NSA Has Long Role as Top US Locksmith, Lock-Picker
WASHINGTON September 11, 2013 (AP)
By JACK GILLUM and RAPHAEL SATTER Associated Press
Theo: http://abcnews.go.com/Politics/wireStory/nsa-machine-big-understand-20221254
Bài được đưa lên Internet ngày: 11/09/2013
Lời người dịch: Mục tiêu của NSA phá mật mã, sự mã hóa và do đó làm suy yếu cội rễ của Internet thông qua việc can thiệp vào qui trình tạo ra các tiêu chuẩn an ninh để thực hiện việc giám sát đã có từ những năm 1990, trong sự phối hợp của NSA với Viện Tiêu chuẩn và Công nghệ Quốc gia của Mỹ (NIST), cho dù, “theo luật liên bang, được yêu cầu tư vấn với NSA về các tiêu chuẩn máy tính”. “vào năm 1992, Giáo sư Martin Hellman của Đại học Stanford đã viết trong một tạp chí của giới công nghiệp rằng tiêu chuẩn được đề xuất sau đó, cuối cùng được NIST và NSA ôm lấy, đã có những điểm yếu nghiêm trọng như vậy mà nó đã làm xói mòn lòng tin của NIST giữa các chuyên gia mật mã dân sự. Hơn nữa, NSA đã muốn các chi tiết của các quyết định của mình được giữ bí mật”. Vụ PRISM, theo một chuyên gia về mật mã, thì “Đây thực sự là cơ hội đầu tiên công chúng đã học được về vai trò áp đảo mà NSA đã đóng trong thực tế mật mã và an ninh dân sự”. Một chuyên gia mật mã khác nói: “Nếu bạn cố tình làm suy yếu thứ đó, thì nó sẽ quay lại cắn bạn”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.
Những năm qua, ngược về khi những người sử dụng máy tính từng quay số vào Internet, các nhà khoa học các chính phủ dân sự đã từng bày tỏ những lo ngại về các tài liệu được Associated Press xem lại. Các tiết lộ mới về các bản ghi được sao chép lại, dựa vào các hồ sơ mật 24 năm sau đó, rừng NSA đã tìm cách cố tình làm suy yếu mã hóa Internet trong nỗ lực để thu thập và phân tích tình báo số.
Tuần này, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) của chính phủ đã tìm cách vực dậy lòng tin trong vai trò quan trọng đằng sau hậu trường mà nó đóng trong việc thiết lập các tiêu chuẩn được những người tiêu dùng sử dụng để mua bán trực tuyến, truy cập các tài khoản ngân hàng, ký số các tài liệu hoặc hồ sơ pháp lý cho việc đóng thuế thu nhập của họ bằng điện tử. Cơ quan này nói nó “có lẽ không cố ý làm suy yếu một tiêu chuẩn mật mã” và có lẽ tiếp tục làm việc với các chuyên gia để tạo ra các tiêu chuẩn mã hóa mạnh nhất có thể cho chính phủ Mỹ và giới công nghiệp nói chung.
Cũng được lưu ý rằng, theo luật liên bang, được yêu cầu tư vấn với NSA về các tiêu chuẩn máy tính.
Trong khi đó, Văn phòng Giám đốc Tình báo Quốc gia nói rằng “Nó rất ngạc nhiên rằng các cơ quan tình báo của chúng ta tìm các cách thức để đối phó với sử dụng mã hóa của các kẻ địch của chúng ta”. Và văn phòng đó đã chỉ trích những tiết lộ gần đây - dựa vào các hồ sơ bí mật mà Edward Snowden của NSA đã tiết lộ - rằng NSA nhiều năm đã sử dụng sức mạnh tính toán, các công cụ pháp lý và vai trò như là cố vấn của NIST để làm xói mòn các công nghệ mã hóa mà bảo vệ những người tiêu dùng nhưng cũng có thể làm cho giám sát số khó khăn hơn cho chính phủ Mỹ.
Các hồ sơ trong lịch sử của NIST đã phát hành theo Luật Tự do Thông tin Mỹ hơn 2 thập kỷ qua đã chỉ ra rằng những căng thẳng về phần mềm an ninh đã nảy sinh vào đầu những năm 1990 giữa NSA và các nhà khoa học khác trong chính phủ, những người từng làm việc cùng nhau kể từ 1989 để phát triển Tiêu chuẩn Ký Số, một cách để ký điện tử các tài liệu và đảm bảo sự xác thực của chúng. Điều đó đã trở thành một tiêu chuẩn xử lý của liên bang vào năm 1994 và từng được cập nhật gần đây nhất vào tháng 7.
“Ngày càng rõ là khó, nếu không nói là không thể, giảng hòa các mối lo và các yêu cầu của NSA, NIST và công chúng nói chung khi sử dụng tiếp cận này”, các chuyên gia của chính phủ, bao gồm cả các đại diện của NSA, đã viết trong bản ghi nhớ hồi tháng 01/1990.
