Các nhà nghiên cứu chỉ trích NSA và GCHQ vì làm suy yếu mã hóa trực tuyến

Academics criticise NSA and GCHQ for weakening online encryption

Các vụ gián điệp làm xói mòn an ninh để nghe trộm giao thông của kẻ địch cũng là suy yếu an ninh cho tất cả chúng ta, các nhà nghiên cứu đại học nói.

Spies undermining security to listen in to enemy traffic also weakens security for all of us, say university researchers

Charles Arthur, The Guardian, Monday 16 September 2013 21.54 BST

Theo: http://www.theguardian.com/technology/2013/sep/16/nsa-gchq-undermine-internet-security

Bài được đưa lên Internet ngày: 16/09/2013

Lời người dịch: Nói về việc Mỹ và Anh làm suy yếu mật mã Internet, bài đưa ra các trích đoạn: “10 ngày qua khi tờ Guardian đã xuất bản những tiết lộ của nó về sự lừa bịp của NSA, đó là một lời cảnh tỉnh cho nhiều người. Điều đó rất, rất đáng khen rằng những người Anh đã ký bức thư này. Đây từng là một thời khắc của ngày 11/09 đối với cộng đồng, và thật tốt rằng một số người đang bắt đầu tỉnh giấc”. Tuần trước NIST đã thực hiện một bước không bình thường - và chưa từng thấy - về việc khuyến cáo “một cách mạnh mẽ” chống lại sử dụng một trong những tiêu chuẩn mã hóa của chính mình “treo nghị quyết về các lo ngại ann ninh” mà đã từng nảy sinh đối với xuất bản phẩm đó. Các nhà nghiên cứu nước Anh đã kêu gọi “các bên tương ứng” - mà có thể bao gồm cả GCHQ - “tiết lộ những hệ thống nào đã bị làm suy yếu sao cho chúng có thể được sửa chữa, và để tạo ra một hệ thống giám thị phù hợp”. Rủi ro lớn nhất, họ ngụ ý, là các hệ thống và hạ tầng dân sự - có lẽ bao gồm cả các hệ thống vật lý như lưới điện - có thể trở nên bị tổn thương đối với cuộc tấn công từ những tin tặc do nhà nước bảo trợ, những người có khả năng khai thác “các cửa hậu” y hệt trong các phần mềm mà đã được các cơ quan gián điệp phương tây cấy vào đó. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Những cố gắng của các cơ quan an ninh Mỹ và Anh làm suy yếu mã hóa các giao tiếp truyền thông trực tuyến như thư điện tử và các phương tiện xã hội đang “gây sốc” và có thể làm chống lại lợi ích của công chúng bằng việc làm suy yếu hạ tầng sống còn, một đội các nhà nghiên cứu của Anh chuyên về mật mã đã cảnh báo.

Nhóm gồm 10 nhà nghiên cứu cảnh báo rằng “bằng việc làm suy yếu tất cả an ninh của chúng ta sao cho họ có thể nghe các giao tiếp truyền thông của các kẻ địch của chúng ta, [các cơ quan] cũng làm suy yếu an ninh của chúng ta đối với các kẻ địch tiềm tàng của chúng ta”.

Các nhà nghiên cứu, tất cả các chuyên gia về mật mã, tới từ một số đại học và bình luận trong một bức thư ngỏ về những tiết lộ được các tờ Guardian, New York Times và ProPublica xuất bản dựa vào thông tin từ các tài liệu do Edward Snowden cung cấp.

Những nỗ lực nhiều năm được chỉ ra của Cơ quan An ninh Quốc gia Mỹ (NSA) và cơ quan gián điệp GCHQ của Anh để làm suy yếu các hệ thống mã hóa sao cho họ có thể nghe lén các thư điện tử và các giao tiếp truyền thông Internet. Cũng có sự nghi ngờ rằng NSA đã làm xói mòn sức mạnh của các giao thức mã hóa được NIST, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ, phát triển.

Giáo sư Ross Anderson, một nhà nghiên cứu an ninh tại Đại học Cambridge, người không chỉ là một người ký, đã nói rằng xuất bản phẩn đó đã gây sốc một số người trong giới hàn lâm mà đã nghĩ rằng công việc của họ về mã hóa từng không có lợi ích đối với các dịch vụ an ninh. “10 ngày qua khi tờ Guardian đã xuất bản những tiết lộ của nó về sự lừa bịp của NSA, đó là một lời cảnh tỉnh cho nhiều người. Điều đó rất, rất đáng khen rằng những người Anh đã ký bức thư này”, ông đã nói với tờ Guardian. “Đây từng là một thời khắc của ngày 11/09 đối với cộng đồng, và thật tốt rằng một số người đang bắt đầu tỉnh giấc”.

