Các quốc gia siết chặt quản lý mật mã dân sự

14:01 | 09/09/2015

Hiện nay, khi các mối đe dọa an toàn thông tin trở nên thường trực, nhiều quốc gia đang đưa ra những quy định nghiêm ngặt để quản lý mật mã sử dụng cho khu vực dân sự và nhiều quy định ở phạm vi quốc tế cũng được xây dựng theo xu hướng đó.

Đầu năm 2015, Thủ tướng Anh đã đề xuất về việc cấm sử dụng một số dạng sản phẩm mã hóa, điều này có thể dẫn đến việc cấm các ứng dụng nhắn tin phổ biến nhất như iMessage và WhatsAppp, do vậy đề xuất này đã vấp phải sự chỉ trích gắt gao của dư luận. Các chuyên gia cho rằng, việc ngăn cản thực sự là “cơn ác mộng” với an ninh mạng và sẽ gây ảnh hưởng lớn về kinh tế đối với ngành công nghiệp công nghệ thông tin của Anh. 

Cùng thời gian đó, Chính phủ Mỹ cũng đề xuất bổ sung nhiều hình phạt vào một đạo luật đang gây tranh cãi - Luật về Gian lận và Lạm dụng máy tính (Computer Fraud and Abuse Act). Chính đạo luật này đã được sử dụng để truy tố Aaron Swartz - nhà đồng sáng lập Reddit Cofounder, người đã bị truy tố vì đã lấy bất hợp phát các tạp chí học thuật (bản điện tử) của từ Viện Công nghệ Massachusetts (MIT), mặc dù sau này MIT đã quyết định phát hành miễn phí các tài liệu đó. Các đề xuất của chính phủ Mỹ đã hình sự hóa những hoạt động rất thông dụng trên Internet, chẳng hạn như việc chia sẻ mật khẩu HBO GO có thể dẫn đến ngồi tù 10 năm, dù các quy định này được đưa ra để chống lại tin tặc nước ngoài - đối tượng mà các cơ quan thi hành luật Mỹ rất khó can thiệp tới.

Trường hợp khác có liên quan tới đạo luật Kiểm soát thương mại Quốc phòng của Australia (Defence Trade CUts Australia - DTCA) có hiệu lực từ ngày 17/5/2015. DTCA dựa trên Quy định về Kiểm soát trao đổi vũ khí quốc tế của Mỹ (International Traffic in Arms Regulations - ITAR). Mặc dù vậy, giữa ITAR và DTCA có sự khác biệt khá quan trọng: ITAR có điều khoản miễn trừ (mục 120.11) liên quan đến các hoạt động nghiên cứu học thuật và các công nghệ sử dụng công cộng trong khi DTCA thì không có. Khi thông qua vào năm 2012, DTCA gặp rất ít ý kiến phản đối hay đề nghị chỉnh sửa của Quốc hội Australia. Đến gần đây, người ta mới phát hiện ra rằng, Đạo luật này gây nhiều cản trở cho các nhà nghiên cứu học thuật của Australia. Theo Tạp chí về quốc phòng Defence Report, với quy định chặt chẽ này “một bức thư điện tử gửi tới đồng nghiệp trong giới học thuật có thể khiến bạn ngồi tù 10 năm”.
Không được đặc cách đối xử như ở Anh và Mỹ, các nhà nghiên cứu thuộc các trường đại học ở Australia sẽ phải xin phép Bộ trưởng Bộ Quốc phòng trước khi trao đổi một đề tài nghiên cứu mới trong lĩnh vực mật mã với đồng nghiệp nước ngoài hay gửi đăng trên các tạp chí nghiên cứu. Những khó khắn trong thủ tục hành chính, thời gian xin phép và khả năng được cấp phép sẽ khiến phần đông các sinh viên và các giáo sư từ bỏ các đề tài nghiên cứu này.

