Lavabit's
closure marks the death of secure cloud computing in the US
Dịch
vụ thư điện tử mà Edward Snowden từng sử dụng từng
là công khai, có lẽ Lavabit đã bị Mỹ ngắm đích
Once
Edward Snowden's use of the email service was public, it was perhaps
a given that Lavabit would be targeted by the US
Theo:
http://www.theguardian.com/commentisfree/2013/aug/10/lavabit-closure-cloud-computing-edward-snowden
Bài được đưa lên
Internet ngày: 10/08/2013
Lời
người dịch: Việc Ladar Levison, chủ sở hữu và là người
vận hành Lavabit, một dịch vụ thư điện tử từng tự
mình tự hào về tính riêng tư và an ninh, bất ngờ đã
đóng website của ông, để lại một
thông điệp ngắn cho những người sử dụng trước đây
của mình. “Tôi đã bị ép phải ra một quyết định
khó khăn: trở thành đồng lõa tội phạm chống lại nhân
dân Mỹ hoặc đi khỏi công việc gần 10 năm cật lực
bằng việc đóng cửa Lavabit”, và: ““không
có hành động của quốc hội hoặc một tiền lệ xử ở
tòa án mạnh, tôi có thể khuyến cáo mạnh mẽ chống lại
bất kỳ ai tin tưởng các dữ liệu riêng tư của họ cho
một công ty với các mối quan hệ vật lý với nước
Mỹ”, nhưng đó cũng là sự
trung thực đáng khâm phục. Từ
quan điểm an ninh, điện toán đám mây ở Mỹ đã chết
trên đôi chân của nó”. Xem
thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Chiều thứ năm, Ladar
Levison, chủ sở hữu và là người vận hành Lavabit, một
dịch vụ thư điện tử từng tự mình tự hào về tính
riêng tư và an ninh, bất ngờ đã
đóng website của ông, để lại một thông điệp ngắn
cho những người sử dụng trước đây của mình. “Tôi
đã bị ép phải ra một quyết định khó khăn: trở thành
đồng lõa tội phạm chống lại nhân dân Mỹ hoặc đi
khỏi công việc gần 10 năm cật lực bằng việc đóng
cửa Lavabit”, ông viết. “Sau việc tìm kiếm mất nhiều
tâm lực, tôi đã quyết định dừng hoạt động. Tôi
muốn rằng tôi có thể chia sẻ một cách hợp pháp với
bạn các sự kiện mà đã dẫn tới quyết định của
tôi. Tôi không thể”.
Levison
có thể bị luật pháp bịt miệng, nhưng không khó để
đoán ít nhất phần lý do vì sao site của ông có những
lo lắng về pháp lý. Đầu tháng 7, các nhà báo cá các
nhà hoạt động về các quyền con người đã nhận được
một thư điện tử từ edsnowden@lavabit.com,
mời họ tới một cuộc họp báo ở sân bay Shremetyevo ở
Moscow. Đưa ra mong muốn có thể hiểu
được về người làm rò rỉ của NSA về an ninh, không
ngạc nhiên là Edward Snowden có thể sử dụng một dịch
vụ được thiết kế cho việc giữ cho các thông điệp
không nằm trong những bàn tay tọc mạch. Nhưng biết mong
muốn của chính phủ Mỹ đi cực xa (như bắt
hạ cánh máy bay chở tổng thống Bolivia)
cần thiết để bắt lại anh ta, có lẽ cho là Lavabit có
thể là một cái đích một khi dịch vụ mà Snowden từng
sử dụng từng là công khai.
Giả thiết chứng
hoang tưởng được chứng minh của nhà cựu phân tích hạ
tầng đã được đưa ra cho sử dụng tốt lành, thậm chí
một Lavabit cộng tác sẽ không có khả năng cung cấp cho
chính phủ Mỹ nhiều trợ giúp. Một trong những điểm
bán lớn nhất của site đó chỉ ra chống lại nhiều dịch
vụ thư điện tử phổ biến khác như Gmail là sự hỗ
trợ đầy đủ của nó cho mã hóa khóa công khai.
Đây là một dạng mã
hóa sử dụng 2 “chìa khóa” cố để mã hóa một thông
điệp. Một chìa, khóa công khai, được đưa ra một cách
tự do. Bất kỳ ai muốn gửi một thông điệp cho Snowden
có thể biết khóa công khai của anh ta, mã hóa thông điệp
với nó, và gửi văn bản bây giờ không thể nhận ra.
Snowden có thể sau đó sử dụng khóa riêng của anh ta để
giải mã nó.
Thực tế này còn
được biết như là “mã hóa không đối xứng”, vì yếu
tố quan trọng nhất trong nó: khóa công khai không thể
được sử dụng để giải mã các thông điệp mà nó đã
mã hóa. Chỉ khóa riêng có thể làm điều đó. Và, trong
khi các chi tiết công nghệ là quá là phức tạp để can
thiệp vào đây (về cơ bản là toán học, có liên quan
tới các số cực lớn), dựa vào mọi thứ mà chúng ta
biết về các dịch vụ tình báo, thậm chí họ không thể
phá được dạng mã hóa đó. Nếu họ không có khóa, thì
họ không có các dữ liệu.
