「美国EAS系列」收官篇。第一篇讲了EAS的历史与五桩事故第二篇讲了它的分发架构和多级管理。这一篇我们把最后一层门推开谁有资格签发一条警报、权限在端侧如何崩塌、以及中国正在落地的CDR应急广播体系能从这七十年的血泪里直接抄到哪几条作业。一个看上去很简单但其实很难的问题是一条EAS警报到底是谁按下了那个按钮美国人用了七十多年、交了几次学费才把这个问题想明白——权限不是一个人或一个职务而是一张证书、一层流程、一套事后追责的完整网络。任何一环出错都会变成下一次上新闻的事故。三类警报三条授权链先说最顶层的权限划分。美国手机上的WEA(Wireless Emergency Alerts)把所有警报按授权来源分成四类▲图注2018年10月3日下午2:18 EDT这条由FEMA代总统发送的总统警报抵达全美几乎所有手机——是WEA系统上线以来第一次真正意义上的全国测试类别谁能签发用户可关吗触发条件National Alert(2021年前叫Presidential Alert)仅总统本人 / 经总统授权的FEMA署长不可关闭全国性重大威胁Imminent Threat州、地方、部落公共安全机构NWS可关闭严重度∈{Extreme, Severe} 紧迫度∈{Immediate, Expected} 可信度∈{Observed, Likely}(47 CFR §10.400)AMBER Alert(儿童失踪/绑架)州/地方执法机构发起NCMEC负责跨州分发与协调可关闭DOJ制定的激活准则Public Safety Message州/地方可关闭只能在前两类背景下发布配套行动建议▲图注一条典型的Imminent Threat类WEA警报——NWS发出、IPAWS中转、移动运营商以CBC广播方式推到地理区域内所有手机。和总统警报不同龙卷风这类Imminent Threat用户可以在系统设置里关闭但99%的美国人从来不关四类里最特殊的是National Alert——只有总统本人或经总统授权的FEMA署长可以签发而且用户在手机上无法关闭。这个不可关闭的法律基础来自2006年的《WARN Act》(Warning, Alert, and Response Network Act)第602(b)(2)(E)条终端用户可以关闭其它CMAS类别的警报但不能关闭总统或FEMA署长发出的警报。2021年《READI Act》把这条进一步锁死到联邦立法层面。顺便澄清一点2021年之后FCC在规则修订中把 Presidential Alert 统一改称 National Alert消除总统个人喇叭的政治色彩——但法律权限没有变仍只有总统和FEMA署长能签发。很多中文资料和甚至一些英文旧文仍沿用总统警报这个叫法。另外Public Safety Message 这一类别常被中文资料误记为2019年新增——准确的时间是2016年9月29日FCC的Report Order和另一次WEA能力升级(字符数扩容、嵌入链接、多语言支持等)一起加入。这个不可关闭的特性在2018年还引发过一场宪法诉讼。10月3日下午2:18 EDT是WEA全国测试日测试前一周三名纽约居民J.B. Nicholas、Kristine Rakowsky、Liane Nikitovich向纽约南区联邦地方法院起诉特朗普和时任FEMA署长Brock Long案号 1:18-cv-08828 (Nicholas v. Trump)。(题外话这个案名在中文资料里经常被错写成Nestor v. Trump正确是Nicholas。)原告的主张两条第一WEA强制推送侵犯宪法第一修正案——政府强迫公民接收政治性信息第二在未征得同意的情况下激活私人手机的提示音与震动构成第四修正案意义上的非自愿侵入。主审法官Katherine Polk Failla驳回了临时禁令申请理由是原告的主张过于推测并在庭上澄清测试将由FEMA工作人员执行而非总统亲自按下按钮。测试如期进行。这起案子虽然以政府胜诉结束但它在制度层面留下了一个微妙的注脚当一个应急系统的权限高到全国任何一个人都无法关闭时它就不再只是一个技术系统而是一个宪法问题。美国的答卷是用行政命令立法司法三条腿把它稳住。COG、数字证书与双人审核上一篇讲到IPAWS的权限管理基本单位叫做 COG(Collaborative Operating Group)每个COG在接入时获得一张X.509数字证书。这张证书是地方机构发警报的唯一合法凭证。