Mặc dù mật mã dân sự không bị đưa vào Danh sách Kiểm soát Sản phẩm chiến lược và quốc phòng của Australia (Defence and Strategic Goods List) - một tài liệu dài hơn 350 trang mô tả những loại sản phẩm bị DTCA kiểm soát chặt chẽ, nhưng các nhà nghiên cứu Australia được cảnh báo về việc nghiên cứu mật mã có độ dài khóa hơn 512 bit, các hệ thống “được thiết kế hoặc chỉnh sửa để thực hiện các chức năng phân tích mật mã” hay “được thiết kế hoặc chỉnh sửa để sử dụng mã hóa lượng tử” (trong một giải thích kèm theo, điều này bao gồm cả phân phối khóa lượng tử). Kể từ tháng 5/2015, các phòng thí nghiệm lượng tử trong các trường đại học Australia đã phải cân nhắc rất kỹ trước khi hợp tác với các đối tác nước ngoài. Mặc dù các công nghệ sử dụng công cộng (public domain) được miễn trừ, nhưng người bị đưa ra tòa sẽ phải chứng minh các công nghệ mình trao đổi thuộc loại sử dụng công cộng.

DTCA kiểm soát nhiều loại công nghệ khác nhau, đặc biệt là những công nghệ chiến lược hay liên quan đến quốc phòng. Tuy nhiên, do các quy định quá chặt chẽ, nên các trường đại học tại Australia đang phản đối mạnh mẽ đạo luật này. Họ cho rằng DTCA sẽ ảnh hưởng nhiều đến hoạt động nghiên cứu, giảng dạy trong lĩnh vực mật mã.

Mức án 10 năm tù mà các nhà nghiên cứu Australia có thể phải chịu vẫn còn thấp so với mức án 20 năm tù mà các nhà nghiên cứu Mỹ đang phải đối mặt, nếu vô tình vi phạm quy định về xuất khẩu vũ khí. Từ năm 1996, Thỏa thuận Wassenaar (mang tên một thành phố thuộc Hà Lan) đã được ký kết bởi 41 quốc gia, bao gồm: Mỹ, Nga và các nước châu Âu về kiểm soát xuất khẩu vũ khí. Châu Phi, Trung Đông và Trung Quốc không tham gia thỏa thuận này. Mục tiêu chính của Thỏa thuận là kiểm soát việc xuất khẩu vũ khí giết người hàng loạt, ngăn chặn việc làm giàu uranium, phát triển vũ khí hóa học và một số loại vũ khí thông thường. Thỏa thuận Wassenaar coi mật mã như một loại vũ khí cần được kiểm soát. Điều này khiến cho việc xuất khẩu nhiều sản phẩm CNTT trở nên rất khó khăn (vì mã hóa được đưa vào hầu hết các loại sản phẩm CNTT).

Năm 2014, thỏa thuận Wassenaar bổ sung vũ khí mạng vào danh sách kiểm soát. Ngày 20/5/2015, Ủy ban Công nghiệp và An ninh Mỹ (United States Bureau of Industry and Security- BIS) đã đề xuất các quy định để tuân thủ sửa đổi của thỏa thuận Wassenaar. Các đề xuất đó vượt xa những quy tắc đơn giản trong thỏa thuận Wassenaar và ảnh hưởng đến đa số các sản phẩm và các nghiên cứu về an toàn mạng. Các quy định này nếu được thông qua sẽ kiểm soát tất cả các phương tiện có thể dùng để phát triển vũ khí trên mạng và hạn chế xuất khẩu cả những sản phẩm đơn giản như trình soạn thảo hay trình biên dịch.

Hơn thế nữa, các quy định đó có thể cho phép cơ quan thực thi pháp luật Mỹ áp dụng luật pháp một cách chủ quan, gây hậu quả cho những người không định xuất khẩu bất cứ thứ gì. Một lỗi nhỏ cũng có thể khiến một nhà nghiên cứu phải ngồi tù 20 năm và nộp phạt 1 triệu đô la Mỹ.

