Apple lưu trữ mã khóa nhạy cảm ở Trung Quốc

Chủ Nhật, 18/03/2018, 13:11

Khi Apple Inc. bắt đầu chuyển các tài khoản iCloud của khách hàng Trung Quốc sang các máy chủ của đối tác địa phương vào đầu tháng này, công ty cũng sẽ có một bước đi chưa từng có khiến một số chuyên gia về bảo mật lo lắng: Lưu trữ các khoá mã hóa ở Trung Quốc.

Các khóa là những chuỗi phức tạp các ký tự ngẫu nhiên có thể mở khóa ảnh, ghi chú và tin nhắn mà người dùng lưu trữ trong iCloud. Cho đến nay, Apple chỉ lưu trữ khóa mã hóa ở Mỹ cho tất cả người dùng toàn cầu, phù hợp với sự chú trọng tính riêng tư và an ninh của khách hàng.

Không thể nói không

Trong khi Apple cho biết họ sẽ đảm bảo các khóa được bảo vệ ở Trung Quốc, các chuyên gia bảo mật và nhân viên an ninh của Apple lo ngại rằng việc di chuyển các khóa mã hóa vào Trung Quốc khiến chúng dễ bị thu giữ bởi Chính phủ Bắc Kinh.

Theo Matthew Green, giáo sư mật mã của Đại học Johns Hopkins: "Một khi các khóa được lưu giữ ở đó, họ không nhất thiết phải rút ra và lấy những chìa khóa này vì máy chủ có thể bị Chính phủ Trung Quốc thu giữ".

Apple cho biết họ đang chuyển khóa mã hóa sang Trung Quốc như là một phần trong nỗ lực tuân thủ luật của Trung Quốc về lưu trữ dữ liệu được ban hành vào năm ngoái. Và cho biết sẽ lưu trữ các khóa ở một vị trí an toàn, giữ quyền kiểm soát chúng và không tạo ra bất kỳ “cửa sau” nào để truy cập dữ liệu khách hàng.

Một phát ngôn viên của Apple tuyên bố Apple không ủng hộ luật mới, nhưng đã chọn tuân thủ bởi vì "cảm thấy rằng việc ngừng cung cấp dịch vụ iCloud sẽ dẫn đến trải nghiệm người dùng kém và ít an ninh dữ liệu và bảo mật hơn cho khách hàng Trung Quốc".

Động thái của Apple phản ánh sự lựa chọn khó khăn mà tất cả các công ty nước ngoài phải đối mặt khi muốn tiếp tục cung cấp các dịch vụ đám mây tại Trung Quốc kể từ khi nước này ra luật mới. Các công ty khác cũng đã chọn tuân thủ, bao gồm Microsoft Corp. cho các dịch vụ Azure và Office 365, được điều hành bởi 21Vianet Group, Inc; và Amazon.com Inc., có thỏa thuận điều hành đám mây với Công ty Công nghệ Sinnet của Bắc Kinh và Công ty Công nghệ Dữ liệu đám mây Ningxia Western.

Amazon Web Services và Microsoft đã từ chối cho biết chìa khóa mã hóa sẽ được lưu trữ cho các doanh nghiệp sử dụng các công cụ bảo mật của họ ở đâu.

Các chuyên gia về bảo mật đặc biệt quan tâm đến Apple vì hãng này có nền tảng khách hàng khổng lồ và truyền thống bảo vệ sự riêng tư của khách hàng. Năm 2016, Apple đã từ chối yêu cầu của Chính phủ Mỹ để giúp mở khóa iPhone của tay súng trong cuộc tấn công khủng bố San Bernardino năm 2015.

"Trong nhiều năm, chúng tôi đã sử dụng mã hóa để bảo vệ dữ liệu cá nhân của khách hàng bởi vì chúng tôi tin rằng đó là cách duy nhất để giữ an toàn thông tin của họ", ông Tim Cook, Giám đốc điều hành của Apple viết trong một lá thư cho khách hàng giải thích quyết định của họ.

Apple cho biết họ sẽ chỉ cung cấp dữ liệu để đáp ứng các yêu cầu của chính quyền Trung Quốc mà công ty cho là hợp pháp và cho biết sẽ không đáp ứng yêu cầu số lượng lớn. Trong nửa đầu năm 2017, Apple đã nhận được 1.273 yêu cầu dữ liệu từ các nhà chức trách Trung Quốc bao gồm hơn 10.000 thiết bị, theo báo cáo minh bạch của công ty. Apple cho biết họ cung cấp dữ liệu chỉ 14% trong số những yêu cầu đó.

