Crypto
experts blast German e-mail providers’ “secure data storage”
claim
Lập
trình viên GPG kêu gọi chuyển tới một “sự tập trung
marketing lớn chính xác đúng thời”
GPG
developer calls move a "great marketing stunt at exactly the
right time."
by Cyrus Farivar - Aug 10
2013, 7:08pm ICT
Bài được đưa lên
Internet ngày: 10/08/2013
Picture: Deutsche
Telekom
Lời
người dịch: Bài trước là các
doanh nghiệp Anh, bài này là các
doanh nghiệp Đức, đã tìm thấy cơ hội kinh doanh sau vụ
bê bối PRISM của các công ty Mỹ với NSA, bằng các đưa
ra dịch vụ thư điện tử có mã hóa đường truyền theo
SMTP TLS. Tuy nhiên, về mặt kỹ thuật, câu lạc bộ Chaos
Computer Club cho rằng: “Câu chuyện lùm xùm của NSA đã
chỉ ra rằng các dịch vụ tập
trung sẽ được nhìn nhận như là không đáng tin cậy
khi nói về sự truy cập của các cơ quan an ninh”. Còn ý
kiến của Richard Stallman, chủ tịch
của Quỹ Phần mềm Tự do thì cho rằng “mã
hóa trên máy chủ là không đáng tin cậy”.
Xem thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Trong cơn bùng phát
đóng
cửa 2 nhà cung cấp thư điện tử an ninh tại Mỹ, 3
nhà cung cấp thư điện tử chính của Đức đã
nhóm lại cùng nhau nói rằng họ đang tiến lên phía
trước để lấy khoảng trống đó. Có duy nhất một vấn
đề: 3 công ty chỉ cung cấp an ninh cho thư điện tử trên
đường đi (ở dạng SMTP TLS) và không lưu trữ dữ liệu
an ninh thực sự.
GMX, T-Online (một bộ
phận của Deutsche Telekom), và Web.de - nó phục vụ 2/3
những người sử dụng thư điện tử Đức - đã
tuyên bố hôm thứ sáu rằng các dữ liệu có thể
được lưu trữ tại Đức và sáng kiến đó có thể “tự
động mã hóa dữ liệu đối với tất cả các dường
truyền và đưa ra sự thanh thản trong tâm trí mà các dữ
liệu được quản tuân theo các luật về tính riêng tư
dữ liệu của Đức”. Bắt đầu ngay lập tức, những
người sử dụng mà sử dụng các dịch vụ thư điện tử
đó trong trình duyệt sẽ có SMTP TLS được kích hoạt, và
bắt đầu từ năm sau, 3 nhà cung cấp thư điện tử đó
sẽ từ chối gửi tất cả các thư điện tử mà không
có sự kích hoạt đó.
“Những người Đức
đã bối rối sâu sắc vì những báo cáo mới nhất về
sự can thiệp tiềm tàng các dữ liệu giao tiếp truyền
thông”, René Obermann, CEO của Deutsche Telekom, nói trong một
tuyên bố.
“Sáng kiến của chúng ta được thiết kế để đối
phó lại mối lo ngại này vầ làm cho giao tiếp truyền
thông thư điện tử khắp nước Đức an ninh hơn nói
chung. Bảo vệ môi trường riêng tư là một mặt hàng
đáng giá”.
Các công ty đã nhấn
mạnh nỗ lực này “Thư
điện tử sản xuất tại Đức”, và chào “lưu trữ
dữ liệu an ninh tại Đức như một địa điểm có uy
tín”. Trên thực tế, điều đó dường như đơn giản
có nghĩa (Google Translate) là
bắt đầu từ năm 2014, các nhà cung cấp này sẽ “chỉ
chuyển các thư điện tử được mã hóa SSL để đảm
bảo rằng các dữ liệu đi qua tất cả các đường
truyền của họ là an ninh”.
Đức khét tiếng có
các luật bảo vệ dữ liệu mạnh - có lẽ là mạnh nhất
thế giới. Nhưng các luật đó có những ngoại lệ ép
tuân thủ luật đối với các cơ quan an ninh, như BND, cơ
quan Đức tương tự như Cơ quan An ninh Quốc gia của Mỹ.
BND có thể có khả năng dễ dàng truy cập các thư điện
tử không được mã hóa được lưu trữ trong các máy chủ
của Đức với ít sự can thiệp pháp lý hoặc kỹ thuật.
Rõ ràng, việc ép người sử dụng (đặc biệt ít hiểu
biết kỹ thuật) sử dụng SMTP TLS cung cấp một số lượng
ít ỏi sự bảo vệ tốt hơn cho dữ liệu trên đường
truyền, nhưng khó mà khắp mọi nơi gần với an ninh được
cải thiện đối với các dữ liệu được lưu trữ.
In
the wake of the shutdown
of two secure e-mail providers in the United States, three major
German e-mail providers have banded
together to say that they’re stepping forward to fill the gap.