Không may, như chúng
ta biết từ những rò
rỉ của Verizon mà đã bắt đầu lọt ra toàn bộ điều
này, bạn có thể thấy một số lượng lớn về mọi
người mà chưa từng bao giờ nhìn vào các dữ liệu thực
sự của họ. Siêu dữ liệu mà họ để lại đằng sau -
dữ liệu về các dữ liệu của họ - mới là đáng giá.
Trong trường hợp của Lavabit, hầu như chắc chắn bao gồm
những người mà Snowden đã từng gửi thư điện tử, và
khi nào. Phụ thuộc vào bao nhiêu dữ liệu mà site lưu
trữ, và cách mà Snowden thận trọng khi truy cập nó (anh
ta có thể đã có những biện pháp như việc truy cập
site thông qua các trình nặc
danh như Tor, nó có thể hạn chế được thiệt hại),
họ có thể có những chi tiết như khi nào anh ta đã kiểm
tra hộp thư đến của anh ta, địa chỉ IP nào anh ta từng
từ đó kiểm tra, và trình duyệt nào anh ta đáng sử
dụng.
Levison
hứa ông sẽ đấu tranh “vì hiến pháp” tại các tòa
án, nhưng những điều trái khoáy đã ngáng trở ông. Các
công ty lớn với các tài nguyên pháp lý tốt hơn so với
Lavabit đã
bị ép phải đưa cho bộ máy an ninh quốc gia.
Cuối cùng bất kỳ siêu dữ liệu nào mà site không nằm
có khả năng sẽ kết thúc trong các bàn tay của chính
phủ. Không khó để đoán được sự tuyệt vọng trong
giọng nói của Levison khi ông viết rằng “không có hành
động của quốc hội hoặc một tiền lệ xử ở tòa án
mạnh, tôi có thể khuyến cáo mạnh mẽ chống lại bất
kỳ ai tin tưởng các dữ liệu riêng tư của họ cho một
công ty với các mối quan hệ vật lý với nước Mỹ”,
nhưng đó cũng là sự trung thực đáng khâm phục. Từ
quan điểm an ninh, điện toán đám mây ở Mỹ đã chết
trên đôi chân của nó.
On
Thursday afternoon, Ladar Levison, the owner and operator of Lavabit,
an email service that prides itself on privacy and security, abruptly
closed
his website, posting a short message to his former users. "I
have been forced to make a difficult decision: to become complicit in
crimes against the American people or walk away from nearly 10 years
of hard work by shutting down Lavabit," he wrote. "After
significant soul searching, I have decided to suspend operations. I
wish that I could legally share with you the events that led to my
decision. I cannot."
Levison
might be gagged by the law, but it's not hard to guess at least part
of the reason why his site is having legal troubles. In early July,
journalists and human rights activists received an
email from edsnowden@lavabit.com, inviting them to a press conference
in Moscow's Sheremetyevo airport. Given the NSA leaker's
understandable desire for security, it is not surprising that Edward
Snowden would use a service designed for keeping messages out of
prying hands. But knowing the American government's desire to go to
extraordinary lengths (such as grounding
the Bolivian president's plane) necessary to recapture him, it
was perhaps a given that Lavabit would be a target once Snowden's use
of the service was public.
Assuming
the former infrastructure analyst's justified paranoia was put to
good use, even a fully co-operative Lavabit wouldn't be able to
provide the US government with much help. One of the site's biggest
selling points against more popular email services such as Gmail is
its full support for public-key encryption.
This
is a form of encryption which uses two numerical "keys" to
encode a message. One, the public key, is given out freely. Anyone
wanting to send a message to Snowden would know his public key,
encrypt the message with it, and send the now-garbled text. Snowden
would then use his private key to decrypt it.
This
practice is also known as "asymmetric encryption", because
of the most important factor in it: the public key cannot be used to
decrypt the messages it has encrypted. Only the private key can do
that. And, while the technological details are far too complex to get
in to here (it's basically magic maths, involving extremely large
prime numbers), based on everything we know about the intelligence
services, even they can't break that sort of encryption. If they
don't have the key, they don't have the data.
Unfortunately,
as we know from the
Verizon leaks that started this whole thing off, you can find out
a huge amount about people without ever looking at their actual data.
The metadata they leave behind – data about their data – is just
as valuable. In Lavabit's case, that almost certainly includes who
Snowden has been emailing, and when. Depending on how much data the
site stores, and how careful Snowden was when accessing it (he may
have taken measures such as accessing the site through
anonymisers like Tor, which would limit the damage), they could
have details such as when he checked his inbox, what IP address he
was checking from, and which browser he was using.
Levison
promises he will fight "for the constitution" in the
courts, but the odds are stacked against him. Bigger companies with
better legal resources than Lavabit have
been forced to submit to the national security apparatus.
Eventually any metadata the site does hold is likely to end up in the
hands of the government. It's not hard to sense the desperation in
Levison's voice when he writes that "without congressional
action or a strong judicial precedent, I would strongly recommend
against anyone trusting their private data to a company with physical
ties to the United States", but it's also admirable honesty.
From a security point of view, cloud computing in the US is dead on
its feet.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.