Bảo mật SSL, Trung Quốc và Google, lợi nhuận và lòng tự trọng

HTTPS và Bảo mật dữ liệu nói chung, không phải là ưu tiên ở Trung Quốc, điều này chống lại mọi thứ mà Google đã công bố trong vài năm qua…

 

Thường chúng ta sẽ nghĩ về internet như một mạng lưới phổ biến kết nối toàn bộ nhân loại, tuy nhiên đó không phải sự thực. Trung Quốc  cung cấp cho công dân của họ một phiên bản Internet khác biệt đáng kể so với những gì người dùng khác thường trải nghiệm ở phương Tây.

Hãy sử dụng Alex Jones làm ví dụ. Ở phương Tây, Jones đã truyền cảm hứng cho các cuộc tranh luận đầy say mê về kiểm duyệt và de-platforming người dùng đang vật lộn với các nguyên tắc tự do ngôn luận và internet (chủ yếu). Trung Quốc đã chặn Alex Jones từ nhiều năm trước, đã xóa sạch mọi dấu vết của anh ta từ Internet.

Tuy nhiên điều này có liên quan đến HTTPS và SSL / TLS? Vâng, chúng ta hãy nói một chút về cách internet ở Trung Quốc, cụ thể, được quy định, và cách SSL / TLS không hoạt động chính xác với mô hình đó. Sau đó chúng tôi sẽ xem xét quyết định của Google để tái nhập vào thị trường Trung Quốc và làm thế nào nó hoàn toàn làm suy yếu việc kiểm duyệt của họ khi nói đến việc đẩy HTTPS phổ biến ở phương Tây.

The Great Firewall của Trung Quốc

Khi internet lần đầu tiên đến Trung Quốc vào năm 1994, nó không bị kiểm soát bởi chính phủ. Đây là kết quả của chính sách mở cửa của Trung Quốc, hy vọng sẽ khai thác kiến ​​thức của phương Tây trong nỗ lực cải cách nền kinh tế Trung Quốc. Nhưng khi sự phổ biến của Internet tăng lên, thì mối quan tâm của Trung Quốc cũng vậy. Như cựu lãnh đạo Đặng Tiểu Bình đã từng bày tỏ, khi bạn mở cửa sổ, những con ruồi bay vào.

Năm 2000, dự án Golden Shield đã được triển khai, đây sẽ là tiền thân của Great Firewall. Ngày nay, chính phủ Trung Quốc tuyển dụng ít nhất 50.000 người để thực thi kiểm duyệt, bao gồm việc chặn các trang web không chấp nhận và buộc các công cụ tìm kiếm lọc ra các kết quả có hại.

Và đây là một trong những khác biệt lớn nhất giữa Trung Quốc và Hoa Kỳ. Tại Hoa Kỳ có một cái gì đó gọi là Mục 230 (của Đạo luật về khuôn phép truyền thông) cung cấp khả năng miễn dịch cho các trang web cho nội dung được xuất bản ở đó bởi các bên thứ ba. Trung Quốc ngược lại, các công ty chịu trách nhiệm về nội dung họ hiển thị, ngay cả nội dung do người dùng tạo ra — một thực tiễn khuyến khích tự kiểm duyệt.

SSL / TLS và sự kiểm duyệt của Trung Quốc

Trung Quốc có mối quan hệ khá kỳ quặc với SSL / TLS. Nhiều trang web có chứng chỉ SSL được cài đặt nhưng các trình duyệt ở Trung Quốc không yêu cầu người dùng thực sự sử dụng chúng. Và có một lý do cho điều đó. Mặc dù bạn nên mã hóa toàn bộ trang web của mình – mọi trang, mọi nội dung, mọi thứ – có hiệu quả ngăn cản người kiểm duyệt không thể thấy bất kỳ điều gì. Sau khi tất cả, toàn bộ trang web được mã hóa. Điều này có thể dẫn đến hình phạt draconian, nơi Trung Quốc sẽ hoàn toàn cấm một trang web đã mã hóa toàn bộ mà họ không thể kiểm duyệt.

