Thứ Tư, 21 tháng 8, 2013

Các chuyên gia mật mã quảng cáo cho các nhà cung cấp thư điện tử Đức “lưu trữ dữ liệu an ninh”


Crypto experts blast German e-mail providers’ “secure data storage” claim
Lập trình viên GPG kêu gọi chuyển tới một “sự tập trung marketing lớn chính xác đúng thời”
GPG developer calls move a "great marketing stunt at exactly the right time."
by Cyrus Farivar - Aug 10 2013, 7:08pm ICT
Bài được đưa lên Internet ngày: 10/08/2013
Lời người dịch: Bài trước là các doanh nghiệp Anh, bài này là các doanh nghiệp Đức, đã tìm thấy cơ hội kinh doanh sau vụ bê bối PRISM của các công ty Mỹ với NSA, bằng các đưa ra dịch vụ thư điện tử có mã hóa đường truyền theo SMTP TLS. Tuy nhiên, về mặt kỹ thuật, câu lạc bộ Chaos Computer Club cho rằng: “Câu chuyện lùm xùm của NSA đã chỉ ra rằng các dịch vụ tập trung sẽ được nhìn nhận như là không đáng tin cậy khi nói về sự truy cập của các cơ quan an ninh”. Còn ý kiến của Richard Stallman, chủ tịch của Quỹ Phần mềm Tự do thì cho rằng “mã hóa trên máy chủ là không đáng tin cậy”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.
Trong cơn bùng phát đóng cửa 2 nhà cung cấp thư điện tử an ninh tại Mỹ, 3 nhà cung cấp thư điện tử chính của Đức đã nhóm lại cùng nhau nói rằng họ đang tiến lên phía trước để lấy khoảng trống đó. Có duy nhất một vấn đề: 3 công ty chỉ cung cấp an ninh cho thư điện tử trên đường đi (ở dạng SMTP TLS) và không lưu trữ dữ liệu an ninh thực sự.
GMX, T-Online (một bộ phận của Deutsche Telekom), và Web.de - nó phục vụ 2/3 những người sử dụng thư điện tử Đức - đã tuyên bố hôm thứ sáu rằng các dữ liệu có thể được lưu trữ tại Đức và sáng kiến đó có thể “tự động mã hóa dữ liệu đối với tất cả các dường truyền và đưa ra sự thanh thản trong tâm trí mà các dữ liệu được quản tuân theo các luật về tính riêng tư dữ liệu của Đức”. Bắt đầu ngay lập tức, những người sử dụng mà sử dụng các dịch vụ thư điện tử đó trong trình duyệt sẽ có SMTP TLS được kích hoạt, và bắt đầu từ năm sau, 3 nhà cung cấp thư điện tử đó sẽ từ chối gửi tất cả các thư điện tử mà không có sự kích hoạt đó.
“Những người Đức đã bối rối sâu sắc vì những báo cáo mới nhất về sự can thiệp tiềm tàng các dữ liệu giao tiếp truyền thông”, René Obermann, CEO của Deutsche Telekom, nói trong một tuyên bố. “Sáng kiến của chúng ta được thiết kế để đối phó lại mối lo ngại này vầ làm cho giao tiếp truyền thông thư điện tử khắp nước Đức an ninh hơn nói chung. Bảo vệ môi trường riêng tư là một mặt hàng đáng giá”.
Các công ty đã nhấn mạnh nỗ lực này “Thư điện tử sản xuất tại Đức”, và chào “lưu trữ dữ liệu an ninh tại Đức như một địa điểm có uy tín”. Trên thực tế, điều đó dường như đơn giản có nghĩa (Google Translate) là bắt đầu từ năm 2014, các nhà cung cấp này sẽ “chỉ chuyển các thư điện tử được mã hóa SSL để đảm bảo rằng các dữ liệu đi qua tất cả các đường truyền của họ là an ninh”.
Đức khét tiếng có các luật bảo vệ dữ liệu mạnh - có lẽ là mạnh nhất thế giới. Nhưng các luật đó có những ngoại lệ ép tuân thủ luật đối với các cơ quan an ninh, như BND, cơ quan Đức tương tự như Cơ quan An ninh Quốc gia của Mỹ. BND có thể có khả năng dễ dàng truy cập các thư điện tử không được mã hóa được lưu trữ trong các máy chủ của Đức với ít sự can thiệp pháp lý hoặc kỹ thuật. Rõ ràng, việc ép người sử dụng (đặc biệt ít hiểu biết kỹ thuật) sử dụng SMTP TLS cung cấp một số lượng ít ỏi sự bảo vệ tốt hơn cho dữ liệu trên đường truyền, nhưng khó mà khắp mọi nơi gần với an ninh được cải thiện đối với các dữ liệu được lưu trữ.
In the wake of the shutdown of two secure e-mail providers in the United States, three major German e-mail providers have banded together to say that they’re stepping forward to fill the gap. There’s just one problem: the three companies only provide security for e-mail in transit (in the form of SMTP TLS) and not actual secure data storage.
GMX, T-Online (a division of Deutsche Telekom), and Web.de—which serve two-thirds of German e-mail users—announced on Friday that data would be stored in Germany and the initiative would “automatically encrypt data over all transmission paths and offer peace of mind that data are handled in compliance with German data privacy laws.” Starting immediately, users who use these e-mail services in-browser will have SMTP TLS enabled, and starting next year, these three e-mail providers will refuse to send all e-mails that do not have it enabled.
"Germans are deeply unsettled by the latest reports on the potential interception of communication data," said René Obermann, CEO of Deutsche Telekom, in a statement. "Our initiative is designed to counteract this concern and make e-mail communication throughout Germany more secure in general. Protection of the private sphere is a valuable commodity."
These companies have dubbed this effort “E-mail made in Germany,” and tout “secure data storage in Germany as a reputable location.” In practice, that appears (Google Translate) to simply mean that starting in 2014, these providers will “only transport SSL-encrypted e-mails to ensure that data traffic over all of their transmission paths is secure.”
Germany has notoriously strong data protection laws—likely the strongest in the world. But those laws do have law enforcement exceptions for security agencies, like the BND, Germany’s equivalent to the National Security Agency. The BND likely can easily access e-mails stored unencrypted on German servers with little legal or technical interference. Clearly, forcing users (particularly less tech-savvy ones) to use SMTP TLS provides a modicum of better protection for data in transit, but it's hardly anywhere close to improved security for stored data.
Ép tuân thủ luật vẫn có thể có được thư điện tử được lưu trữ
Truyền thông kỹ thuật của Đức và Chaos Computer Club được kính trọng đã đánh lại tiếp cận này, nói nó như là “marketing thuần túy”.
“Vấn đề cơ bản với thư điện tử là nó là một thiệp bưu điện có thể ai cũng đọc được - [điều này] không làm thay đổi được gì”, Andre Meister đã viết trên blog Netzpolitik.org blog (tiếng Đức).
Lukas Pitschl của GPGTools đã nói cho tờ Ars đây chỉ là một “cố gắng marketing”, nó có thể “không bổ sung thêm giá trị thực nào cho an ninh giao tiếp truyền thông thư điện tử cả”.
“Nếu bạn thực sự muốn bảo vệ các thư điện tử của bạn khỏi các con mắt tò mò tọc mạch, hãy sử dụng OpenPGP hoặc S/MIME trên máy để bàn của riêng bạn và đừng cho một nhà cung cấp bên thứ 3 nào có được các dữ liệu của bạn”, ông nói cho Ars. “Không ai trong sáng kiến Thư điện tử làm tại Đức” có thể nói liệu họ có mã hóa các dữ liệu trên máy chủ của họ sao cho họ không có được sự truy cập tới nó hay không, họ có thể không và vì thế chính phủ có thể ép họ cho phép chính phủ truy cập nó.
Chaos Computer Club thực sự đã cười (Google Translate) nhạo tuyên bố mới này:
“Các đối thủ cạnh tranh nào [đã có] nhiều năm như là tiêu chuẩn - sự mã hóa bị ép buộc khi truy cập một tài khoản thư điện tử cá nhân - bây giờ được bán một cách quảng cáo như là một sự tiến bộ công nghệ có hiệu quả, mới”, nhóm này viết. “Câu chuyện lùm xùm của NSA đã chỉ ra rằng các dịch vụ tập trung sẽ được nhìn nhận như là không đáng tin cậy khi nói về sự truy cập của các cơ quan an ninh”.
Law enforcement can still get stored e-mail
German tech media and the well-respected Chaos Computer Club have lambasted this approach, dismissing it as “pure marketing.”
“The basic problem with e-mail is that it’s a postcard readable by all—[this] changes nothing,” wrote Andre Meister on the noted Netzpolitik.org blog (German).
Lukas Pitschl of GPGTools told Ars this was merely a “marketing stunt,” which would “not add real value to the security of e-mail communication.”
“If you really want to protect your e-mails from prying eyes, use OpenPGP or S/MIME on your own desktop and don't let a third-party provider have your data,” he told Ars. “No one of the ‘E-Mail made in Germany’ initiative would say if they encrypt the data on their servers so they don't have access to it, which they probably don't and thus the government could force them to let them access it.”
The Chaos Computer Club practically laughed (Google Translate) at this new announcement:
“What competitors [have had] for years as standard—a forced encryption when accessing a personal e-mail account—is now sold promotionally as a new, effective technological advancement,” the group wrote. “The NSA scandal has shown that centralized services are to be regarded as not trustworthy when it comes to access by secret [agencies].”
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.