There’s just one problem: the three companies only provide security
for e-mail in transit (in the form of SMTP TLS) and not actual secure
data storage.
GMX,
T-Online (a division of Deutsche Telekom), and Web.de—which serve
two-thirds of German e-mail users—announced
on Friday that data would be stored in Germany and the initiative
would “automatically encrypt data over all transmission paths and
offer peace of mind that data are handled in compliance with German
data privacy laws.” Starting immediately, users who use these
e-mail services in-browser will have SMTP TLS enabled, and starting
next year, these three e-mail providers will refuse to send all
e-mails that do not have it enabled.
"Germans
are deeply unsettled by the latest reports on the potential
interception of communication data," said René Obermann, CEO of
Deutsche Telekom, in a statement.
"Our initiative is designed to counteract this concern and make
e-mail communication throughout Germany more secure in general.
Protection of the private sphere is a valuable commodity."
These
companies have dubbed this effort “E-mail
made in Germany,” and tout “secure data storage in Germany as
a reputable location.” In practice, that appears
(Google Translate) to simply mean that starting in 2014, these
providers will “only transport SSL-encrypted e-mails to ensure that
data traffic over all of their transmission paths is secure.”
Germany
has notoriously strong data protection laws—likely the strongest in
the world. But those laws do have law enforcement exceptions for
security agencies, like the BND, Germany’s equivalent to the
National Security Agency. The BND likely can easily access e-mails
stored unencrypted on German servers with little legal or technical
interference. Clearly, forcing users (particularly less tech-savvy
ones) to use SMTP TLS provides a modicum of better protection for
data in transit, but it's hardly anywhere close to improved security
for stored data.
Ép tuân thủ luật
vẫn có thể có được thư điện tử được lưu trữ
Truyền thông kỹ
thuật của Đức và Chaos Computer Club được kính trọng
đã đánh lại tiếp cận này, nói nó như là “marketing
thuần túy”.
“Vấn đề cơ bản
với thư điện tử là nó là một thiệp bưu điện có
thể ai cũng đọc được - [điều này] không làm thay đổi
được gì”, Andre Meister đã viết trên blog Netzpolitik.org
blog (tiếng Đức).
Lukas Pitschl của
GPGTools đã nói cho tờ Ars
đây chỉ là một “cố gắng marketing”, nó có thể
“không bổ sung thêm giá trị thực nào cho an ninh giao
tiếp truyền thông thư điện tử cả”.
“Nếu bạn thực sự
muốn bảo vệ các thư điện tử của bạn khỏi các con
mắt tò mò tọc mạch, hãy sử dụng OpenPGP hoặc S/MIME
trên máy để bàn của riêng bạn và đừng cho một nhà
cung cấp bên thứ 3 nào có được các dữ liệu của
bạn”, ông nói cho Ars. “Không ai trong sáng kiến Thư
điện tử làm tại Đức” có thể nói liệu họ có mã
hóa các dữ liệu trên máy chủ của họ sao cho họ không
có được sự truy cập tới nó hay không, họ có thể
không và vì thế chính phủ có thể ép họ cho phép chính
phủ truy cập nó.
Chaos Computer Club thực
sự đã cười
(Google Translate) nhạo tuyên bố mới này:
“Các đối thủ cạnh
tranh nào [đã có] nhiều năm như là tiêu chuẩn - sự mã
hóa bị ép buộc khi truy cập một tài khoản thư điện
tử cá nhân - bây giờ được bán một cách quảng cáo
như là một sự tiến bộ công nghệ có hiệu quả, mới”,
nhóm này viết. “Câu chuyện lùm xùm
của NSA đã chỉ ra rằng các dịch vụ tập trung sẽ được
nhìn nhận như là không đáng tin cậy khi nói về sự truy
cập của các cơ quan an ninh”.
Law
enforcement can still get stored e-mail
German
tech media and the well-respected Chaos Computer Club have lambasted
this approach, dismissing it as “pure marketing.”
“The
basic problem with e-mail is that it’s a postcard readable by
all—[this] changes nothing,” wrote Andre Meister on the noted
Netzpolitik.org
blog (German).
Lukas
Pitschl of GPGTools told Ars this
was merely a “marketing stunt,” which would “not add real value
to the security of e-mail communication.”
“If
you really want to protect your e-mails from prying eyes, use OpenPGP
or S/MIME on your own desktop and don't let a third-party provider
have your data,” he told Ars. “No one of the ‘E-Mail made in
Germany’ initiative would say if they encrypt the data on their
servers so they don't have access to it, which they probably don't
and thus the government could force them to let them access it.”
The
Chaos Computer Club practically laughed
(Google Translate) at this new announcement:
“What
competitors [have had] for years as standard—a forced encryption
when accessing a personal e-mail account—is now sold promotionally
as a new, effective technological advancement,” the group wrote.
“The NSA scandal has shown that centralized services are to be
regarded as not trustworthy when it comes to access by secret
[agencies].”
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.