Các luật sư cho nhà sáng lập Lavabit: các thẩm phán có thể bác bỏ các lo lắng tự do dân sự

Lawyers for Lavabit founder: judges may dismiss civil liberties concerns

• Ladar Levison thách thức khinh lệnh của tòa
• Dịch vụ thư điện tử an ninh từng được Snowden của NSA sử dụng

• Ladar Levison challenges contempt of court order

• Secure email service was used by NSA leaker Snowden

Dominic Rushe in New York, theguardian.com, Saturday 1 February 2014 13.00 GMT

Theo: http://www.theguardian.com/technology/2014/feb/01/lavabit-ladar-levison-snowden-contempt-court

Bài được đưa lên Internet ngày: 01/02/2014

Lời người dịch: “Nhà sáng lập Lavabit, Ladar Levison đang thách thức một sự khinh lệnh của tòa án được mang ra chống lại ông khi ông ban đầu đã từ chối trao các khóa mật mã dịch vụ thư điện tử an ninh của ông. Vụ kiện bây giờ với 4 tòa án phúc thẩm trong mạng lưới Mỹ ở Richmond, Virginia”. Vụ kiện đang được xử phúc thẩm và còn chưa rõ kết quả. “Levison hiện đang làm việc với các nhà sáng lập Silent Circle, một dịch vụ trực tuyến an ninh khác mà cũng đã đóng cửa, sợ FBI có thể bắt ép nó làm tổn thương dịch vụ của hãng. Họ đang có kế hoạch mở một dịch vụ gọi là Dark Mail mà sẽ chào một công cụ nguồn mở mà có thể thực hiện mã hóa an ninh một mẩu phần mềm dễ dàng bổ sung thêm vào cho bất kỳ dịch vụ thư điện tử nào”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Các quyền dân sự mà các luật sư đã thể hiện mối lo ngại tuần này rằng các thẩm phán đang xem xét lại sự khinh thường vụ của tòa án đã mang ra chống lại Lavabit, một dịch vụ thư điện tử mà đã được người làm rò rỉ của Cơ quan An ninh Quốc gia Edward Snowden sử dụng, đã bỏ qua các lo ngại về tính riêng tư được vụ kiện đưa ra như một “cá trích đỏ” mà đã được “thổi phồng quá mức”.

Nhà sáng lập Lavabit, Ladar Levison đang thách thức một sự khinh lệnh của tòa án được mang ra chống lại ông khi ông ban đầu đã từ chối trao các khóa mật mã dịch vụ thư điện tử an ninh của ông. Vụ kiện bây giờ với 4 tòa án phúc thẩm trong mạng lưới Mỹ ở Richmond, Virginia. Các thẩm phán Roger Gregory, Paul Niemeyer và Steven Agee đã chủ tọa về một cuộc điều trần hôm thứ ba.

Một quyết định được kỳ vọng trong vòng 45 ngày. Nếu kháng án của Levison bị từ chối, thì anh ta sẽ bị giữ vì khinh thường tòa án và sẽ không chắc là các vấn đề pháp lý xung quanh vụ kiện sẽ được giải quyết.

Levison đã viện lý rằng chính phủ đặt ra một gánh nặng trái luật lên công ty của ông bằng việc ép buộc ông chuyển các khóa mật mã SSL đối với dịch vụ của ông, như một phần của cuộc điều tra của FBI trong vụ rò rỉ của Snowden hàng ngàn tài liệu cho các cơ quan truyền thông bao gồm cả Guardian. Levison đã đóng cửa dịch vụ ngay sau khi tuân thủ và kể từ đó đã viện lý rằng chính phủ đã vi phạm quyền sửa đổi bổ sung thứ 4 của anh ta cấm tìm kiếm và tịch thu không hợp lý.

Một luật sư Liên đoàn Tự do Dân sự Mỹ - ACLU (American Civil Liberties Union), Brian Hauss, nói cuộc điều trần đã gợi ý tòa án từng có quan tâm nhiều hơn trong các chi tiết thủ tục của vụ kiện và hành vi của Levison hơn là các vấn đề sửa đổi bổ sung thứ 4 về quan điểm pháp lý của sử dụng mã hóa của một doanh nghiệp.

“Chúng tôi tin tưởng mã hóa là trái tim của vụ việc này”, Hauss nói. “Các thẩm phán đã chỉ ra rằng lệnh đầu tiên đã yêu cầu về các dữ liệu và đã không yêu cầu các khóa SSL. Nhưng cách duy nhất Levison có thể đã cung cấp cho họ với các dữ liệu đó khi họ muốn nó từng là trao các khóa đó”.