Các chuyên gia dân sự đã lưu ý rằng cuộc tranh luận đã đưa vào “các vấn đề hợp tình hợp lý về an ninh quốc gia” đòi hỏi các quan chức mức cao hơn can thiệp vào. Nhưng những giải thích xa hơn đã không được đưa ra vì các tài liệu - ban đầu được đánh dấu là “BÍ MẬT” - đã bị chính phủ kiểm duyệt nặng nề, một phần về những lo ngại về an ninh quốc gia.
Sau đó, vào năm 1992, Giáo sư Martin Hellman của Đại học Stanford đã viết trong một tạp chí của giới công nghiệp rằng tiêu chuẩn được đề xuất sau đó, cuối cùng được NIST và NSA ôm lấy, đã có những điểm yếu nghiêm trọng như vậy mà nó đã làm xói mòn lòng tin của NIST giữa các chuyên gia mật mã dân sự.
Hơn nữa, NSA đã muốn các chi tiết của các quyết định của mình được giữ bí mật. Thậm chí việc lý giải của NSA cho việc chọn một thuật toán đã được giữ sát sao, được đánh dấu “mật” và chỉ được truy cập tới các quan chức với sự cho phép về an ninh bí mật hàng đầu. Các tài liệu mà AP đã xem lại từng được chuyển qua cho David Sobel, bây giờ là cố vấn cao cấp cho Quỹ Biên giới Điện tử, một nhóm tự do dân sự.
“Đây thực sự là cơ hội đầu tiên công chúng đã học được về vai trò áp đảo mà NSA đã đóng trong thực tế mật mã và an ninh dân sự”, Sobel đã nói cho hãng tin AP. Những phát hiện gần đây của Snowde, ông nói, “thể hiện rằng sự năng động đã không đổi 20 năm qua - và, nếu có bất kỳ điều gì, thì NSA có lẽ đã trở nên áp đảo hơn kể từ khi những tiết lộ gốc ban đầu đã được thực hiện”.
Một mặt, NSA có trách nhiệm vì là người chủ nắm khóa Internet, giúp chính phủ Mỹ nghĩ ra các tiêu chuẩn mà nhiều năm đã bảo vệ thương mại điện tử, các tài liệu nhạy cảm và tính riêng tư của các công dân. Mặt khác, cơ quan này chịu trách nhiệm với việc là người chủ chọn khóa điện tử cho không gian mạng, có khả năng ăn cắp các bí mật được canh phòng cẩn mật nhất thế giới.
“Nếu bạn muốn đặt nó vào các khái niệm được cường điệu hóa, con cáo có trách nhiệm về chuồng con gà”, Ric-hard Aldrich, người nghiên cứu về các chi tiết về tình báo dấu hiệu của cơ quan GCHQ cách mà GCHQ và NSA đã làm việc cùng nhau để làm suy yếu chất lượng của mã hóa được các nhà ngoại giao sử dụng vào những năm 1960-1970 và hơn thế nữa, nói.
“Điều gì một người có thể phát hiện, người khác có thể phát hiện. Cuối cùng, ai đó sẽ chỉ ra nó”, Ben Laurie, một lập trình viên cốt lõi đằng sau OpenSSL, một giao thức giúp bảo vệ một nhóm lớn những người sử dụng Internet trên thế giới khỏi các website giả mạo, các mưu đồ bất lương về thẻ tín dụng và ăn cắp định danh, nói: “Nếu bạn cố tình làm suy yếu thứ đó, thì nó sẽ quay lại cắn bạn”.
Các nhà mật mã học thường chấp nhận rằng NSA chuyên tâm một lượng khổng lồ thời gian và tiền bạc phá các mã của kẻ địch và những người khác. Nhưng các chiến thuật được phô bày trong các tài liệu bí mật mới được tiết lộ - cố tình làm suy yếu hoặc cài đặt các “cửa hậu” ẩn vào trong các giao thức mã hóa được sử dụng rộng rãi - đã làm đau buồn các nhà nghiên cứu hàn lâm và những người đang hành nghề một cách như nhau.
“Chúng tôi vừa ngạc nhiên vừa thất vọng trong cách mà họ đang làm với nó”, Matthew Green, một giáo sư về mật mã ở Đại học Johns Hopkins, nói.
Nhiều chuyên gia mật mã đang tạo thành nhóm cho con đường phía trước - xé rách giữa nhu cầu tìm ra các cửa hậu mà NSA có lẽ đã ẩn dấu trong thập kỷ qua và sự khó khăn lạ thường của việc cập nhật một hạ tầng an ninh được nhúng sâu vào tận cội rễ của Internet.
“Chúng ta bây giờ đối mặt với công việc thu dọn đống lộn xộn đó”, Green đã viết trong một bài trên blog sau những tiết lộ của Snowden. “Câu hỏi đối với tôi - như một người Mỹ và như ai đó quan tâm về tính toàn vẹn của ngôn luận - là làm thế nào chúng ta khôi phục lại lòng tin vào công nghệ của chúng ta”.
