Sau các tiết lộ của Edward Snowden, vì sao còn tin vào các nhà cung cấp đám mây Mỹ nhỉ?

After Edward Snowden's revelations, why trust US cloud providers?

The NSA's activities are a massive blow for US computer businesses

John Naughton

The Observer, Sunday 15 September 2013

Theo: http://www.theguardian.com/technology/2013/sep/15/edward-snowden-nsa-cloud-computing

Bài được đưa lên Internet ngày: 15/09/2013

Các hoạt động của NSA đã bị Edward Snowden bóc mặt nạ. Hình: Ueslei Marcelino/Reuters

The NSA's activities were unmasked by Edward Snowden. Photograph: Ueslei Marcelino/Reuters

Lời người dịch: Các trích đoạn: “Như Neelie Kroes, Phó chủ tịch của Ủy ban châu Âu có trách nhiệm về các công việc số, đã đặt nó vào một bài nói chuyện vào ngày 04/07: “Nếu các doanh nghiệp hoặc chính phủ nghĩ họ có thể bị gián điệp, thì họ sẽ có ít lý do để tin tưởng vào đám mây và chính là các nhà cung cấp đám mây cuối cùng sẽ bị lỡ. Vì sao bạn có thể trả tiền cho ai đó để giữ các bí mật thương mại hoặc các bí mật khác của bạn, nếu bạn nghi ngờ hoặc biết họ đang chia sẻ chống lại mong muốn của bạn? Cửa trước hay cửa sau - không thành vấn đề - bất kỳ người thông minh nào cũng hoàn toàn không muốn các thông tin đó được chia sẻ cả. Các khách hàng sẽ hành động hợp lý và các nhà cung cấp sẽ bỏ lỡ một cơ hội lớn”... Nhưng thậm chí còn lo ngại hơn là sự nhận thức được rằng NSA dường như đã hối lộ mua chuộc một cách giấu giếm qui trình theo đó các tiêu chuẩn mã hóa được thiết lập bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) được cho là độc lập. Vào năm 2006, NIST đã xuất bản tiêu chuẩn (như là giao thức kỹ thuật) cho mã hóa trên web mà sau đó được Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) phê chuẩn, mà có 163 quốc gia thành viên. Điều mà không ai từng biết cho tới khi Edward Snowden đã tiết lộ nó rằng tiêu chuẩn năm 2006 được NSA viết một cách có hiệu lực và rằng cơ quan này đã chèn một cửa hậu bí mật vào hệ thống mã hóa của riêng nó để sử dụng. “Con đường cho việc phát triển tiêu chuẩn này từng trơn tru một khi con đường đó đã bắt đầu”, một ghi chép của NSA đã lưu ý”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

'Đó là một con chim ốm yếu', một cách ngôn, “điều đó làm bẩn cái tổ của chính nó”. Bóng gió Cơ quan An ninh Quốc gia Mỹ (NSA), mà, chúng ta bây giờ biết, đã và đang, về cơ bản, làm điều này từ khá lâu. Như những tiết lộ của Edward Snowden đã làm tung ra, phạm vi của việc làm bẩn đã chậm chạp bắt đầu hé lộ cho chúng ta.

Bên ngoài nước Mỹ, ví dụ, mọi người bỗng nhiên đã bắt đầu có những nghi ngờ về sự khôn ngoan của việc tin tưởng giao phó các dữ liệu bí mật của họ vào các dịch vụ đám mây do các công ty Mỹ vận hành trên đất Mỹ. Như Neelie Kroes, Phó chủ tịch của Ủy ban châu Âu có trách nhiệm về các công việc số, đã đặt nó vào một bài nói chuyện vào ngày 04/07: “Nếu các doanh nghiệp hoặc chính phủ nghĩ họ có thể bị gián điệp, thì họ sẽ có ít lý do để tin tưởng vào đám mây và chính là các nhà cung cấp đám mây cuối cùng sẽ bị lỡ. Vì sao bạn có thể trả tiền cho ai đó để giữ các bí mật thương mại hoặc các bí mật khác của bạn, nếu bạn nghi ngờ hoặc biết họ đang chia sẻ chống lại mong muốn của bạn? Cửa trước hay cửa sau - không thành vấn đề - bất kỳ người thông minh nào cũng hoàn toàn không muốn các thông tin đó được chia sẻ cả. Các khách hàng sẽ hành động hợp lý và các nhà cung cấp sẽ bỏ lỡ một cơ hội lớn”.