Tuần trước NIST đã thực hiện một bước không bình thường - và chưa từng thấy - về việc khuyến cáo “một cách mạnh mẽ” chống lại sử dụng một trong những tiêu chuẩn mã hóa của chính mình “treo nghị quyết về các lo ngại ann ninh” mà đã từng nảy sinh đối với xuất bản phẩm đó.

Các nhà nghiên cứu nước Anh đã kêu gọi “các bên tương ứng” - mà có thể bao gồm cả GCHQ - “tiết lộ những hệ thống nào đã bị làm suy yếu sao cho chúng có thể được sửa chữa, và để tạo ra một hệ thống giám thị phù hợp”.

Rủi ro lớn nhất, họ ngụ ý, là các hệ thống và hạ tầng dân sự - có lẽ bao gồm cả các hệ thống vật lý như lưới điện - có thể trở nên bị tổn thương đối với cuộc tấn công từ những tin tặc do nhà nước bảo trợ, những người có khả năng khai thác “các cửa hậu” y hệt trong các phần mềm mà đã được các cơ quan gián điệp phương tây cấy vào đó.

“Trong kỷ nguyên hiện đại chúng ta tất cả cần phải có lòng tin hoàn toàn trong hạ tầng cơ bản mà tất cả chúng ta sử dụng”, các nhà nghiên cứu lưu ý.

Mỹ và Anh đã thể hiện rồi rằng họ có thể tấn công các hệ thống máy tính cần cho hạ tầng vật lý thông qua công việc của họ trong virus Stuxnet, mà chiếm quyền kiểm soát các máy li tâm được sử dụng trong nhà máy làm giàu hạt nhân của Iran để làm cho chúng chạy không có sự kiểm soát. Điều đó được tính để làm cho kế hoạch của Iran xây dựng một quả bom nguyên tử bị đẩy lùi nhiều tháng. Nhưng các biến thể Stuxnet từng ở đâu đó đang được sử dụng để cố gắng tấn công hạ tầng vật lý khác tại các quốc gia khác.

• Bài báo này từng được sửa đổi bổ sung vào ngày 18/09/2013. Một phiên bản sớm nói bức thư ngỏ được 10 nhà nghiên cứu ở Đại học Bristol ký. Các chữ khý là từ một số đại học.

US and UK security agencies' attempts to weaken encryption of online communications such as emails and social media are "shocking" and could work against the public interest by weakening critical infrastructure, a team of UK academics specialising in cryptography has warned.

The group of 10 researchers warn that "by weakening all our security so that they can listen in to the communications of our enemies, [the agencies] also weaken our security against our potential enemies".

The researchers, all specialists in cryptography, come from a number of universities and comment in an open letter on the revelations published by the Guardian, New York Times and ProPublica based on information from documents provided by Edward Snowden.

These showed years-long efforts by the US National Security Agency (NSA) and Britain's GCHQ spy agency to weaken encryption systems so that they could tap emails and internet communications. There is also suspicion that the NSA has undermined the strength of encryption protocols developed by NIST, the US National Institute for Standards and Technology.

Professor Ross Anderson, a security researcher at Cambridge University who is not one of the signatories, said that the publication had shocked some in academia who had thought that their work on encryption was of no interest to security services. "Ten days ago when the Guardian published its revelations about the NSA's skullduggery, it was a wake-up call for a lot of people. It's very, very creditable that Bristol's people have signed this letter," he told the Guardian. "This has been a 9/11 moment for the community, and it's great that some people are beginning to wake up."

Last week NIST took the unusual – and unprecedented – step of "strongly" recommending against the use of one of its own encryption standards "pending the resolution of the security concerns" that had been raised by the publication.

The UK researchers called on "relevant parties" – which would include GCHQ – "to reveal what systems have been weakened so that they can be repaired, and to create a proper system of oversight".

The biggest risk, they imply, is that civilian systems and infrastructure – perhaps including physical systems such as the power grid – could become vulnerable to attack by state-sponsored hackers who are capable of exploiting the same "backdoors" in software that have been planted there by the western agencies.

"In the modern age we all need to have complete trust in the basic infrastructure that we all use," note the researchers.

The US and UK have already demonstrated that they can attack computer systems needed for physical infrastructure through their work on the Stuxnet virus, which took control of centrifuges used in Iran's nuclear refinement plant to make them run out of control. That is reckoned to have put Iran's plan to build an atomic bomb many months behind schedule. But variants of Stuxnet have been spotted being used to try to attack other physical infrastructure in other countries.

• This article was amended on 18 September 2013. An earlier version said the open letter was signed by 10 researchers at Bristol University. The signatories were from a number of universities.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com