BBC đã có tin tức cho điều này chỉ ngày hôm qua, khi họ đề nghị sử dụng VPN sau khi bị chặn hoàn toàn ở Trung Quốc sau khi di chuyển sang HTTPS.

Một phát ngôn viên của BBC cho biết :

Chúng tôi rất tiếc vì mất dịch vụ này. Chúng tôi tiếp tục làm việc với các nhà cung cấp dịch vụ địa phương để nội dung cụ thể của BBC có thể được cung cấp trực tiếp cho khán giả của chúng tôi ở Trung Quốc. Lần cuối cùng các dịch vụ của BBC bị chặn ở mức độ này ở Trung Quốc là vào năm 2014 và chúng tôi kêu gọi tất cả các bên quan sát Tuyên bố Nhân quyền của LHQ, điều 19.

BBC về cơ bản yêu cầu mọi người vi phạm pháp luật, vì VPN cũng bị cấm ở Trung Quốc. Các vấn đề tương tự cũng xảy ra khi Wikipedia rời đi vào năm 2016 . Vì vậy, trong khi HTTPS và SSL / TLS hoàn toàn hợp pháp ở Trung Quốc, bản chất kiểm duyệt toàn bộ hoặc không có gì trong nước khiến việc sử dụng chúng có nguy cơ cao.

“Như vậy, SSL không được sử dụng rộng rãi ngay cả khi cần. Cả  trình duyệt QQ lẫn trình duyệt Baidu  đều không mã hóa đầy đủ dữ liệu giao tiếp nhạy cảm của người dùng giữa người dùng và máy chủ của họ. Hai báo cáo từ Phòng thí nghiệm công dân tại Đại học Toronto đã tiếp xúc với các lỗ hổng bảo mật lớn từ các công ty công nghệ lớn trong nước của Trung Quốc. Mặc dù an ninh và sự riêng tư (từ các cường quốc nước ngoài) là những lý do chính khiến chính phủ Trung Quốc kiểm duyệt web, môi trường an ninh chưa trưởng thành có liên quan đến một vài lý do khác nhau mà tôi sẽ thảo luận, ” John P. Gamboa viết .

Những lý do này chủ yếu đi đến những rủi ro liên quan đến SSL đầy đủ, hệ điều hành đã lỗi thời cũng như các vấn đề cơ sở hạ tầng. Tính đến tháng 4 năm 2014, thời gian chấm dứt Windows XP, trên 40% quốc gia vẫn đang sử dụng hệ điều hành đã lỗi thời. Windows XP, khá khét tiếng, không chơi tốt với SSL. Và trong suốt bốn năm qua, ngày càng có nhiều người dùng Internet Trung Quốc sử dụng các hệ điều hành hiện tại, XP vẫn có một di sản lớn hơn ở Trung Quốc.

Ngoài ra, The Great Firewall đặt một gánh nặng hoàn tác trên kiến ​​trúc DNS của Trung Quốc, được kết hợp bởi hiệu suất mạng kém (đọc: chậm) nói chung. Đó là tất cả số tiền để kết nối SSL gánh nặng hiệu suất trang web. Cụ thể, phần bắt tay. Ở phương Tây, việc hand shake SSL / TLS có thể thêm một lượng thời gian nhỏ vào tốc độ tải trang, nhưng điều này đã được giảm thiểu đi rất nhiều.

Tuy nhiên điều này không phải ở Trung Quốc.

Handshake SSL có thể thêm 300ms – 1000ms thời gian để tải trang. Thời gian bổ sung này có thể tạo hoặc phá vỡ khả năng sử dụng của một trang web ở một tỉnh xa xôi. Vì vậy, có nghĩa là các kết nối web không ổn định sẽ không muốn thêm SSL.

Điều đó đặt ra câu hỏi: Google đang làm gì?

Làm cách nào để Google hòa giải vị trí của Trung Quốc về bảo mật dữ liệu với các nguyên tắc đã nêu của riêng mình?

 

Theo các tài liệu bị rò rỉ được báo cáo ban đầu bởi The Intercept , Google đang lên kế hoạch tái nhập vào thị trường Trung Quốc với một phiên bản kiểm duyệt của công cụ tìm kiếm và một ứng dụng tổng hợp tin tức.