Các nhà cung cấp nào nhỉ? Vì sao, các công ty Internet lớn của Mỹ mà cho tới nay đã áp đảo thị trường đối với các dịch vụ đám mây - một thị trường được thiết lập để gấp đôi kích cỡ tới 200 tỷ USD trong vòng 3 năm tới. Vì thế mục tiêu riêng đầu tiên mà NSA ghi điểm được từng là làm xói mòn một nền công nghiệp mà nhiều người đã coi như là điều lớn tiếp theo trong điện toán tập đoàn.

Mục tiêu riêng thứ 2 (hoặc hệ quả không mong đợi, phải cho nó một cái tên kỹ thuật của nó) tới từ sự phát hiện mà NSA đã phá hoặc phá hủy các hệ thống mã hóa được các công ty Internet, các ngân hàng và các tổ chức khác sử dụng để thuyết phục những người tiêu dùng rằng các giao dịch trực tuyến có thể là bí mật và an ninh. Biết rằng một trong những thắng lợi to lớn của giới công nghiệp từng là để ban đầu thuyết phục những người sử dụng đang nghi ngờ rằng là an toàn để tiến hành các giao dịch trực tuyến, thì điều này từng là một sự tiết lộ làm choáng người, những tác động của nó sẽ rất mênh mông. Và nó đã mang vào đầu một hội thoại mà năm ngoái tôi đã có với một lãnh đạo khá cao cấp của một công ty Internet chính, người ngẫu nhiên đã lưu ý rằng lãnh đạo an ninh của tổ chức của ông “không mơ sử dụng ngân hàng trực tuyến”. Tôi từng nghĩ thật ngạc nhiên khi đó và đã đưa nó ra như một sự tò mò: các cao thủ, sau tất cả, có là hoang tưởng về những điều đó không. Bây giờ tôi muốn tôi đã cảm nhận được nhiều hơn.

Nhưng thậm chí còn lo ngại hơn là sự nhận thức được rằng NSA dường như đã hối lộ mua chuộc một cách giấu giếm qui trình theo đó các tiêu chuẩn mã hóa được thiết lập bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) được cho là độc lập. Vào năm 2006, NIST đã xuất bản tiêu chuẩn (như là giao thức kỹ thuật) cho mã hóa trên web mà sau đó được Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) phê chuẩn, mà có 163 quốc gia thành viên. Điều mà không ai từng biết cho tới khi Edward Snowden đã tiết lộ nó rằng tiêu chuẩn năm 2006 được NSA viết một cách có hiệu lực và rằng cơ quan này đã chèn một cửa hậu bí mật vào hệ thống mã hóa của riêng nó để sử dụng. “Con đường cho việc phát triển tiêu chuẩn này từng trơn tru một khi con đường đó đã bắt đầu”, một ghi chép của NSA đã lưu ý. “Tuy nhiên, việc bắt đầu con đường đó từng là một thách thức trong mánh khóe”.

Tôi đánh cược là nó từng như thế. Các tiêu chuẩn kỹ thuật là để kết nối mạng như ô xy cho cuộc sống. Và, nói rộng ra, cách mà chúng được hình thành luôn là sự hợp tác và mở. Ví dụ, trong thế giới Internet, nó được các nhóm các kỹ sư với sự tinh thông của các chuyên gia trong một lĩnh vực đặc thù thực hiện, và họ tụ họp để tranh luận, bằng một qui trình thảo luận mở, các phiên bản kế tiếp nhau của giao thức đó được đưa ra cho tới khi chúng bao trùm lên thứ gì đó mà được đồng thuận sẽ là làm việc được. “Chúng tôi tin tưởng”, một trong những người tiên phong của qui trình đó đã viết: “theo sự đồng thuận phỏng chừng và mã chạy được”. Nhưng trái tim của qui trình đó là với giả thiết rằng những người tham gia - bất kể từ các công ty hay giới hàn lâm - đang làm việc theo lợi ích của công chúng hơn là việc cố gắng tiến bộ cho những lợi ích hẹp hơn cho tổ chức của họ.

