在国内提供端到端加密(即依靠客户端上传给服务器的数据无法完成解密)(无任何分享/社交功能)服务是合法的吗?

2022-10-17 18:50:49 +08:00
 edis0n0
1748 次点击
所在节点    问与答
17 条回复
n1dragon
2022-10-17 19:51:56 +08:00
合不合法得问大领导,可惜大领导不上 v2 。
mikeven
2022-10-17 19:56:05 +08:00
这,还用想吗。。。二十大精神领会不到位
galenzhao
2022-10-17 20:44:38 +08:00
no
7zlid
2022-10-17 20:52:29 +08:00
不合法
91pornshanghai
2022-10-17 21:27:18 +08:00
好像用国密算法的是可以的,相当于后门在国家手里
firechat
2022-10-17 21:43:36 +08:00
@91pornshanghai 算法都是公开的,不可能留有后门
firechat
2022-10-17 21:45:09 +08:00
有规定,互联网信息需要监管和可追溯,所以是不合法的
duke807
2022-10-17 22:25:02 +08:00
中国的法:领导的看法
Bad0Guy
2022-10-17 22:29:22 +08:00
你看哪个 E2EE 服务是能公开在国内用的?
duke807
2022-10-17 22:40:28 +08:00
你弄个加密压缩包,即便通过公开的服务器分享,也没问题,绝对端到端加密
wunonglin
2022-10-17 22:45:26 +08:00
完全合法。只要相关部门问你要数据你能给出来就行
liuidetmks
2022-10-17 23:02:03 +08:00
合法的不提供分享传播功能就行

国内为什么鲜有厂商这么做呢,因为你的数据他想卖钱
jim9606
2022-10-18 00:49:48 +08:00
我来说一些非合规方面的理由吧。
如果这套 E2E 系统的云端用户数据在失去访问权后是可以找回的,那它最低限度需要一个 PIN 。如果有任何一种找回途径低于此要求,那说明服务商有能力绕过用户解密数据。
即使是现有在国外可用的公开 E2E 系统,服务商理论上可能通过破坏握手和认证流程窃取密钥或进行 MITM 攻击,特别是客户端实现不完全透明的情况。
也就是说,想实现完备保密,用户不可避免地要自己完成认证和加解密。如果用户能做到这点,那他其实也不需要服务商提供 E2E 能力,例如传输 PGP 加密过的信息。
tool2d
2022-10-18 00:56:55 +08:00
无社交应该问题不大,至少网站备案能过。

但是如果你服务器上有敏感数据,那你有再多的理由,都会被一锅端的。

仅仅是理论上,监管下的任何评论,都是需要人工先审查,后发布。
iseki
2022-10-18 01:06:10 +08:00
@firechat 曾经有过一个方案可以,实际上是私钥上交
leonshaw
2022-10-18 01:11:17 +08:00
@iseki 双证书?
firechat
2022-10-18 19:50:47 +08:00
@iseki 端到端加密服务器是没有密钥的,只有双方客户端拥有共同协商的密钥

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/887594

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX