NSA
Has Long Role as Top US Locksmith, Lock-Picker
WASHINGTON September 11,
2013 (AP)
By JACK GILLUM and
RAPHAEL SATTER Associated Press
Bài được đưa lên
Internet ngày: 11/09/2013
Lời
người dịch: Mục tiêu của NSA phá mật mã, sự mã hóa
và do đó làm suy yếu cội rễ của Internet thông qua việc
can thiệp vào qui trình tạo ra các tiêu chuẩn an ninh để
thực hiện việc giám sát đã có từ những năm 1990,
trong sự phối hợp của NSA với Viện Tiêu chuẩn và Công
nghệ Quốc gia của Mỹ (NIST), cho dù, “theo luật liên
bang, được yêu cầu tư vấn với NSA về các tiêu chuẩn
máy tính”. “vào năm 1992, Giáo
sư Martin Hellman của Đại học Stanford đã viết trong một
tạp chí của giới công nghiệp rằng tiêu chuẩn được
đề xuất sau đó, cuối cùng được NIST và NSA ôm lấy,
đã có những điểm yếu nghiêm trọng như vậy mà nó đã
làm xói mòn lòng tin của NIST giữa các chuyên gia mật mã
dân sự. Hơn nữa, NSA đã muốn
các chi tiết của các quyết định của mình được giữ
bí mật”. Vụ PRISM, theo một chuyên gia về mật mã, thì
“Đây thực sự là cơ hội
đầu tiên công chúng đã học được về vai trò áp đảo
mà NSA đã đóng trong thực tế mật mã và an ninh dân sự”.
Một chuyên gia mật mã khác nói: “Nếu
bạn cố tình làm suy yếu thứ đó, thì nó sẽ quay lại
cắn bạn”. Xem
thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Những năm qua, ngược
về khi những người sử dụng máy tính từng quay số vào
Internet, các nhà khoa học các chính phủ dân sự đã từng
bày tỏ những lo ngại về các tài liệu được Associated
Press xem lại. Các tiết lộ mới về các bản ghi được
sao chép lại, dựa vào các hồ sơ mật 24 năm sau đó,
rừng NSA đã tìm cách cố tình làm suy yếu mã hóa
Internet trong nỗ lực để thu thập và phân tích tình báo
số.
Tuần này, Viện Tiêu
chuẩn và Công nghệ Quốc gia (NIST) của chính phủ đã
tìm cách vực dậy lòng tin trong vai trò quan trọng đằng
sau hậu trường mà nó đóng trong việc thiết lập các
tiêu chuẩn được những người tiêu dùng sử dụng để
mua bán trực tuyến, truy cập các tài khoản ngân hàng, ký
số các tài liệu hoặc hồ sơ pháp lý cho việc đóng
thuế thu nhập của họ bằng điện tử. Cơ quan này nói
nó “có lẽ không cố ý làm suy yếu một tiêu chuẩn mật
mã” và có lẽ tiếp tục làm việc với các chuyên gia
để tạo ra các tiêu chuẩn mã hóa mạnh nhất có thể
cho chính phủ Mỹ và giới công nghiệp nói chung.
Cũng
được lưu ý rằng, theo luật liên bang, được yêu cầu
tư vấn với NSA về các tiêu chuẩn máy tính.
Trong khi đó, Văn
phòng Giám đốc Tình báo Quốc gia nói rằng “Nó rất
ngạc nhiên rằng các cơ quan tình báo của chúng ta tìm
các cách thức để đối phó với sử dụng mã hóa của
các kẻ địch của chúng ta”. Và văn phòng đó đã chỉ
trích những tiết lộ gần đây - dựa vào các hồ sơ bí
mật mà Edward Snowden của NSA đã tiết lộ - rằng NSA
nhiều năm đã sử dụng sức mạnh tính toán, các công
cụ pháp lý và vai trò như là cố vấn của NIST để làm
xói mòn các công nghệ mã hóa mà bảo vệ những người
tiêu dùng nhưng cũng có thể làm cho giám sát số khó khăn
hơn cho chính phủ Mỹ.
Các hồ sơ trong lịch
sử của NIST đã phát hành theo Luật Tự do Thông tin Mỹ
hơn 2 thập kỷ qua đã chỉ ra rằng những căng thẳng về
phần mềm an ninh đã nảy sinh vào đầu những năm 1990
giữa NSA và các nhà khoa học khác trong chính phủ, những
người từng làm việc cùng nhau kể từ 1989 để phát
triển Tiêu chuẩn Ký Số, một cách để ký điện tử
các tài liệu và đảm bảo sự xác thực của chúng. Điều
đó đã trở thành một tiêu chuẩn xử lý của liên bang
vào năm 1994 và từng được cập nhật gần đây nhất
vào tháng 7.
“Ngày càng rõ là
khó, nếu không nói là không thể, giảng hòa các mối lo
và các yêu cầu của NSA, NIST và công chúng nói chung khi
sử dụng tiếp cận này”, các chuyên gia của chính phủ,
bao gồm cả các đại diện của NSA, đã viết trong bản
ghi nhớ hồi tháng 01/1990.