有几个非常朴素但很容易被忽略的设计细节每条CAP消息必须用COG证书做XML数字签名IPAWS服务端在接收时强制校验COG证书决定了它能发哪些类别的警报——地方COG的证书永远不被允许发送National Alert服务端在签名验证阶段直接拒绝越权证书失效、吊销或到期该COG立即丧失发送权限一个州的应急管理局和一个县的执法部门是不同的COG各自有独立的证书和权限边界。这是美国系统里做得最漂亮的一部分权限是密码学意义上的、是可验证的、是由枢纽集中控制的。即使地方机构的台式机被入侵攻击者也只能在那个机构授权的范围内发警报没法冒充总统。▲图注2014年CMAS(WEA的前身名称)测试期手机上的确认对话框。和总统警报那种不可关闭的强制推送相反测试类消息默认需要用户确认——这种是否可拒绝的界面差别正是权限分级在终端上最直观的体现然后是审批流程——这里其实是一个让人意外的点。FCC Part 11 和 IPAWS MOA并没有统一强制双人审核。双人制是2018年夏威夷事件之后由各州自己加码的内部规范。在此之前夏威夷应急管理署HI-EMA 的标准流程就是一个值班员可以独立发出警报。回头看一下那天究竟发生了什么时间线是这样的8:07 HST值班班组主管搞了一次未预告的突袭演习通过电话进来时用扬声器外放按规程要说Exercise, exercise, exercise——但关键的三个单词被话筒漏掉了8:07 HST现场6人里5人判断是演习1名10年工龄的员工判断为真实攻击在HI-EMA警报菜单里选中了Missile Alert(真实警报)而非紧挨着的Test Missile Alert(演习)并通过了那个几乎一模一样的确认对话框8:08 HST警报正式发出(精确时间8:08:23)约150万人的手机屏幕上跳出BALLISTIC MISSILE THREAT INBOUND TO HAWAII8:10 HST国民警卫队确认无事8:13 HSTHI-EMA手动中止下游再分发——但已经发出去的消息没有撤销机制8:20 HSTHI-EMA通过Facebook/Twitter发出澄清8:45 HST第二条WEA警报发出没有导弹威胁。误报。——距第一条整整38分钟FCC 2018年1月30日发布的调查报告里对HI-EMA的三条制度性批评直指要害演习按钮与真实按钮在同一个下拉菜单里UI几乎一样一个人即可独立发送没有二级审核没有快速撤销机制——警报发出之后撤回要靠一次全新的手动消息FCC这次没有开罚单(因为FCC对州政府机构没有直接处罚管辖权)但驱动了当年8月的Part 11规则改革和后来的READI Act。夏威夷事件之后HI-EMA自己做了两件事一是当天就在菜单里加了BMD False Alarm的快速撤销按钮二是随后从一人制切换到 双人授权制。美国人为发出一条警报需要几个人签字这个朴素问题付出了38分钟的全州恐慌做学费。2013年一条默认口令如何放大成全链路漏洞如果说夏威夷事件展示的是中心节点的权限设计缺陷那2013年的僵尸入侵展示的则是端侧设备如何把链路放大器变成链路污染器。▲图注一台真实的EAS终端设备。图里这款是Sage的但2013年出事的是另一家Monroe Electronics2013年2月11日下午蒙大拿州Great Falls的KRTV电视台正在播中午新闻屏幕突然切入EAS警报死人已经从坟墓里爬出来开始攻击活人。 在接下来几小时里密歇根的WBUP和WNMU、威斯康星的WKBT-DT、新墨西哥的KENW相继被黑。根源是Monroe Electronics / Digital Alert Systems 的 One-Net / DASDEC 系列EAS ENDEC。漏洞有三层覆盖了两个独立的CVE编号Monroe的公开产品手册里印着出厂默认的root口令电视台多数从没改过(对应CVE-2013-4735)固件镜像里硬编码了一对共享的SSH私钥US-CERT公告VU#662676(对应CVE-2013-0137)不少设备的SSH端口直接暴露在公网攻击者从海外SSH登录设备把一段伪造的CAP消息注入本地队列。然后是整条链路最诡异的一幕——因为Monroe设备处于LP1/LP2监听金字塔中的某一级下游所有合规监听它的参与者按规则自动转发了这条伪警报。一台设备被攻破下游是一整个级联链。Monroe在两个月后发布v2.0-2版固件修复。但Security Ledger在2013年7月做了一次复查发现受影响的设备数量不降反增——很多电台压根没打补丁。这次事件是FCC后续几版规则最重要的触发点。2016年NPRM首次明确提出alert authentication and validation(警报认证与验证)要求2018年Part 11修订正式把CAP消息的密码学签名校验写入强制流程。