Microsoft đã cung cấp khóa khôi phục BitLocker cho FBI khi nhận được lệnh tòa hợp lệ, làm dấy lên lo ngại rằng dữ liệu trên Windows có thể bị giải mã nếu người dùng lưu khóa trên máy chủ của hãng.
Vụ việc xuất phát từ điều tra tại Guam, nơi FBI yêu cầu Microsoft hỗ trợ mở khóa laptop của các nghi phạm. Từ đó, tranh luận về quyền riêng tư, lưu trữ khóa mã hóa trên đám mây và “cửa hậu” mã hóa lại bùng lên ở nhiều quốc gia.
- Microsoft xác nhận có thể cung cấp khóa khôi phục BitLocker nếu có lệnh tòa hợp lệ.
- Lưu khóa khôi phục trên máy chủ giúp tiện quản trị nhưng tăng rủi ro bị cưỡng chế cung cấp.
- Nhiều chính phủ tiếp tục gây áp lực đòi “cửa hậu” mã hóa, tạo tranh cãi về an toàn và quyền riêng tư.
Microsoft đã cung cấp khóa khôi phục BitLocker cho FBI theo lệnh tòa trong vụ Guam
Microsoft bàn giao khóa khôi phục BitLocker cho FBI sau khi nhận được trát/lệnh hợp lệ, nhằm giải mã dữ liệu trên ba laptop liên quan một vụ điều tra gian lận tại Guam.
Các điều tra viên liên bang tại Guam nghi ngờ những laptop này chứa thông tin chứng minh nhóm phụ trách chương trình hỗ trợ thất nghiệp thời COVID-19 của hòn đảo có liên quan đến kế hoạch biển thủ tiền.
Do dữ liệu được bảo vệ bằng BitLocker, FBI cần khóa khôi phục để truy cập nội dung. BitLocker là tính năng mã hóa toàn bộ ổ đĩa, thường được kích hoạt tự động trên nhiều máy tính Windows hiện đại, khiến dữ liệu bị “xáo trộn” và chỉ có thể đọc khi có khóa phù hợp.
Microsoft cho biết đây là lần đầu tiên công chúng biết tới việc hãng cung cấp khóa mã hóa cho cơ quan thực thi pháp luật trong bối cảnh như vụ Guam. Tuy vậy, công ty cũng xác nhận họ sẽ cung cấp khóa khôi phục BitLocker khi có yêu cầu dựa trên lệnh tòa hợp pháp.
Lưu khóa BitLocker trên máy chủ giúp tiện lợi nhưng làm tăng rủi ro bị yêu cầu cung cấp
Việc lưu khóa khôi phục BitLocker trên máy chủ của Microsoft giúp người dùng dễ khôi phục dữ liệu, nhưng cũng khiến khóa có thể bị buộc cung cấp theo trát tòa hoặc yêu cầu hợp pháp từ cơ quan chức năng.
Người dùng có thể tự giữ khóa trên thiết bị cá nhân, nhưng Microsoft khuyến nghị khách hàng BitLocker lưu khóa trên máy chủ của hãng để thuận tiện quản trị. Cách làm này hỗ trợ truy cập dữ liệu nếu người dùng quên mật khẩu hoặc bị khóa thiết bị sau nhiều lần đăng nhập sai.
Đổi lại, việc khóa tồn tại trên hệ thống từ xa có thể khiến người dùng đối mặt rủi ro bị kiện tụng hoặc bị cơ quan thực thi pháp luật yêu cầu cung cấp. Mấu chốt tranh cãi nằm ở chỗ: khi bên thứ ba có khả năng nắm giữ khóa, lớp bảo vệ phụ thuộc không chỉ vào toán học mà còn vào quy trình pháp lý và quản trị.
“Dù khôi phục khóa mang lại sự tiện lợi, nó cũng đi kèm rủi ro bị truy cập ngoài ý muốn, vì vậy Microsoft tin rằng khách hàng ở vị trí tốt nhất để quyết định… cách họ quản lý khóa của mình.”
– Charles Chamberlayne, người phát ngôn Microsoft
Microsoft nói nhận khoảng 20 yêu cầu khóa BitLocker mỗi năm
Theo người phát ngôn Microsoft, công ty nhận khoảng 20 yêu cầu về khóa BitLocker mỗi năm; nhiều trường hợp Microsoft không thể hỗ trợ vì khách hàng không lưu khóa trên đám mây.
Thông tin này cho thấy không phải mọi yêu cầu đều dẫn tới việc cung cấp khóa, vì khả năng đáp ứng phụ thuộc vào việc khóa có được lưu trên hệ thống của Microsoft hay không. Nếu người dùng không tải khóa lên, Microsoft có thể không nắm giữ dữ liệu cần thiết để khôi phục.
Lo ngại quyền riêng tư bùng lên vì khả năng “giao nộp bí mật” khóa giải mã
Vụ việc làm dấy lên lo ngại rằng các công ty công nghệ có thể chuyển giao khóa mã hóa của người dùng một cách kín đáo khi có yêu cầu hợp pháp, khiến phạm vi dữ liệu bị truy cập có thể rất rộng.
