TrueCrypt - An toàn nhờ sự đơn giản

1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)
(PCWorldVN) Mặc dù đã không còn phát triển phiên bản mới nhưng chương trình mã hóa dữ liệu cá nhân TrueCrypt hiện vẫn được đánh giá là an toàn bởi chính sự đơn giản của nó. TrueCrypt có thể là liều thuốc độc của thời đại số. Đây là một phần mềm bảo mật miễn phí. Không ai biết người tạo ra nó, và người tạo ra nó về cơ bản là đã ngưng phát triển nó kể từ năm 2012, có nghĩa là mỗi khi chúng ta nâng cấp một hệ điều hành thì chương trình này lại càng thành "món đồ cổ". Năm ngoái, những nhà phát triển bí mật của TrueCrypt đã gửi một thông điệp đến người dùng rằng sử dụng TrueCrypt không còn an toàn nữa. Nhà mã hoá Bruce Schneier viết trên blog cá nhân của ông là ông đã không còn dùng TrueCrypt. Còn trên các diễn đàn bảo mật thì những mẩu tin đề nghị người dùng nên quên TrueCrypt đi.

Nhiều doanh nghiệp lớn vẫn dùng TrueCript.

Họ đều sai. Bởi vì TrueCrypt chỉ là chương trình mã hoá đĩa cứng, và được chứng minh rằng bản thân nó không phải là ứng dụng backdoor gì cả. Điều này có nghĩa là TrueCrypt không phải là ứng dụng mà giám đốc FBI, ông James Comey, hồi tháng 7 rồi đã chỉ trích trước nghị viện Mỹ rằng đây là phần mềm backdoor. Mã hoá dữ liệu trở thành yếu tố gì đó quan trọng hơn hết khi trong thời gian qua nhiều vụ rò rỉ dữ liệu và mất cắp dữ liệu xảy ra. Các chính phủ muốn theo dõi mọi người, hiển nhiên có cả tin tặc, mà có vẻ như hacker xuất hiện ở mọi nơi. Chúng ta cần giữ cho dữ liệu của mình an toàn, bảo mật bên trong TrueCrypt trước khi có một ứng dụng khác đáng giá hơn, tin cậy hơn thay thế được nó.

General Electric, USDA, Vodafone, Expedia, Dow Jones, Condé Nast, Siemens, Adobe, Comcast, Airbnb, Spotify, Pinterest, FDA, CDC, Pfizer, NASA, Belkin, Dole, Ericsson, Getty Images, Lonely Planet, Nasdaq, Newsweek, Scribd, Sega, Yelp và nhiều công ty khác đều sử dụng Amazon Web Services (AWS) để làm nhiều thứ, như vận hành các hệ thống số và lưu trữ dữ liệu. Và AWS một phần dựa vào TrueCrypt để bảo mật thông tin trong khi truyền dữ liệu vào ra, có thể có cả dữ liệu của bạn trong đó.

Nhà báo Glenn Greenwald cũng dùng TrueCrypt để bảo vệ tài liệu NSA mà Edward Snowden tiết lộ cho ông. Gián điệp, nhà báo, các nhà hoạt động chính trị và cả những tay buôn lậu thuốc cũng sử dụng nó. Và có lẽ bạn cũng có dùng nó nếu bạn có làm việc cho một trong những công ty lớn kể trên.

Cửa hậu mà ta gọi là backdoor luôn ẩn, là cửa ngõ phụ để tuồn dữ liệu vào ra của một phần mềm. Vài backdoor không cần có key (chìa khoá), chỉ cần biết sự tồn tại của nó là có thể dùng được. Một số backdoor khác lại cần một khoá chủ (master key) để mở, mà thường do hacker lấy cắp hoặc do một công ty nào đó sẵn lòng trao cho một chính phủ nào đó để tìm kiếm thông tin. Đặc biệt, các chính phủ thường yêu cầu các nhà phát triển phải tạo backdoor. Nói tóm lại, khó biết được một phần mềm nào đó có backdoor hay không.

Nhưng TrueCrypt không có. Bạn tải phần mềm này về (vẫn còn trên trang của Gibson Research), và nó sẽ tạo một nhà chứa không hề có cửa sổ, không lối vào ra nào ngoài cái mật khẩu chủ để bạn mở cửa trước của cái nhà chứa đó. Bạn định cho nó kích thước, đặt nó vào ổ cứng. Hoặc thậm chí biến toàn bộ ổ cứng thành một nhà chứa TrueCrypt. Sau đó, bạn di chuột lòng vòng những kí tự nhấp nháy như ma trận để tạo khoá. Sau đó, bạn có thể bỏ những dữ liệu quý giá của mình vào đó, an toàn.

Amazon không lý giải tại sao họ vẫn dùng TrueCrypt, và họ cũng không nói gì nhiều đến các hệ thống mã hoá của họ. Ladar Levison, nhà sáng lập dịch vụ mã hoá email Lavabit, cho rằng tại sao doanh nghiệp lại không cần mã hoá email. Snowden từng dùng Lavabit. Và khi FBI yêu cầu khoá email để theo dõi anh, Levison từ chối cung cấp khoá và phải ra hầu toà. Ông đóng dịch vụ mã hoá email trong vài giờ, sau đó tiếp tục đưa ra khoá mã để bảo vệ tính riêng tư của khách hàng mình.

Và tính tin cậy của TrueCrypt đã được chứng minh. Hồi tháng 5 vừa qua, chuyên gia bảo mật Kenneth White và Matt Green, đồng sáng lập Open Crypto Audit Project, hoàn tất được 1 năm rưỡi dự án gây quỹ ủng hộ dò lỗi bảo mật của TrueCrypt, dò backdoor và tìm hiểu những báo cáo liên quan đến tính an toàn của phần mềm này. Họ khẳng định rằng TrueCript không có backdoor và không có khoá chủ.

Và những nghiên cứu và dò lỗi này đã biến TrueCrypt thành một chương trình vô cùng có giá trị. Hacker lấy cắp thông tin thẻ tín dụng của 40 triệu người dùng Target hồi năm 2013; năm 2014 đến lượt Home Depot mật 33 triệu USD khi tin tặc lấy cắp 56 triệu thẻ thanh toán. Cùng năm ấy, 2 vụ mất dữ liệu khác ở Mỹ khiến ít nhất 22 triệu người dân nước này có nguy cơ bị lộ thông tin cá nhân. Nhưng cho đến nay, chưa ai bẻ khoá được TrueCrypt. Thậm chí, có người còn lấy mã nguồn gốc (fork) của TrueCrypt để phát triển một ứng dụng khác tương tự và được cho là khá tốt.

Nhưng có một vấn đề nhỏ, phiên bản 7.1a, mà có lẽ có nhiều người vẫn dùng, không khác mấy so với phiên bản hồi tháng 2/2012.

Nguồn: PC World VN