Thị trường quan trọng

Trung Quốc là thị trường quan trọng thứ hai của Apple sau Mỹ, với 44,76 tỷ USD doanh thu trong năm tài chính vừa qua, chiếm 1/5 tổng doanh thu toàn cầu. Một số bước đi trước đó của Apple để tuân thủ luật pháp Trung Quốc đã gây tranh cãi, trong đó có việc gỡ ứng dụng cho các mạng riêng ảo có thể phá vỡ các khối chính phủ trên các trang web. Apple đã nói sẽ tuân thủ luật bất cứ nơi nào công ty hoạt động và hy vọng rằng những hạn chế về truyền thông ở Trung Quốc cuối cùng sẽ được nới lỏng.

Luật sư Jingzhou Tao tại Dechert LLP, cho biết những người dùng iPhone ở Trung Quốc đang thất vọng vì những thay đổi của Apple đối với bộ lưu trữ dữ liệu iCloud, vì sự bảo vệ riêng tư ở Trung Quốc rất yếu. Tuy nhiên, ông nói người dùng ở đó "vẫn cho rằng iPhone tốt hơn so với một số điện thoại của Trung Quốc về thực hiện chính sách bảo mật và bảo vệ riêng tư".

Đối tác đám mây của Apple ở Trung Quốc là Công ty Công nghiệp Dữ liệu đám mây Quý Châu (Guizhou-Cloud), do chính quyền tỉnh Quý Châu kiểm soát. Apple dự định chuyển trách nhiệm vận hành đối với tất cả dữ liệu iCloud cho khách hàng ở Trung Quốc đến Guizhou-Cloud vào ngày 28-2. Dữ liệu khách hàng sẽ di chuyển đến các máy chủ có trụ sở tại Trung Quốc trong vòng 2 năm tới. Công ty từ chối cho biết khi nào các khoá mã hóa sẽ chuyển sang Trung Quốc.

Apple đã bắt đầu thông báo cho người dùng iCloud ở Trung Quốc hồi tháng trước rằng Guizhou-Cloud sẽ chịu trách nhiệm lưu trữ dữ liệu của họ.

Các điều khoản và điều kiện được cập nhật cho người dùng Trung Quốc nói rằng Apple và Guizhou-Cloud "sẽ có quyền truy cập vào tất cả dữ liệu" và "quyền chia sẻ, trao đổi và tiết lộ tất cả dữ liệu người dùng, bao gồm nội dung với nhau theo luật hiện hành".

Giáo sư Khoa học chính trị Ronald Deibert của Đại học Toronto - người chuyên nghiên cứu hoạt động tin tặc của Chính phủ Trung Quốc, cho biết: "Vì các hoạt động của Apple tại Trung Quốc sẽ do một công ty Trung Quốc quản lý, có vẻ như chính phủ sẽ có khả năng có quyền truy cập vào dữ liệu của Apple thông qua công ty địa phương".

Vẫn có lối thoát?

Các phóng viên không biên giới đã kêu gọi các nhà báo ở Trung Quốc thay đổi khu vực địa lý hoặc đóng tài khoản của họ trước ngày 28-2, nói rằng chính quyền Trung Quốc có thể có được một cửa sau để truy cập dữ liệu người sử dụng ngay cả khi Apple cho biết nó sẽ không cung cấp.

Apple cho biết họ đã tư vấn cho khách hàng Trung Quốc rằng họ có thể chọn không tham gia dịch vụ iCloud để tránh lưu trữ dữ liệu ở Trung Quốc. Dữ liệu cho người dùng ở Trung Quốc nhưng có các thiết lập được cấu hình cho một quốc gia khác, hoặc Hồng Kông hay Ma Cao, sẽ không chạy trên các máy chủ của Trung Quốc và Apple nói rằng họ sẽ không chuyển dữ liệu của ai cho đến khi họ chấp nhận các điều khoản dịch vụ mới của Trung Quốc đại lục.

Ông Green và những người khác nói rằng Apple nên cung cấp thêm chi tiết kỹ thuật về các bước của mình để bảo mật các mã khóa và dữ liệu sử dụng internet có thể có trên Quizhou-Cloud.

Joe Gross, một chuyên gia về xây dựng trung tâm dữ liệu, cho biết thông tin sử dụng này, được gọi là siêu dữ liệu, có thể cho các nhà chức trách Trung Quốc nhận dạng người dùng tải xuống một cuốn sách hoặc các tệp tin khác mà chính phủ quan tâm.

"Bạn có thể biết liệu mọi người có đang tải lên hay tải xuống những thứ gì. Bạn có thể biết nơi họ đang ở. Bạn có thể biết liệu họ có chia sẻ mọi thứ không", ông Gross nói.

Apple cho biết cần phải có một yêu cầu pháp lý để có được siêu dữ liệu.

Trong nửa đầu năm 2017, Apple đã nhận được 1.273 yêu cầu dữ liệu từ các nhà chức trách Trung Quốc bao gồm hơn 10.000 thiết bị, theo báo cáo minh bạch của công ty. Apple cho biết họ cung cấp dữ liệu chỉ 14% trong số những yêu cầu đó.

Vinh Trang