美国人用一次僵尸启示录级别的公开羞辱给端侧设备安全这件事掏出了真金白银。美国路径 vs 中国路径建用分离与顶层密码学讲了这么多回到一个问题中国正在建设的应急广播体系从美国这七十年里能直接抄到什么作业先说中国的制度底色。2021年广电总局和应急管理部联合印发《应急广播管理暂行办法》(广电发〔2021〕37号)确立了一个和美国完全不同的架构建用分离——广电部门负责应急广播的建设与运维(设备、网络、标准、频率)应急管理部门负责应急广播的应用与使用(信息源、审批、发布流程)管理体制按国家广电总局统筹全国、县级以上广电行政部门负责本区域组织(下文用中央统筹、省负总责、市县落实作为概括表述)县级以上政府或其指定的应急信息发布部门负责发布应急信息再看技术标准层。2024年8月国家广播电视总局发布GY/T 403-2024《调频频段数字音频广播应急广播技术规范》把三件事从一开始就写入了国家行业标准应急广播消息的封装格式(对标美国的CAP)指令安全保护机制数字证书授权协议、管理配置协议数字签名强制校验由配套的GY/T 389-2023《应急广播系统数字签名技术规范》定义全链路签名这里有一个值得多讲一句的地方中国从标准层就强制数字签名起步就把指令真实性写进了规范——而美国要到2013年僵尸入侵、直到2016年NPRM之后才把alert authentication补到规则里。换句话说在端侧设备不能被默认口令攻破这件事上国内的CDR应急广播在起跑线就领先了美国十年。这不是因为我们更聪明而是因为我们有美国踩过的坑做教科书。具体对比可以列成这样维度美国EAS中国CDR应急广播建设与使用分工用户自建接入(FEMA建枢纽下游自费自建)建用分离(广电建应急管理用)顶层协议CAP v1.2 SAMEGY/T 403-2024 结构化文本 指令码签名机制2013年事故后补课2018年入规自2024年起顶层标准强制端侧唤醒广播/电视强制打断节目WEA推送到手机EWF(GY/T 403)数据信号直接唤醒待机接收机最后一公里WEA手机推送为主农村覆盖弱县乡村三级大喇叭 车载接收机 手机协同双人审核2018年夏威夷事故后各州自行加码由县级以上政府或指定部门集中审批流程前置最值得吸收的三条经验第一顶层协议必须从第一天起做密码学签名。不是选配不是未来升级方向是开工第一件事。2013年Monroe事件告诉所有人哪怕一家最小的电台它的端侧设备也可能成为整条链路的污染入口。GY/T 403-2024把这件事钉死在国标层面这个起点比美国高。第二权限边界必须由枢纽集中验证不能下放给端侧自觉。美国的COGX.509证书做得很漂亮——地方证书永远不可能发送National Alert越权消息在枢纽就被拦截。国内做到这一点的前提是要有一个等价于IPAWS的唯一集中枢纽——这件事在建用分离的架构里需要广电与应急管理两家在运营层面把接口谈清楚。第三UI与流程的权重不亚于密码学。夏威夷事件的技术栈没有任何问题——签名有效、下游合规转发、整条链路按规矩工作。错的是那个把真实按钮和演习按钮摆在同一个下拉菜单里的界面和那条允许一个人独立按下按钮的流程。任何应急广播系统在设计人机交互时都应该把一个人在紧张、困倦、判断错情境的状态下会做出什么作为第一假设而不是作为例外。收尾三篇下来美国EAS的故事就讲完了。第一篇的五桩事故是人间剧场——看的是荒诞、是教训、是一代人的童年阴影。 第二篇的五层金字塔是工程骨架——看的是IPAWS、PEP、LP1/LP2、四路径加NOAA第五通道如何组成一个可以在核打击之下还在运转的分发网。 第三篇的权限与授权链是制度神经——看的是谁签发、谁审核、谁背锅、以及这一切如何用密码学和立法一层一层锁住。美国人用七十多年时间替所有后来者把这门课上了一遍。夏威夷那38分钟、蒙大拿那条僵尸警报、1971年那段HATEFULNESS、2023年那个氧化石墨烯阴谋论——每一次出事都会逼系统再往前走半步。我们正在走的路不一样。中国的CDR应急广播起步在一个更晚也更有利的时点——有GY/T 403-2024把签名机制写进标准有GY/T 389-2023做数字签名的底座有建用分离把建设方和使用方的职责分开有县乡村三级大喇叭把最后一公里堵住。我们不需要再交一次夏威夷的学费也不需要再被一次Monroe默认口令打脸。但有一件事是所有应急系统共同的一个好的应急系统不只要能在关键时刻响起来还得能在关键时刻可靠地不响起来。这句话在第一篇结尾出现过一次我在这里再抄一遍——因为它既是美国七十年的总结也是我们下一个七十年最不该忘的一条。「美国EAS系列」完。本系列共三篇(一)历史与事故篇(二)架构与多级管理篇(三)权限与授权链篇。