Bí mật của những người 'bán khóa'

Điểm lạnh gáy ở đây không nằm ở chữ “nghe lén”, bởi nghe lén là bản năng của tình báo. Điểm lạnh gáy là cách họ làm: kiểm soát ngay từ nơi sinh ra niềm tin. Thay vì tấn công vào hệ thống của mục tiêu, họ mua luôn nhà máy sản xuất “khóa cửa”. Năm 1970, CIA và BND bí mật mua Crypto AG, mỗi bên nắm một nửa, và giữ cấu trúc sở hữu trong bóng tối.

Từ đó, những thiết bị bán ra cho khách hàng nước ngoài được thiết kế để trông có vẻ “đúng chuẩn bảo mật”, nhưng lại đủ “mềm” để bên thứ ba giải mã. Mật danh ban đầu là “Thesaurus”, về sau đổi thành “Rubicon” - điểm không thể quay đầu. Để chiến dịch ấy vận hành lâu đến vậy, phải có một bệ đỡ vô hình: hào quang trung lập của Thụy Sĩ.

Máy mã hóa CX-52 do Crypto AG sản xuất.

Trong Chiến tranh lạnh, khi mua thiết bị bảo mật từ một siêu cường, người mua khó tránh nỗi nghi ngờ “mua hàng của họ tức là đưa chìa khóa cho họ”. Thụy Sĩ thì khác: trung lập, kín tiếng, ổn định và có truyền thống công nghiệp chính xác. Crypto AG vì thế trở thành lựa chọn “an toàn về chính trị” cho rất nhiều chính phủ, đặc biệt là các quốc gia không đủ năng lực tự phát triển hoặc tự thẩm định thuật toán mật mã. Theo tài liệu mà The Washington Post trích dẫn, hơn 120 quốc gia đã sử dụng thiết bị của Crypto AG trong giai đoạn từ thập niên 1950 - 2000.

Trong thế giới mật mã, nguy hiểm nhất không phải là kẻ phá khóa, mà là kẻ bán khóa có kèm bản sao. Những chiếc máy cơ điện nổi tiếng như CX-52, một mẫu máy dùng rotor do Crypto AG sản xuất, là minh họa điển hình cho thứ “an toàn có điều kiện”: cấu trúc máy đủ phức tạp để người dùng tin vào độ chắc chắn, nhưng thông số và cơ chế lại có thể được “tối ưu” theo cách khiến bên kiểm soát thiết kế đọc được nội dung. Bảo mật ở đây không bị đánh sập, nó bị bẻ cong. Một bức điện vẫn được “mã hóa”, nhưng là mã hóa theo cách mà người khác đã dự liệu đường giải từ trước. Đến đây, câu hỏi bản năng là: họ đã đọc được những gì?

Trụ sở Crypto AG tại Zug (Thụy Sĩ).

Không ai có thể “đếm” hết, nhưng các điểm mốc được báo chí quốc tế nêu khá rõ: điện văn của Iran trong khủng hoảng con tin 1979; trao đổi của Argentina trong chiến tranh Falklands 1982; các kênh liên lạc của nhiều chính phủ tại Trung Đông, Mỹ Latinh, châu Phi… Chỉ cần hình dung đúng bản chất của điện văn ngoại giao và quân sự - nơi chứa ý đồ, nhượng bộ, lo ngại, kế hoạch - sẽ thấy cái lợi của Rubicon không chỉ là “biết tin”, mà là đi trước nửa nhịp. Trong khủng hoảng, đi trước nửa nhịp đôi khi đủ để biến thế bị động thành thế chủ động, biến một cuộc thương lượng thành cuộc “dẫn đường”, hoặc khiến đối phương tự bộc lộ điểm yếu mà họ tưởng đã giấu kín sau lớp mã hóa.

Nhưng điều khiến Rubicon “đắt” hơn một chiến dịch tình báo thông thường nằm ở chỗ nó không phân biệt rạch ròi giữa đối thủ và đối tác. Tài liệu và các xác nhận sau đó cho thấy nhiều nước đồng minh của Mỹ cũng không nằm ngoài vùng quan sát. Logic tình báo vốn vậy: đồng minh là quan hệ chính trị; tình báo là quan hệ lợi ích. Khi đã nắm được công cụ “đọc trộm” ở tầng thiết kế, sức cám dỗ là đọc càng nhiều càng tốt, vì “thông tin thừa” hôm nay có thể thành “đòn bẩy” ngày mai.