Lavabit từng là một dịch vụ thư điện tử an ninh thông qua đó những người nắm giữ tài khoản đã sử dụng một khóa được mã hóa để truy cập thư của họ. Levison đã không giữ các khóa đó. Trong khi ông có thể đã trao sự truy cập có quyền cho một tài khoản người sử dụng đơn nhất, như ông đã làm trong quá khứ, thì ông đã viện lý rằng cách duy nhất để trao sự truy cập “sống” của FBI, như cơ quan này đã yêu cầu, là phải làm tổn thương toàn bộ hệ thống của ông và 410.000 người sử dụng của nó bằng việc trao các khóa chủ.

Hushmail, một đối thủ của Lavabit, đã chiều theo một yêu cầu tương tự của FBI vào năm 2007, chỉ thấy uy tín của mình bị đổ. Lavison và ACLU đã viện lý rằng ví dụ đó và các ví dụ khác chỉ ra chính phủ đã thực hiện một yêu cầu không hợp lý đối với doanh nghiệp của ông - một sự phòng vệ pháp lý chống lại một lệnh của tòa.

Trong một đệ trình với tòa án, ACLU đã viện lý rằng chính phủ “đã làm xói mòn chết người” Lavabit khi nó đã yêu cầu truy cập tới các khóa mã hóa mà được giữ an ninh cho dịch vụ đó.

“Việc kinh doanh của Lavabit từng dựa chắc vào việc chào một dịch vụ thư điện tử an ninh, và không công ty nào có thể nói cho các khách hàng của mình rằng nó chào một dịch vụ an ninh nếu các khóa của nó đã từng được trao cho chính phủ”, Catherine Crump của ACLU nói.

Hauss nói: “Sẽ có một số sự kiểm tra về quyền của tòa án để ép một người phải tuân thủ với yêu cầu của mình. Sau tất cả, đó là các bên thứ 3 vô tội”.

Tuy nhiên, các thẩm phán trong vụ Lavabit, đã dường như quan tâm trong vụ điều trần để thoát ra khỏi sự mã hóa hoặc bất kỳ sự nhắc nhở nào về lý luận của sửa đổi bổ sung thứ 4 đó.

Tại tòa, thẩm phán Niemeyer nói: “Khóa mã hóa chỉ tới sau khi khách hàng của bạn đang từ chối trao cho họ các dữ liệu không được mã hóa. Họ không muốn khóa đó như một đối tượng, họ muốn các dữ liệu này với lưu ý tới một cái đích rằng họ đang điều tra. Và nó dường như đối với tôi rằng đó là tất cả về vụ này và nó đã bị thổi quá đáng vì tất cả những sự khinh thường đó rằng chính phủ đang tìm kiếm các khóa để truy cập các dữ liệu của những người khác. Họ đang tìm kiếm các dữ liệu không bị mã hóa với lưu ý về một cái đích”.

Thẩm phán Gregory đã viện lý khóa mã đã trở thành một “cá trích đỏ”.

“Có một thiện chí như vậy và một mong muốn tranh luận về các khóa bí mật đương được cung cấp và chính phủ sẽ tận dụng ưu thế của cái đó và gián điệp lên mọi người”, Niemeyer nói. Những gì đã được ra lệnh ở đây từng với lưu ý tới một mục tiêu cụ thể để cung cấp các dữ liệu không được mã hóa tuân theo lệnh đó.

'Các câu hỏi quan trọng cực kỳ'

Tai ương pháp lý của Levison đã bắt đầu vào tháng 6, khi Lavabit từng được lệnh thiết lập một “cái bút bẫy” để thu thập các dữ liệu từ một trong các khách hàng của nó, được cho là Snowden. Một cái bút bẫy là phần mềm mà ghi lại tất cả siêu dữ liệu từ một giao tiếp truyền thông điện tử, bao gồm cả đích đến, địa chỉ, người nhận và đầu đề.

Tại tòa, luật sư của Lavabit Ian Samuels đã viện lý rằng Levison đã đồng ý thiết lập bút bẫy và đã tuân thủ với ít nhất một lệnh tương tự của tòa trong quá khứ. Ông đã ngần ngại trong việc trao các khóa SSL mà có thể trao cho FBI sự truy cập tới tất cả các khách hàng của ông và họ tới lượt sẽ mất lòng tin vào ông. Ban đầu ông đã bị bịt miệng không cho nói về vụ việc, thậm chí cho một luật sư.

Bị ép phải trao các khóa, Levison ban đầu đã gửi cho FBI các chi tiết như 11 trang in khổ A4. Ngay sau đó, ông đã đóng cửa dịch vụ và đã đưa ra một thông cáo báo chí nói ông đã đưa ra quyết định để không “đồng lõa trong các phạm tội chống lại nhân dân Mỹ”.