Điều đó giải thích vì sao sự phát hiện rằng NSA đã lạm dụng dạng lòng tin đó quá là thất vọng. Và nó đại diện hoàn toàn cho mục tiêu riêng lớn nhất, vì nó làm xói mòn tận gốc rễ một trong những giáo lý cơ bản của chính sách đối ngoại Mỹ, ấy là sự điều hành Internet là tốt nhất để trong tay của những người Mỹ. Khi mà mạng đã trở thành ngày một có tính toàn cầu, điều này đã trông giống như một lời đề xuất cũ rích. NSA đã đảm bảo rằng bây giờ nó là không thể biện hộ được.

Điều gì sẽ mang chúng ta trở lại cho các con chim và các cái tổ của chúng. Tôi đã quên nhắc tới rằng tất nhiên cái triện chính thức của tổng thống Mỹ là … một con đại bàng.

'It's an ill bird," runs the adage, "that fouls its own nest." Cue the US National Security Agency (NSA), which, we now know, has been busily doing this for quite a while. As the Edward Snowden revelations tumbled out, the scale of the fouling slowly began to dawn on us.

Outside of the United States, for example, people suddenly began to have doubts about the wisdom of entrusting their confidential data to cloud services operated by American companies on American soil. As Neelie Kroes, European Commission vice president responsible for digital affairs, put it in a speech on 4 July: "If businesses or governments think they might be spied on, they will have less reason to trust the cloud and it will be cloud providers who ultimately miss out. Why would you pay someone else to hold your commercial or other secrets, if you suspect or know they are being shared against your wishes? Front or back door – it doesn't matter – any smart person doesn't want the information shared at all. Customers will act rationally and providers will miss out on a great opportunity."

Which providers? Why, the big US internet companies that have hitherto dominated the market for cloud services – a market set to double in size to $200bn (£126bn) over the next three years. So the first own goal scored by the NSA was to undermine an industry that many people had regarded as the next big thing in corporate computing.

The second own goal (or unintended consequence, to give it its technical name) came from the revelation that the NSA had cracked or circumvented the encryption systems used by internet companies, banks and other organisations to persuade consumers that online transactions could be confidential and secure. Given that one of the great triumphs of the industry had been to persuade initially sceptical users that it was safe to conduct transactions online, this was a staggering revelation, the implications of which will be very far-reaching. And it brought to mind a conversation I had last year with a fairly senior executive of a major internet company, who casually mentioned that his organisation's head of security "wouldn't dream of using online banking". I thought it was amusing at the time and filed it away as a curiosity: geeks, after all, are notoriously paranoid about these things. Now I wish I had been more perceptive.

But, in a way, even more disturbing was the realisation that the NSA seems to have covertly suborned the process by which encryption standards are set by the supposedly independent US National Institute of Standards and Technology (NIST). In 2006, NIST published the standard (ie technical protocol) for encryption on the web that was subsequently adopted by the International Organisation for Standardisation (ISO), which has 163 countries as members. What nobody knew until Edward Snowden revealed it was that the 2006 standard was effectively written by the NSA and that it had inserted a secret back door into the encryption system for its own use. "The road to developing this standard was smooth once the journey began," a NSA memo noted. "However, beginning the journey was a challenge in finesse."

I'll bet it was. Technical standards are to networking as oxygen is to life. And, broadly speaking, the way they are shaped has always been co-operative and open. In the internet world, for example, it's done by groups of engineers with specialist expertise in a particular area who gather to hammer out, by a process of open discussion, successive versions of a protocol until they converge on something that is agreed to be workable. "We believe," one of the pioneers of the process wrote, "in rough consensus and running code." But at the heart of the process is the assumption that everyone participating – whether from companies or academia – is working in the public interest rather than trying to advance the narrower interests of their organisation.

That's why the discovery that the NSA abused that kind of trust is so depressing. And, in a way, it represents the biggest own goal of all, because it fatally undermines one of the fundamental tenets of US foreign policy, namely that governance of the internet is best left in American hands. As the net became increasingly global, this was already looking like a threadbare proposition. The NSA has ensured that it is now untenable.

Which brings us back to birds and their nests. I forgot to mention that of course the official seal of the US president is… an eagle.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com