Các chuyên gia dân sự
đã lưu ý rằng cuộc tranh luận đã đưa vào “các vấn
đề hợp tình hợp lý về an ninh quốc gia” đòi hỏi
các quan chức mức cao hơn can thiệp vào. Nhưng những giải
thích xa hơn đã không được đưa ra vì các tài liệu -
ban đầu được đánh dấu là “BÍ MẬT” - đã bị
chính phủ kiểm duyệt nặng nề, một phần về những lo
ngại về an ninh quốc gia.
Sau
đó, vào năm 1992, Giáo sư Martin Hellman của Đại học
Stanford đã viết trong một tạp chí của giới công nghiệp
rằng tiêu chuẩn được đề xuất sau đó, cuối cùng
được NIST và NSA ôm lấy, đã có những điểm yếu
nghiêm trọng như vậy mà nó đã làm xói mòn lòng tin của
NIST giữa các chuyên gia mật mã dân sự.
Hơn
nữa, NSA đã muốn các chi tiết của các quyết định của
mình được giữ bí mật. Thậm chí việc lý giải
của NSA cho việc chọn một thuật toán đã được giữ
sát sao, được đánh dấu “mật” và chỉ được truy
cập tới các quan chức với sự cho phép về an ninh bí
mật hàng đầu. Các tài liệu mà AP đã xem lại từng
được chuyển qua cho David Sobel, bây giờ là cố vấn cao
cấp cho Quỹ Biên giới Điện tử, một nhóm tự do dân
sự.
“Đây
thực sự là cơ hội đầu tiên công chúng đã học được
về vai trò áp đảo mà NSA đã đóng trong thực tế mật
mã và an ninh dân sự”, Sobel đã nói cho hãng tin AP.
Những phát hiện gần đây của Snowde, ông nói, “thể
hiện rằng sự năng động đã không đổi 20 năm qua - và,
nếu có bất kỳ điều gì, thì NSA có lẽ đã trở nên
áp đảo hơn kể từ khi những tiết lộ gốc ban đầu đã
được thực hiện”.
Một mặt, NSA có
trách nhiệm vì là người chủ nắm khóa Internet, giúp
chính phủ Mỹ nghĩ ra các tiêu chuẩn mà nhiều năm đã
bảo vệ thương mại điện tử, các tài liệu nhạy cảm
và tính riêng tư của các công dân. Mặt khác, cơ quan này
chịu trách nhiệm với việc là người chủ chọn khóa
điện tử cho không gian mạng, có khả năng ăn cắp các
bí mật được canh phòng cẩn mật nhất thế giới.
“Nếu bạn muốn đặt
nó vào các khái niệm được cường điệu hóa, con cáo
có trách nhiệm về chuồng con gà”, Richard Aldrich, người
nghiên cứu về các chi tiết về tình báo dấu hiệu của
cơ quan GCHQ cách mà GCHQ và NSA đã làm việc cùng nhau để
làm suy yếu chất lượng của mã hóa được các nhà
ngoại giao sử dụng vào những năm 1960-1970 và hơn thế
nữa, nói.
“Điều
gì một người có thể phát hiện, người khác có thể
phát hiện. Cuối cùng, ai đó sẽ chỉ ra nó”, Ben Laurie,
một lập trình viên cốt lõi đằng sau OpenSSL, một giao
thức giúp bảo vệ một nhóm lớn những người sử dụng
Internet trên thế giới khỏi các website giả mạo, các mưu
đồ bất lương về thẻ tín dụng và ăn cắp định
danh, nói: “Nếu bạn cố tình làm suy yếu thứ đó, thì
nó sẽ quay lại cắn bạn”.
Các
nhà mật mã học thường chấp nhận rằng NSA chuyên tâm
một lượng khổng lồ thời gian và tiền bạc phá các mã
của kẻ địch và những người khác. Nhưng các chiến
thuật được phô bày trong các tài liệu bí mật mới
được tiết lộ - cố tình làm suy yếu hoặc cài đặt
các “cửa hậu” ẩn vào trong các giao thức mã hóa được
sử dụng rộng rãi - đã làm đau buồn các nhà nghiên cứu
hàn lâm và những người đang hành nghề một cách như
nhau.
“Chúng tôi vừa ngạc
nhiên vừa thất vọng trong cách mà họ đang làm với nó”,
Matthew Green, một giáo sư về mật mã ở Đại học Johns
Hopkins, nói.
Nhiều chuyên gia mật
mã đang tạo thành nhóm cho con đường phía trước - xé
rách giữa nhu cầu tìm ra các cửa hậu mà NSA có lẽ đã
ẩn dấu trong thập kỷ qua và sự khó khăn lạ thường
của việc cập nhật một hạ tầng an ninh được nhúng
sâu vào tận cội rễ của Internet.
“Chúng ta bây giờ
đối mặt với công việc thu dọn đống lộn xộn đó”,
Green đã viết trong một bài trên blog sau những tiết lộ
của Snowden. “Câu hỏi đối với tôi - như một người
Mỹ và như ai đó quan tâm về tính toàn vẹn của ngôn
luận - là làm thế nào chúng ta khôi phục lại lòng tin
vào công nghệ của chúng ta”.