Các tranh luận nội bộ giữa CIA và phía Đức về phạm vi mục tiêu từng được nhắc đến trong các tường thuật công khai, cho thấy ngay cả giữa hai đối tác cùng vận hành chiến dịch cũng không hoàn toàn đồng thuận về ranh giới. Tuy nhiên, Rubicon không thể kéo dài mãi theo một đường thẳng. Sau khi nước Đức thống nhất, BND rút khỏi cuộc chơi; nhiều nguồn phổ biến nêu mốc 1993 là năm BND chấm dứt tham gia và bán lại phần sở hữu. CIA tiếp tục duy trì ảnh hưởng lâu hơn; đến năm 2018, Crypto AG được tách thành hai công ty kế thừa ở các mảng khác nhau.

Một chi tiết quan trọng thường bị bỏ qua khi kể chuyện theo kiểu “ly kỳ”: không phải vì người dùng quá ngây thơ mà bị “dắt” suốt bốn thập niên. Thực tế, nghi ngờ đã xuất hiện từ sớm, nổi bật là vụ Hans Buhler - một nhân viên bán hàng của Crypto AG bị bắt ở Iran năm 1992, sau đó được thả nhưng câu chuyện làm dấy lên hoài nghi về việc thiết bị Crypto AG bị can thiệp. Chính những “vết nứt” như vậy khiến một số khách hàng dần rời bỏ, hoặc tìm cách đa dạng hóa, hoặc tự phát triển năng lực mật mã nội địa.

Nếu nhìn từ Thụy Sĩ, câu chuyện càng nhạy cảm. Vụ phanh phui năm 2020 buộc Chính phủ Thụy Sĩ mở các cuộc xem xét và điều tra. Thông tin công khai cho thấy cơ quan giám sát và điều tra của Thụy Sĩ đã có các kết luận liên quan đến mức độ nhận thức của các cơ quan trong nước và cách xử lý dấu hiệu cảnh báo; đồng thời Thụy Sĩ cũng phải đối diện câu hỏi: một doanh nghiệp chiến lược đặt trên lãnh thổ mình bị tình báo nước ngoài kiểm soát lâu như vậy, cơ chế giám sát quốc gia ở đâu, và “trung lập” được hiểu thế nào trong kỷ nguyên công nghệ? Nói cách khác, Rubicon không chỉ là vụ nghe lén đối với phần còn lại của thế giới; nó là bài kiểm tra thể chế đối với chính Thụy Sĩ.

Trụ sở CIA tại Langley, bang Virginia, Mỹ.

Rubicon không chỉ là một câu chuyện của Chiến tranh lạnh. Giá trị cảnh báo của nó nằm ở phương thức - một phương thức vẫn còn nguyên tính thời sự trong kỷ nguyên số. Chiến dịch ấy cho thấy an ninh thông tin không khởi đầu ở tường lửa hay quy trình vận hành, mà ở chính kiến trúc nền tảng. Khi thuật toán, tham số, bộ sinh số ngẫu nhiên hoặc cơ chế tạo khóa đã bị định hướng ngay từ giai đoạn thiết kế, mọi lớp bảo vệ phía trên chỉ còn là hình thức. Người sử dụng có thể tuân thủ đầy đủ quy chuẩn kỹ thuật, nhưng kết quả vẫn bất lợi, bởi luật chơi đã được viết bởi người khác.

Và khi luật chơi nằm trong tay nhà thiết kế, quyền lực không còn nằm ở khâu khai thác hay đánh chặn, mà ở khả năng định hình chuỗi cung ứng công nghệ toàn cầu - từ tiêu chuẩn kỹ thuật, quy trình sản xuất đến hệ sinh thái phần mềm. Một khi chuỗi cung ứng ấy bị chi phối, thế trận an ninh của cả một quốc gia có thể bị đặt vào trạng thái phụ thuộc mà chính họ không nhận ra.

