就有了几年前退出中国市场大义凛然的举动，因为这种对Gmail邮箱的工具"突破了Google的底线"。

现在美国棱镜计划的曝光让google最为尴尬的是，我们现在知道了为何美国政府不需要用这种“中间人攻击”的方法了。原来美国政府可以直接命令Google交出Gmail的内容。相比之下，Google对中国政府的指责就显得有些可笑了。

对于现在越来越多的通信应用来说，美国政府最大的优势其实不是思科或者IBM这样的硬件制造商，而在于Google，Facebook，Twitter这些大型ICP都要听从美国政府的命令。从这点说，除了中国以外，其他所有国家的信息命脉都掌握在美国人手里。中国政府的态度很明确，一个ICP如果不肯被监控，就不要进入中国。这方面Skype就是一个例子。Skype是P2P语音应用，刚开始监听和跟踪起来极难。FBI甚至专门有一个funding对支持对Skype监听的研究，这方面有不少的论文发表。中国政府的做法则是，如果不给我监听，你就不能在中国顺利的应用，不要说落地，连顺畅的通话都做不到。Skype虽然很难监听，但是却很容易干扰。最后的结果大家都看到了，在国内你要下载一个Tom Skype才行，这可是特制的版本哦。

我们公司原来有一个LI的事业部，后来解散了，因为这一行实在不好做。没想到后来阿拉伯之春一来，我们收到很多邮件，都是中东地区的各个国家发来的，问我们能否提供我们的产品，重点就是Twitter，Facebook和Youtube。所以说在这个方面，没有哪个国家是干净的，也没有哪个国家是特别邪恶的。

• 对比这篇看，就是一个秦火火。