Thỏa thuận Wassenaar chia vũ khí mạng thành 3 nhóm khác nhau, trong đó có cả nhóm các công cụ để thâm nhập (bao gồm cả các lỗ hổng zero-day). Việc nghiên cứu và phát hiện các lỗ hổng zero-day đã giúp cho hệ thống máy tính và Internet ngày càng an toàn hơn. Tuy nhiên, các nhà nghiên cứu Mỹ có thể bán những lỗ hổng zero-day một cách hợp pháp cho một số chính phủ và chúng có thể được dùng để tấn công những máy tính ở quốc gia khác. Và thỏa thuận Wassenaar muốn khắc phục lỗ hổng hiển nhiên này. Một trong những quy định gây tranh cãi khác liên quan đến giấy phép xuất khẩu là các doanh nghiệp/cá nhân có thể phải chia sẻ thông tin về lỗ hổng zero-day mà họ tìm thấy với Cơ quan An ninh quốc gia Mỹ (NSA) để nhận được giấy phép.

Thỏa thuận Wassenaar công khai miễn trừ cho mã nguồn mở. Các nhà nghiên cứu có thể công bố mã nguồn trên GitHub mà không gặp rắc rối với pháp luật, mặc dù mã nguồn đó có thể bị lợi dụng để vi phạm pháp luật. Tuy nhiên, trong một số tình huống, điều luật này sẽ không được áp dụng. Đó là khi một nhà nghiên cứu phát hiện lỗ hổng zero-day, viết công cụ chứng minh, trình bày phát hiện của mình tại một Hội thảo. Khi nhà nghiên cứu chưa công bố mã nguồn (tức là vẫn giữ nó ở trong máy tính riêng của mình) thì nó chưa phải là nguồn mở. Vì thế, nếu nhà nghiên cứu đó trình bày tại hội thảo ngoài nước Mỹ mà chưa được cho phép thì ngay khi ra khỏi biên giới, người này đã vi phạm Quy định về Hạn chế xuất khẩu vũ khí và có thể bị kết án tới 20 năm tù.

Những trường hợp đầu tiên

Theo những quy định của Thỏa thuận Wassenaar, Trường Đại học Northumbria (Anh) đã buộc sinh viên phải xóa một số đoạn mô tả về các cách lợi dụng lỗ hổng bảo mật trong một báo cáo khóa luận tốt nghiệp, vì cho rằng “sẽ quá rủi ro cho Trường nếu những lỗ hổng đó được sử dụng để tấn công hệ thống mạng của doanh nghiệp”. Vì thế, sinh viên Willcox của trường Northumbria đã không được phép công bố cách thức vượt qua những biện pháp bảo vệ của công cụ EMET (bộ công cụ giúp ngăn chặn sự xâm nhập của tin tặc).

Việc chuyển phát hiện đó cho các nhà nghiên cứu hay các công ty có trách nhiệm cũng đã được xem xét, tuy nhiên Thỏa thuận Wassenaar khiến điều đó trở thành một lựa chọn không hợp pháp. Willcox cũng cho biết: “Cách lợi dụng lỗ hổng được sửa đổi cũng thuộc đối tượng kiểm soát hạn chế xuất khẩu. Vì nó không thể được công bố rộng rãi, hay thậm chí là tiết lộ cho các nhà nghiên cứu bên ngoài nước Anh nếu không có giấy phép xuất khẩu. Dù các nhà nghiên cứu ở các nơi khác trên thế giới hiểu khá rõ về EMET và có thể gửi phản hồi, cung cấp thêm thông tin về các lỗ hổng”. Để tránh không vi phạm bất kỳ điều luật nào của Anh, người ta đã quyết định rằng, biện pháp tốt nhất là giữ kín thông tin về các lỗ hổng cho đến khi có được các trợ giúp pháp lý cụ thể hơn.

Hiện nay, khi các mối đe dọa an toàn thông tin trở nên thường trực, nhiều quốc gia đang đưa ra những quy định nghiêm ngặt để quản lý mật mã sử dụng cho khu vực dân sự và nhiều quy định ở phạm vi quốc tế cũng được xây dựng theo xu hướng đó.