Years ago, back when computer users were dialing up the Internet, civilian government scientists already were expressing concerns about the National Security Agency's role in developing global communication standards, according to documents reviewed by The Associated Press. The records mirror new disclosures, based on classified files 24 years later, that the NSA sought to deliberately weaken Internet encryption in its effort to gather and analyze digital intelligence.
This week, the government's National Institute of Standards and Technology sought to shore up confidence in the important behind-the-scenes role it plays in setting standards that are used by consumers to make purchases online, access their bank accounts, digitally sign legal documents or file their income taxes electronically. The agency said it "would not deliberately weaken a cryptographic standard" and would continue to work with experts "to cre-ate the strongest possible encryption standards for the U.S. government and industry at large."
It also noted that, under federal law, it was required to consult with the NSA on its computer standards.
Meanwhile, the Office of the Director of National Intelligence said that "it should hardly be surprising that our intelligence agencies seek ways to counteract our adversaries' use of encryption." And that office criticized recent disclosures — based on classified records revealed by NSA leaker Edward Snowden — that the NSA for years has used computing power, legal instruments and its role as adviser to NIST to undermine encryption technologies that protect consumers but also could make digital surveillance more difficult for the U.S. government.
Historical NIST records released under the U.S. Freedom of Information Act more than two decades ago show that tensions over security software arose in the early 1990s between the NSA and other scientists in the government who had been working together since 1989 to develop the Digital Signature Standard, a way to electronically sign documents and guarantee their authenticity. That became a federal processing standard by 1994 and was most recently up-dated in July.
"It's increasingly evident that it is difficult, if not impossible, to reconcile the concerns and requirements of NSA, NIST and the general public using this approach," the government experts, who included NSA representatives, wrote in a January 1990 memorandum.
The civilian experts noted that the debate included unspecified "technical and national security equity issues" requiring higher-level officials to intervene. But further explanations weren't provided because the documents — initially marked "SECRET" — were heavily censored by the government, partly over national security concerns.
Then, in 1992, Stanford University Professor Martin Hellman wrote in an industry journal that the then-proposed standard, eventually embraced by NIST and the NSA, had such serious weaknesses that it undermined NIST's credibility among civilian cryptography experts.
Additionally, the NSA wanted details of its decisions kept secret. Even the NSA's reasoning for se-lecting an algorithm was closely held, stamped "classified" and accessible only to officials with a top secret security clearance. The documents the AP reviewed had been turned over to David Sobel, now senior counsel to the Electronic Frontier Foundation, a civil liberties group.
"This was really the first opportunity the public had to learn of the dominant role that the NSA played in the realm of civilian cryptography and security," Sobel told the AP. The recent disclosures by Snowden, he said, "demonstrate that dynamic has not changed over the past 20 years — and, if anything, NSA might have become more dominant since those original disclosures were made."
On one hand, the NSA is responsible for being the Internet's chief digital locksmith, helping the U.S. government devise standards that have for years protected e-commerce, sensitive documents and citizens' privacy. On the other, the agency is c-harged with being cyberspace's chief electronic lock-picker, capable of stealing the world's most closely guarded secrets.
"If you wanted to put it in exaggerated terms, the fox is in c-harge of henhouse," said Ric-hard Aldrich, whose study of Britain's signals intelligence agency GCHQ details how it and the NSA worked together to weaken the quality of the encryption used by international diplomats in the 1960s, '70s and beyond.
But even if the NSA's campaign to loosen the world's digital locks has a long pedigree, experts say the fact that encryption has moved out of embassy cypher rooms and into the mainstream means there's much more at stake. Cryptographers say that the weaknesses left by the NSA might one day be used by America's rivals in Moscow or Beijing — or even savvy cybercriminals, if the loopholes aren't being used already.
"What one person can discover, another person can discover. In the end, somebody will figure it out," said Ben Laurie, a core developer behind OpenSSL, a protocol that helps protect a big chunk of the world's Internet users f-rom fraudulent websites, credit-card scams and identity theft. "If you deliberately weaken stuff, it will come back to bite you."
Cryptographers generally accept that the NSA devotes an enormous amount of time and money cracking enemies' and others' codes. But the tactics exposed in the newly revealed classified documents — deliberately weakening or installing hidden "back doors" in widely-used encryption protocols — have distressed academics and practitioners alike.
"We're both surprised and disappointed in the way that they're doing it," said Matthew Green, a professor of cryptography at Johns Hopkins University.
Many cryptography experts are groping for a way forward — torn between the need to ferret out back doors the NSA may have hidden over the past decade and the monumental difficulty of updating a security infrastructure deeply embedded in the very fabric of the Internet.
"We're now faced with the job of cleaning up the mess," Green wrote in a blog post after Snowden's revelations. "The question to me — as an American and as someone who cares about the integrity of speech — is how we restore faith in our technology."
Dịch: Lê Trung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...