Các thẩm phán đã chỉ trích Levison vì không thách thức đúng lệnh đó, một chỉ trích theo đó Samuels đã phủ định. Samuels nói Levison đã tiến hành một sự từ chối trên “nền tảng theo pháp luật và trên nền tảng của hiến pháp” để trao các khóa mã hóa. Ông nói Levison đã viện lý điều đó có thể đặt ra một gánh nặng trái luật lên doanh nghiệp của ông và rằng đã có nhiều lý do tốt để nghe kháng án trong bất kỳ vụ nào.

“Khi chính phủ thẳng thắn thừa nhận ngài Levison từng 'liên tục được luật sư đại diện', các trình tự thủ tục đó từng xảy ra cực kỳ nhanh”, Samuels nói. Ông nói thêm: “Có các câu hỏi về tầm quan trọng cực kỳ cả đối với chính phủ và đối với không chỉ bên nguyên này mà đối với các nhà cung cấp dịch vụ khác ở nước Mỹ”.

Ông nói Levison đã cố đưa ra cho FBI một giải pháp mà có thể không dẫn tới sự “mất tính riêng tư đối với hàng trăm ngàn các khách hàng khác”.

“Khi điều đó bị từ chối thì chính phủ đã không nói, 'Hãy cố gắng và khắc phục thứ gì đó', chính phủ đã thậm chí không theo đuổi trát gọi của bồi thẩm đoàn, nó là cách thông thường bạn có thông tin từ một bên thứ 3 vô tội mà không phải là trái cây, dụng cụ hoặc bằng chứng của một tội phạm”.

“Những gì chính phủ đã nói từng là, 'Chúng tôi thậm chí không muốn làm việc với các thủ tục bảo vệ bồi thẩm đoàn. Chúng tôi muốn có thông tin này, chúng tôi có quyền đó trong mọi trường hợp. Bất kỳ khi nào chúng tôi cài đặt một bút đăng ký, chúng tôi có được các khóa SSL nếu chúng tôi quyết định rằng chúng tôi không tin anh'. Đó là những gì chính phủ đã tới và nói”.

“Đã có các lựa chọn khác cho họ để có được thông tin này mà đã thậm chí không có liên quan tới việc họ tin công ty nếu chính phủ không tin họ bao giờ nữa. Những gì họ không thể làm là họ không thể nói rằng qui chế này, và sửa đổi bổ sung thứ 4 nó không cho phép bất kỳ thứ gì về điều này, trao nó cho chúng tôi trong từng trường hợp nếu chúng tôi quyết định rằng chúng tôi không tin anh nữa”

Levison đã từ chối bình luận về lời kháng lại đó.

“Tất cả điều tôi thực sự muốn về vấn đề này là sẽ được dàn xếp sao cho có một vài sự sáng tỏ về việc các doanh nghiệp có được sự bảo vệ nào”, ông nói.

Levison hiện đang làm việc với các nhà sáng lập Silent Circle, một dịch vụ trực tuyến an ninh khác mà cũng đã đóng cửa, sợ FBI có thể bắt ép nó làm tổn thương dịch vụ của hãng. Họ đang có kế hoạch mở một dịch vụ gọi là Dark Mail mà sẽ chào một công cụ nguồn mở mà có thể thực hiện mã hóa an ninh một mẩu phần mềm dễ dàng bổ sung thêm vào cho bất kỳ dịch vụ thư điện tử nào.

Civil rights lawyers expressed concern this week that judges reviewing the contempt of court case brought against Lavabit, an email service that was used by the National Security Agency leaker Edward Snowden, were dismissing privacy concerns raised by the case as a “red herring” that had been “blown out of proportion”.

The founder of Lavabit, Ladar Levison, is challenging a contempt of court order brought against him when he initially refused to hand over the encryption keys to his secure email service. The case is now with the fourth US circuit court of appeals in Richmond, Virginia. Judges Roger Gregory, Paul Niemeyer and Steven Agee presided over a hearing on Tuesday.

A decision is expected within 45 days. If Levison’s appeal is rejected, he will be held in contempt of court and it will be unlikely that the legal issues surrounding the case will be resolved.

Levison has argued that the government put an undue burden on his business by forcing him to hand over the SSL encryption keys to his service, as part of the FBI’s investigation into Snowden's leak of thousands of documents to media outlets including the Guardian. Levison shut the service shortly after complying and has since argued that the government violated his fourth amendment right prohibiting unreasonable searches and seizures.