Years
ago, back when computer users were dialing up the Internet, civilian
government scientists already were expressing concerns about the
National Security Agency's role in developing global communication
standards, according to documents reviewed by The Associated Press.
The records mirror new disclosures, based on classified files 24
years later, that the NSA sought to deliberately weaken Internet
encryption in its effort to gather and analyze digital intelligence.
This
week, the government's National Institute of Standards and Technology
sought to shore up confidence in the important behind-the-scenes role
it plays in setting standards that are used by consumers to make
purchases online, access their bank accounts, digitally sign legal
documents or file their income taxes electronically. The agency said
it "would not deliberately weaken a cryptographic standard"
and would continue to work with experts "to create the strongest
possible encryption standards for the U.S. government and industry at
large."
It
also noted that, under federal law, it was required to consult with
the NSA on its computer standards.
Meanwhile,
the Office of the Director of National Intelligence said that "it
should hardly be surprising that our intelligence agencies seek ways
to counteract our adversaries' use of encryption." And that
office criticized recent disclosures — based on classified records
revealed by NSA leaker Edward Snowden — that the NSA for years has
used computing power, legal instruments and its role as adviser to
NIST to undermine encryption technologies that protect consumers but
also could make digital surveillance more difficult for the U.S.
government.
Historical
NIST records released under the U.S. Freedom of Information Act more
than two decades ago show that tensions over security software arose
in the early 1990s between the NSA and other scientists in the
government who had been working together since 1989 to develop the
Digital Signature Standard, a way to electronically sign documents
and guarantee their authenticity. That became a federal processing
standard by 1994 and was most recently updated in July.
"It's
increasingly evident that it is difficult, if not impossible, to
reconcile the concerns and requirements of NSA, NIST and the general
public using this approach," the government experts, who
included NSA representatives, wrote in a January 1990 memorandum.
The
civilian experts noted that the debate included unspecified
"technical and national security equity issues" requiring
higher-level officials to intervene. But further explanations weren't
provided because the documents — initially marked "SECRET"
— were heavily censored by the government, partly over national
security concerns.
Then,
in 1992, Stanford University Professor Martin Hellman wrote in an
industry journal that the then-proposed standard, eventually embraced
by NIST and the NSA, had such serious weaknesses that it undermined
NIST's credibility among civilian cryptography experts.
Additionally,
the NSA wanted details of its decisions kept secret. Even the NSA's
reasoning for selecting an algorithm was closely held, stamped
"classified" and accessible only to officials with a top
secret security clearance. The documents the AP reviewed had been
turned over to David Sobel, now senior counsel to the Electronic
Frontier Foundation, a civil liberties group.
"This
was really the first opportunity the public had to learn of the
dominant role that the NSA played in the realm of civilian
cryptography and security," Sobel told the AP. The recent
disclosures by Snowden, he said, "demonstrate that dynamic has
not changed over the past 20 years — and, if anything, NSA might
have become more dominant since those original disclosures were
made."
On
one hand, the NSA is responsible for being the Internet's chief
digital locksmith, helping the U.S. government devise standards that
have for years protected e-commerce, sensitive documents and
citizens' privacy. On the other, the agency is charged with being
cyberspace's chief electronic lock-picker, capable of stealing the
world's most closely guarded secrets.
"If
you wanted to put it in exaggerated terms, the fox is in charge of
henhouse," said Richard Aldrich, whose study of Britain's
signals intelligence agency GCHQ details how it and the NSA worked
together to weaken the quality of the encryption used by
international diplomats in the 1960s, '70s and beyond.
But
even if the NSA's campaign to loosen the world's digital locks has a
long pedigree, experts say the fact that encryption has moved out of
embassy cypher rooms and into the mainstream means there's much more
at stake. Cryptographers say that the weaknesses left by the NSA
might one day be used by America's rivals in Moscow or Beijing — or
even savvy cybercriminals, if the loopholes aren't being used
already.
"What
one person can discover, another person can discover. In the end,
somebody will figure it out," said Ben Laurie, a core developer
behind OpenSSL, a protocol that helps protect a big chunk of the
world's Internet users from fraudulent websites, credit-card scams
and identity theft. "If you deliberately weaken stuff, it will
come back to bite you."
Cryptographers
generally accept that the NSA devotes an enormous amount of time and
money cracking enemies' and others' codes. But the tactics exposed in
the newly revealed classified documents — deliberately weakening or
installing hidden "back doors" in widely-used encryption
protocols — have distressed academics and practitioners alike.
"We're
both surprised and disappointed in the way that they're doing it,"
said Matthew Green, a professor of cryptography at Johns Hopkins
University.
Many
cryptography experts are groping for a way forward — torn between
the need to ferret out back doors the NSA may have hidden over the
past decade and the monumental difficulty of updating a security
infrastructure deeply embedded in the very fabric of the Internet.
"We're
now faced with the job of cleaning up the mess," Green wrote in
a blog post after Snowden's revelations. "The question to me —
as an American and as someone who cares about the integrity of speech
— is how we restore faith in our technology."
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.