'NSA
could just hack into computer and install malware on it' - encryption
CEO
20 August 2013, 16:04
Bài được đưa lên
Internet ngày: 20/08/2013
Lời
người dịch: Bài viết dạy những kiến thức cơ bản về
việc mã hóa và giải mã thông điệp đối với thư điện
tử được gửi nhận qua Internet, rất cần thiết cho
những ai có mong muốn bảo vệ tính riêng tư của khi sử
dụng thư điện tử. Một vài trích đoạn ví dụ: “Vì
thế, có thể bạn đã tự mình lưu với PGP và bạn bắt
đầu gửi các thư điện tử được mã hóa cho mọi
người, và CSA không thể đọc được các thư điện tử
có mã hóa đó trên đường truyền. Tuy nhiên, hoàn
toàn có thể là NSA có thể đột nhập được vào máy
tính của bạn và cài đặt phần mềm độc hại lên máy
tính của bạn, giống như một trình đọc bàn phím
keylogger. Sau đó họ có thể thấy được thư điện tử
đó, bạn gõ nó thế nào trước khi bạn thậm chí mã
hóa. Vì thế, họ có thể
có sự mã hóa thông qua các cách khác”.
“Thư điện tử không phải
là cách giao tiếp an ninh nhất.
Nếu bạn muốn giao tiếp an ninh hơn, bạn có thể gửi
các thông điệp được viết của bạn bằng việc sử
dụng dịch vụ thông điệp văn bản có mã hóa, giống
của chúng tôi, mà không chia sẻ các khóa với máy chủ”.
Xem thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Hầu hết các dịch
vụ thư điện tử, như Gmail, Yahoo và Hotmail không được
mã hóa và có thể bị phơi ra cho sự soi xét có khả năng
từ các nhà cung cấp dịch vụ hoặc bất kỳ ai có thể
thọc tay vào với các nhà cung cấp đó, như chính phủ
chẳng hạn.
Đó chính là lý do
đối với người sáng lập ra Lavabit, 32 tuổi, Ladar
Livison đã phải đối mặt với một quyết định khó
khăn liệu ông có nên tiết lộ thông tin hay là đóng cửa
webisite mật mã thư điện tử riêng của ông. Levison đã
chọn bảo vệ những người sử dụng của ông.
“Đối với tôi
điều này không phải là về việc bảo vệ tính riêng tư
của một người duy nhất. Lavabit đã nhận được hơn 2
chục yêu cầu về thông tin từ Chính phủ trong lịch sử
10 năm của nó.
Và chúng tôi không
bao giờ có vấn đề chuyển thông tin mà chúng tôi đã
có. Chỉ gần đây hoàn cahr đã thay đổi và tôi đã bị
ép phải quyết định làm thế nào tôi có thể bảo vệ
được tính riêng tư của tất cả những người sử dụng
của tôi”.
Các dịch vụ mã hóa
thư điện tử cá nhân, như Lavabit và Silent Circle, làm
việc bằng cách cho phép những người sử dụng mã hóa
các thư điện tử của họ mà có thể sau đó được
truy cập và được giải mã bằng một mật khẩu. Tuy
nhiên, các công ty có thể được yêu cầu bỏ các mật
khẩu của họ, mà có thể gây nguy hiểm cho thông tin của
những người sử dụng của họ.
Đồng sáng lập ra
Silent Circle là Phil Zimmermann cũng đã đóng cửa dịch vụ
thư điện tử của ông để bảo vệ những người sử
dụng của ông, vì ông đã sợ bị ép phải từ bỏ thông
tin riêng tư.
“Nếu ai đó tới
và xoắn tay bạn dưới một lệnh của tòa án chúng tôi
có thể bỏ các khóa, chúng tôi có thể bị ép phải bỏ
các khóa. Và chúng tôi đã không thích bị nằm trong tình
huống đó”.
Zimmermann cũng lưu ý
rằng thậm chí thông tin được mã hóa không hoàn toàn
được bảo vệ vì các phần khác của thư điện tử,
như tên hoặc các đầu đề của người gửi vẫn còn bị
phơi ra trong thư.
“Thậm chí một
thư điện tử được mã hóa có phần của nó bị phơi
ra - các đầu đề thư mà nói thư từ ai tới, ai là người
nhận nó, có thể vấn đề của chủ đề thư điện tử.
Phần của thư điện tử mà không được mã hóa, thậm
chí khi bạn đã mã hóa thư điện tử”.
Micah Lee từ Quỹ Biên
giới Điện tử - EFF (Electronic Frontier Foundation) nói rằng
sự mà hóa làm việc Vấn đề là mọi người vẫn có
khả năng đột nhập vào các máy tính và lấy đi các mật
khẩu hoặc các khóa để giải mã các thông tin được mã
hóa. Trích lời người làm rò rỉ thông tin của NSA Edward
Snowden, Lee nói rằng vấn đề là ở các điểm đầu cuối
và không phải ở các tư liệu được mã hóa.