Trong phát biểu với Forbes, Thượng nghị sĩ Ron Wyden chỉ trích việc các công ty thiết kế sản phẩm theo cách cho phép họ bí mật bàn giao khóa mã hóa của người dùng. Ông cảnh báo điều này có thể làm tăng rủi ro cho an toàn cá nhân và tạo quyền truy cập vào toàn bộ “đời sống số” của người dùng.
Bài toán không chỉ giới hạn ở Mỹ. Cố vấn giám sát và an ninh mạng của ACLU, Jennifer Granick, lưu ý rằng các quốc gia có hồ sơ nhân quyền đáng lo ngại cũng yêu cầu dữ liệu từ các “ông lớn” như Microsoft; vì thế, lưu khóa giải mã từ xa có thể đặc biệt rủi ro.
Một ý kiến trên Hacker News cho rằng vấn đề nằm ở chỗ Microsoft đã có sẵn những khóa đó: nếu khóa có thể truy cập và dùng được khi cần, thì mã hóa mang lại giá trị gì? Người này cũng liên hệ tới các dịch vụ khác như iCloud Email để minh họa lo ngại tương tự.
Người tham gia này lập luận thêm rằng luật lệ do con người đặt ra không đảm bảo quyền riêng tư vì có thể bị lạm dụng hoặc thay đổi; theo họ, nền tảng của quyền riêng tư là toán học, vốn không phụ thuộc quy định.
Xem thêm các quan điểm được nhắc đến trong bài tại bài đăng trên Forbes và thảo luận cộng đồng tại chuỗi Hacker News.
Nhiều chính phủ tiếp tục thúc ép doanh nghiệp mở “cửa hậu” mã hóa
Các cơ quan thực thi pháp luật thường yêu cầu khóa mã hóa hoặc “cửa hậu” để truy cập dữ liệu, và Apple là một ví dụ điển hình từng nhiều lần bị gây áp lực tương tự.
Bối cảnh quốc tế cho thấy tranh chấp không mới: Apple từng bị yêu cầu cung cấp quyền truy cập dữ liệu đã mã hóa trên đám mây hoặc trên thiết bị. Tháng 10 năm trước, chính phủ Anh tiếp tục căng thẳng với Apple về quyền truy cập dữ liệu khách hàng, bao gồm yêu cầu một “cửa hậu” vào máy chủ lưu trữ đám mây, nhắm tới người dùng tại Anh.
Năm 2016, trong vụ đối đầu được đưa tin rộng rãi, Apple phản đối lệnh của FBI yêu cầu hỗ trợ mở khóa điện thoại của các đối tượng khủng bố trong vụ xả súng khiến 14 người thiệt mạng ở San Bernardino, California. Cuối cùng, FBI thuê một nhà thầu để xâm nhập iPhone.
Tại Mỹ, cũng có những động thái lập pháp liên quan: một báo cáo riêng cho biết các nhà lập pháp Florida đã nhất trí thông qua dự thảo luật nhằm buộc các công ty mạng xã hội cung cấp cho lực lượng thực thi pháp luật quyền truy cập tài khoản thông qua “cửa hậu” mã hóa.
Những câu hỏi thường gặp
BitLocker là gì và vì sao cần khóa khôi phục?
BitLocker là tính năng mã hóa toàn bộ ổ đĩa trên Windows. Khóa khôi phục dùng để giải mã dữ liệu khi người dùng quên mật khẩu, thiết bị bị khóa sau nhiều lần đăng nhập sai, hoặc khi cần khôi phục truy cập trong các tình huống đặc biệt.
Vì sao Microsoft có thể cung cấp khóa BitLocker cho FBI?
Microsoft cho biết họ có thể cung cấp khóa khôi phục BitLocker khi nhận được lệnh tòa hợp lệ. Điều này chỉ khả thi nếu khóa được lưu trên hệ thống của Microsoft (ví dụ người dùng lưu trong đám mây theo khuyến nghị quản trị).
Lưu khóa BitLocker trên đám mây có rủi ro gì?
Lưu khóa trên máy chủ giúp tiện khôi phục và quản trị, nhưng có thể khiến khóa bị yêu cầu cung cấp theo trát tòa hoặc yêu cầu hợp pháp. Nếu khóa nằm ngoài tầm kiểm soát trực tiếp của người dùng, rủi ro truy cập ngoài ý muốn sẽ tăng.
Vì sao tranh cãi “cửa hậu” mã hóa lại liên quan tới quyền riêng tư?
“Cửa hậu” hoặc cơ chế truy cập đặc biệt có thể mở rộng khả năng giải mã cho cơ quan chức năng, nhưng cũng tạo thêm điểm yếu nếu bị lạm dụng, bị tấn công, hoặc bị yêu cầu ở những quốc gia có tiêu chuẩn nhân quyền và pháp quyền không đồng đều.