An American Civil Liberties Union (ACLU) attorney, Brian Hauss, said the hearing suggested the court was more interested in the procedural details of the case and Levison’s behaviour than fourth-amendment issues regarding the legal position of a business’s use of encryption.

“We believe encryption is the heart of this case,” Hauss said. “The judges pointed out that the first order asked for data and didn’t demand SSL keys. But the only way Levison could have provided them with that data as they wanted it was to hand over those keys.”

Lavabit was a secure email service through which account holders used an encrypted key to access their mail. Levison did not hold those keys. While he could have given the authorities access to a single user’s account, as he had done in the past, he has argued that the only way to give the FBI “live” access, as it demanded, was to compromise his entire system and its 410,000 users by handing over the master keys.

Hushmail, a Lavabit rival, acquiesced to a similar FBI demand in 2007, only to see its reputation collapse. Levison and the ACLU have argued that that example and others show the government was making an unreasonable demand on his business – a legal defence against a court order.

In a filing with the court, the ACLU has argued that the government “fatally undermined” Lavabit when it demanded access to encryption keys that kept the service secure.

"Lavabit's business was predicated on offering a secure email service, and no company could possible tell its clients that it offers a secure service if its keys have been handed over to the government," said Catherine Crump of the ACLU.

Hauss said: “There should be some check on the courts’ authority to compel a person to comply with its demand. After all, these are innocent third parties.”

The judges in the Lavabit case, however, seemed at the hearing keen to move away from encryption or any mention of the fourth-amendment argument.

In court, Judge Niemeyer said: "The encryption key comes in only after your client is refusing to give them the unencrypted data. They don't want the key as an object, they want this data with respect to a target that they are investigating. And it seems to me that that's all this case is about and it’s been blown out of proportion by all these contentions that the government is seeking keys to access other people's data and so forth. They are seeking unencrypted data with respect to a target."

Judge Gregory argued the encryption key had become a “red herring”.

"There is such a willingness and a desire to argue about secret keys being provided and the government's going to take full advantage of that and spy on everybody,” said Niemeyer. What was ordered here was with respect to a particular target to provide unencrypted data pursuant to that order."

'Questions of enormous importance'

Levison’s legal woes began last June, when Lavabit was ordered to set up a "pen trap" to collect data from one of its customers, thought to be Snowden. A pen trap is software that records all the metadata from an electronic communication, including destination, address, recipient and header.

In court, Lavabit attorney Ian Samuels argued that Levison agreed to set up the pen trap and had complied with at least one similar court order in the past. He balked at handing over SSL keys that would have given the FBI access to all his clients and they in turn lost trust in him. Initially he was gagged from speaking about the case, even to a lawyer.

Forced to hand over the keys, Levison initially sent the FBI the details as 11 pages of print in 4-point type. Shortly after that, he closed the service and issued a press release saying he had made the decision in order not to be “complicit in crimes against the American people”.

The judges criticised Levison for not correctly challenging the order, a criticism to which Samuels objected. Samuels said Levison had made an objection on "statutory grounds and on constitutional grounds" to handing over the encryption keys. He said Levison had argued it would place an undue burden on his business and that there were many good reasons to hear the appeal in any case.

“As the government candidly concedes Mr Levison was 'intermittently represented by counsel', these proceedings were happening extraordinarily quickly,” Samuels said. He added: "There are questions of enormous importance both to the government and to not just this litigant but to other service providers in the United States."

He said Levison had tried to offer the FBI a solution that would not lead to the “loss of privacy for the hundreds of thousands of other customers.

“When that was refused then the government didn’t say, 'Let's try and work something out,' the government didn't even pursue the grand jury subpoena, which is the usual way you get information from an innocent third party that isn’t the fruit, instrument or evidence of a crime.

“What the government said was, 'We don’t even want to deal with the procedural protections of the grand jury. We want to get this information, we are entitled to it in every case. Any time we install a pen register, we get the SSL keys if we decide that we don’t trust you.' That is what the government went and said.

“There were other options for them to get this information that didn't even involve them trusting the company if the government doesn't trust them anymore. What they can't do is they can't say that this statute, and the fourth amendment which doesn’t authorise any of this, gives it to us in every single case if we decide that we don’t trust you.”

Levison declined to comment on the appeal.

“All I really want is for this issue to be settled so that there is some clarity about what protection businesses have,” he said.

Levison is currently working with the founders of Silent Circle, another secure online service that shut down, fearing the FBI would compel it to compromise its service. They are planning to launch a service called Dark Mail that will offer an open-source tool that could make secure encryption an easy add-on for any email service.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com