Và đây là nơi câu chuyện “Thụy Sĩ” trở nên nguy hiểm theo nghĩa rộng. Nếu một công ty chuyên mã hóa - lĩnh vực được coi là tinh hoa của niềm tin kỹ thuật - còn có thể bị biến thành công cụ, thì những lĩnh vực khác của chuỗi cung ứng công nghệ hiện đại càng dễ trở thành chiến trường: thiết bị mạng, phần cứng, hệ điều hành, nền tảng điện toán đám mây, thậm chí tiêu chuẩn kỹ thuật quốc tế. Khi một tiêu chuẩn được áp dụng rộng rãi, người đặt tiêu chuẩn có thể không cần “tấn công” ai cả; họ chỉ cần đảm bảo tiêu chuẩn ấy có những góc khuất đủ để khai thác khi cần. Nỗi ám ảnh về “cửa hậu” vì thế không phải là hoang tưởng. Nó là ký ức lịch sử đã từng xảy ra - với quy mô cấp hành tinh - và được ghi nhận bằng các điều tra báo chí, tài liệu nội bộ, cũng như các báo cáo giám sát sau đó.

Có một chi tiết mang tính biểu tượng: Rubicon không cần phá khóa, vì khóa vốn đã được làm theo cách “có thể mở”. Trong đời thường, đó là trò gian xảo của thợ khóa. Trong quan hệ quốc tế, đó là một dạng quyền lực mềm tàn nhẫn: quyền lực định hình niềm tin. Ai bán được “niềm tin bảo mật” trên thị trường toàn cầu, người đó có thể bán kèm một thứ khác mà người mua không nhìn thấy: quyền đọc trộm, quyền dự báo, quyền điều khiển nhịp điệu khủng hoảng.Vì thế, nếu phải rút Rubicon thành một cảnh báo gọn mà sắc, thì cảnh báo ấy không nhắm vào “một công ty Thụy Sĩ” hay “một chiến dịch đã qua”. Cảnh báo ấy nhắm vào thói quen của các quốc gia: coi bảo mật như một món hàng có thể mua trọn gói. Không có món hàng nào như vậy. Bảo mật, rốt cuộc, là năng lực tự thân và khả năng kiểm chứng độc lập.

Khi năng lực kiểm chứng yếu, người ta phải bấu víu vào thương hiệu; và thương hiệu, như Rubicon cho thấy, có thể bị lợi dụng chính vì nó quá sáng.Rubicon đã khép lại trên giấy tờ, nhưng dư âm của nó vẫn đuổi theo mọi cuộc tranh luận hiện đại về tự chủ công nghệ, về chuẩn mật mã, về chuỗi cung ứng, về “một thiết bị tưởng an toàn”. Đôi khi, mối đe dọa không nằm ở kẻ đứng ngoài cửa. Nó nằm trong bản thiết kế của cánh cửa.

Trụ sở BND tại Berlin.

Rubicon còn để lại một hậu quả ít được nói thẳng: nó làm biến dạng cách các quốc gia đánh giá rủi ro. Khi một hệ thống bị “mở khóa” âm thầm, phía bị nghe lén thường không sụp đổ ngay; họ chỉ ra quyết định trên nền thông tin đã bị đối phương đọc trước. Sai lầm vì thế không ồn ào như một cuộc tấn công mạng làm tê liệt hạ tầng. Nó giống một cơn sốt nhẹ kéo dài: lầm tưởng mình kín, rồi tự tin thái quá, rồi trao đổi những điều lẽ ra phải giữ chặt hơn. Về mặt chiến lược, đây mới là đòn sâu: làm đối phương tự bộc lộ nhịp thở, tự phơi ra giới hạn, tự tin rằng “mã đã che hết”.

Cũng từ Rubicon, các cơ quan an ninh trên thế giới hiểu rằng cuộc chơi không chỉ nằm ở chặn bắt tín hiệu hay bẻ thuật toán, mà nằm ở “thị phần niềm tin”: ai kiểm soát được chuỗi cung ứng sản phẩm an ninh, người đó có thể kiểm soát cả thói quen vận hành bí mật của khách hàng. Và khi thói quen đã bị điều khiển, mọi cuộc cải tổ sau đó thường đến muộn hơn một nhịp.

Nếu chiếc khóa được người khác làm, và nếu chìa dự phòng đã nằm trong túi họ ngay từ ngày xuất xưởng, thì bí mật của bạn có thể đã bị chia sẻ… trước cả khi bạn kịp đóng cửa lại.

Khổng Hà