“Tuy nhiên, an ninh
các điểm đầu cuối là yếu đáng sợ. Với an ninh các
điểm đầu cuối ông ta đang nói về an ninh của các máy
tính mà đang thực hiện sự mã hóa và giải mã. Vì thế,
có thể bạn đã tự mình lưu với PGP và bạn bắt đầu
gửi các thư điện tử được mã hóa cho mọi người, và
CSA không thể đọc được các thư điện tử có mã hóa
đó trên đường truyền. Tuy nhiên, hoàn toàn có thể là
NSA có thể đột nhập được vào máy tính của bạn và
cài đặt phần mềm độc hại lên máy tính của bạn,
giống như một trình đọc bàn phím keylogger. Sau đó họ
có thể thấy được thư điện tử đó, bạn gõ nó thế
nào trước khi bạn thậm chí mã hóa. Vì thế, họ có thể
có sự mã hóa thông qua các cách khác”.
Mặt khác, Zimmermann
lưu ý rằng có những cách thức tốt hơn để đảm bảo
an ninh cho các giao tiếp truyền thông hơn là thư điện
tử.
“Thư điện tử
không phải là cách giao tiếp an ninh nhất. Nếu bạn muốn
giao tiếp an ninh hơn, bạn có thể gửi các thông điệp
được viết của bạn bằng việc sử dụng dịch vụ
thông điệp văn bản có mã hóa, giống của chúng tôi, mà
không chia sẻ các khóa với máy chủ”.
Lavison nói rằng ông
đã trở nên nản chí rằng Chính phủ đã áp dụng các
luật trong bí mật và tiếp tục vi phạm các quyền của
các công dân Mỹ.
“Các quyền riêng
tư của người Mỹ vẫn còn bị vi phạm, và với sự
miễn phạt. Thật bối rối để thấy sự tham ăn mà
Chính phủ của chúng ta đã có trong các yêu cầu của họ
đối với thông tin từ các công ty như của tôi”.
Zimmermann
đồng ý và nói rằng đã tới lúc phải đẩy ngược lại
và phát triển nhiều chính sách hơn mà bảo vệ công
chúng Mỹ.
“Đây là sự quá
đáng của Chính phủ. Chúng ta phải cố gắng đẩy ngược
lại và cố phục hồi lại tính riêng tư mà chúng ta đã
có trước đó”.
Lee nói rằng có lẽ
giải pháp tốt nhất bây giờ là mã hóa dữ liệu dòng
(stream) cho phép tất cả những người sử dụng dễ dàng
mã hóa và giải mã thông tin.
Most
email services, such as Gmail, Yahoo and Hotmail are not encrypted
and could be exposed to possible scrutiny from either the service
providers or anyone who can twist the arm of these providers, such as
the government.
Such was the case for the
32-year-old Lavabit founder Ladar Levison who was faced with a tough
decision of whether he should reveal information or shut down his
private email encryption website. Levison chose to protect his users.
“For me this wasn’t about
protecting the privacy of a single person. Lavabit has received over
two dozen requests for information from the Government over its
ten-year history.
And we never had a problem turning
over the information that we had. It is only recently that the
climate has changed and I was forced to decide how I would protect
the privacy of all my users.”
Private email encryption services,
such as Lavabit and Silent Circle, work by allowing users to encrypt
their emails which can then be accessed and decoded by a password.
However, these companies could be asked to give up their passwords,
which could jeopardize the information of its users.
Co-founder of Silent Circle Phil
Zimmermann also shuttered his email service in order to protect his
users, because he was afraid of being forced to give up private
information.
“If somebody came in and
twisted our arm under a court order, we could give up the keys, we
would be forced to give up the keys. And we didn’t like to be in
that position.”
Zimmermann also notes that even
encrypted information is not completely protected because other parts
of the email, such as the sender’s name or headers are still
exposed in the email.
“Even an encrypted email has
that part of it exposed – the mail headers that say who it is from,
who it is to, maybe the subject matter of the email. That part of the
email does not get encrypted, even when you have encrypted the
email.”
Micah Lee from the Electronic
Frontier Foundation says that encryption works. The problem is that
people are still able to hack onto the computers and take the
passwords or keys to decode encrypted information. Quoting NSA leaker
Edward Snowden, Lee says that the problem is at the endpoints and not
the actual encrypted material.
“However, endpoint security is
terrifically weak. By endpoint security he is talking about the
security of computers that are doing the encryption and the
decryption. So, maybe you saved yourself up with PGP and you start
sending encrypted emails to people, and the CSA can’t read those
encrypted emails in transit. However, it is totally possible that the
NSA could just hack into your computer and install malware on your
computer, like a keylogger. And then they can see the email, how do
you typing it in before you even encrypted. So, they can just get
around the encryption through other ways.”
On the other hand, Zimmermann notes
that there are better ways to secure communications than emailing.
“Email
is not the most secure way to communicate. If you want to communicate
more securely, you can send your written messages by using an
encrypted text-messaging service, like ours, that doesn’t share the
keys with the server.”
Levison says that he has become
frustrated that the Government has applied laws in secret and
continues to violate the rights of American citizens.
“The privacy rights of
Americans are still being violated, and with impunity. It is
embarrassing to see just edacious our Government has gotten in their
requests for information from companies like mine.”
Zimmermann agrees and says that it
is time to push back and develop more policies that protect the
American public.
“This is Government’s
overreach. We have to try to change the laws. We have to try to push
back and try to recover the privacy that we had before.”
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.