Dự án Dragonfly – đã được triển khai từ mùa xuân năm ngoái và tăng tốc sau cuộc họp tháng 12 năm 2017 giữa CEO Sundar Pichai của Google và một quan chức chính phủ hàng đầu Trung Quốc, theo các tài liệu nội bộ của Google và những người quen với kế hoạch… các lập trình viên và kỹ sư tại Google đã tạo ra một ứng dụng Android tùy chỉnh, các phiên bản khác nhau đã được đặt tên là “Maotai” và “Longfei”. Ứng dụng này đã được chứng minh cho chính phủ Trung Quốc; phiên bản hoàn thiện có thể được đưa ra trong sáu đến chín tháng tới, trong khi chờ đợi sự chấp thuận của các quan chức Trung Quốc.

Điều này sẽ đánh dấu lần đầu tiên Google đã hoạt động ở Trung Quốc kể từ năm 2010, khi nó ngừng hoạt động sau khi phát hiện một cuộc tấn công mạng từ trong nước nhắm mục tiêu nó, cũng như một số công ty khác. Trong quá trình điều tra, Google cũng phát hiện ra rằng các tài khoản Gmail thuộc về một số nhà hoạt động nhân quyền nổi tiếng của Trung Quốc đã bị tấn công.

Vì vậy, những gì đã thay đổi? Vâng, Quartz lập luận rằng Google đang lên các kế hoạch phù hợp với quốc gia tỷ dân này. Dù bằng cách nào, nó không giống như hồ sơ nhân quyền của Trung Quốc đã được cải thiện. Cũng không có những nỗ lực của mình trong kiểm duyệt giảm bớt. Nếu bất cứ điều gì, nó trở nên tồi tệ hơn khi Chủ tịch Tập Cận Bình kẹp chặt hơn nữa. Trung Quốc chỉ cấm Winnie the Pooh . Một lần nữa .

Điều khiến cho việc Google quay trở lại Trung Quốc thậm chí còn tò mò hơn là thực tế là Google, trong quá trình vài năm qua, đã đi ra khỏi con đường của mình để ủy thác HTTPS trên internet. Điều này đã bao gồm vô số thay đổi đối với giao diện người dùng trong trình duyệt , hỗ trợ cho sự ra đời của Tổ chức phát hành chứng chỉ miễn phí và thậm chí đưa Symantec ra khỏi doanh nghiệp SSL vì lo ngại về việc phát hành sai. Điều này có, theo lời của Google, được thực hiện để bảo đảm trạng thái mặc định trên internet.

Trong thực tế chỉ ngày hôm nay, trong bài phát biểu tại hội nghị Black Hat Cybersecurity tại Las Vegas, Giám đốc Kỹ thuật, Parisa Tabriz, có biệt danh là “Công chúa bảo mật của Google” cho biết :

“Sẽ không ổn nếu chỉ có Facebook và Google mới sử dụng HTTPS. Ngay cả khi nó chỉ là một blog cá nhân, bạn vẫn muốn có sự tự tin rằng mọi người đọc blog của bạn thực sự đang nhận được nội dung thực sự và nó không bị giả mạo bởi ISP của bạn. ”

Nhưng điều này có thể không áp dụng với Trung Quốc.

Tuy nhiên chúng ta hãy thực tế. Google là một công ty hoạt động vì lợi nhuận chứ không phải vì nhân quyền. Những quan điểm về bảo mật và quyền riêng tư được cho là làm cho bạn cảm thấy tốt và tin tưởng Google. Nhưng nó đâu có quan trọng khi lợi nhuận từ Trung Quốc mang lại là vô cùng lớn.

Vì vậy tuy công bố rằng họ muốn đảm bảo bảo mật toàn cầu nhưng Google vẫn mang phong thái của người Mỹ, sẵn sàng vì lợi nhuận mà bỏ qua những điều khác.

Và điều quan trọng nhất là Google có thể thu được một khoản khổng lồ từ việc phục vụ người dùng Trung Quốc.

bình luận

Leave a Comment