Căng thẳng gia tăng với Trung Quốc đã khiến chính phủ Mỹ ngày càng cảnh giác với các công nghệ do các công ty Trung Quốc sở hữu, từ mạng xã hội TikTok đến thiết bị hạ tầng viễn thông Huawei đến máy bay không người lái DJI. Nhưng do sự phức tạp của chuỗi cung ứng phần cứng máy tính, các chip mã hóa đến từ một công ty bị Bộ Thương mại Mỹ đưa vào "danh sách đen" vẫn được sử dụng trong các cơ quan quân sự và tình báo.
Vào tháng 7/2021, Bộ Thương mại Mỹ đưa nhà sản xuất chip mã hóa Hualan Microelectronics có trụ sở tại Hàng Châu, Trung Quốc vào “Danh sách thực thể”. Các công ty thuộc danh sách này sẽ bị Mỹ hạn chế mua bán sản phẩm.
Nhưng đến bây giờ, gần 2 năm sau, Hualan và công ty con Initio, một công ty có trụ sở chính tại Đài Loan do Hualan mua lại vào năm 2016, vẫn cung cấp chip vi điều khiển mã hóa cho các nhà sản xuất ổ cứng mã hóa phương Tây. Theo Wired, một số nhà sản xuất ổ cứng này lại cung cấp thiết bị cho các cơ quan hàng không vũ trụ, quân sự và tình báo của chính phủ phương Tây như NASA, NATO, quân đội Mỹ và Anh.
Con đường chip Trung Quốc len lỏi vào Mỹ
Chip Initio được sử dụng trong các thiết bị lưu trữ được mã hóa, làm nhiệm vụ cầu nối mã hóa và giải mã dữ liệu. Các nhà sản xuất thiết bị lưu trữ bao gồm Lenovo, Western Digital, Verbatim và Zalman đều từng sử dụng chip mã hóa do Initio bán.
Những con chip do công ty con của Hualan bán đã nằm sâu bên trong các mạng thông tin nhạy cảm của phương Tây, một phần do thương hiệu Initio và nguồn gốc của nó trước năm 2016.
3 nhà sản xuất ổ cứng ít được biết đến hơn, nhưng có các cơ quan chính phủ, quân đội và tình báo phương Tây là khách hàng, cũng sử dụng chip Initio. Số này bao gồm nhà sản xuất ổ cứng iStorage (Vương quốc Anh), SecureDrive (Mỹ) và Apricorn (Mỹ).
Trên trang web, iStorage liệt kê khách hàng bao gồm NATO và Bộ Quốc phòng Vương quốc Anh. SecureDrive có khách hàng là Quân đội Mỹ và NASA, và hồ sơ mua sắm liên bang của Mỹ cho thấy Apricorn đã bán sản phẩm sử dụng chip Inotio cho NASA, Hải quân Mỹ, FAA và DEA, cùng nhiều tổ chức khác.
“Nếu một công ty nằm trong Danh sách thực thể, có nghĩa là chính phủ Mỹ cho rằng công ty này đang hỗ trợ phát triển quân sự cho một quốc gia khác, do đó số tiền Mỹ chi tiêu sẽ bị dùng để thực hiện các mục tiêu quân sự của quốc gia khác và cũng không thể tin tưởng vào sản phẩm", Dakota Cary, nhà nghiên cứu Trung Quốc tại Hội đồng Đại Tây Dương, một tổ chức tư vấn có trụ sở tại Washington, DC, cho biết.
Danh sách thường được sử dụng như một lời cảnh báo các công ty Mỹ tránh mua hàng từ một công ty nước ngoài, chẳng hạn như Huawei và DJI, đều do có mối quan hệ với quân đội. “Giống như một danh sách đen", Emily Weinstein, nhà nghiên cứu an ninh công nghệ tại Đại học Georgetown (Mỹ), cho biết.
Đại diện Cục Công nghiệp và An ninh thuộc Bộ Thương mại Mỹ nói với Wired rằng các công ty con chưa niêm yết về mặt lý thuyết không bị ảnh hưởng bởi danh sách, nhưng việc có liên kết với một thực thể trong danh sách bị coi là "dấu hiệu đỏ".
Người phát ngôn của Initio, Mike Ching, trả lời trong một tuyên bố rằng Initio chủ yếu sản xuất chip mã hóa cho các sản phẩm lưu trữ tiêu dùng và "các sản phẩm hiện tại của được phát triển bởi chính Initio và Initio không thể đặt bất kỳ cửa hậu nào cho sản phẩm".
Nguy cơ "cửa hậu" trên chip mã hóa
Tính năng mã hóa của chip Initio được thiết kế để bảo vệ dữ liệu trong trường hợp ổ đĩa bị truy cập trái phép, bị mất hoặc bị đánh cắp. Mức độ bảo mật phụ thuộc vào nhà thiết kế chip, và nếu có một khóa bí mật hoặc cửa hậu, dữ liệu trên ổ đĩa có thể bị truy cập.
Một số nhà nghiên cứu bảo mật nghi ngờ rằng có thể có cửa hậu ẩn cho phép Trung Quốc giải mã bí mật của các cơ quan phương Tây. Họ cũng cảnh báo rằng nếu cửa hậu như vậy có tồn tại, thì gần như không có cách nào để tìm ra.
“Cơ chế hoạt động của những loại vi điều khiển này là một hộp đen đối với tôi và mọi nhà nghiên cứu khác. Cuối cùng đây vẫn là vấn đề về niềm tin, liệu bạn có thực sự tin tưởng nhà cung cấp này và các thành phần của họ hay không”, Matthias Deeg, nhà nghiên cứu bảo mật tại công ty an ninh mạng Syss (Đức), người đã phân tích các chip Initio, cho biết.
Năm ngoái, chuyên gia này đã phân tích một ổ USB bảo mật sử dụng chip Initio và tìm thấy nhiều lỗ hổng bảo mật, cho phép bỏ qua mã khóa dấu vân tay hoặc mã PIN trên ổ đĩa và lấy mật khẩu giải mã. Deeg cho biết Initio đã sửa những lỗ hổng này, nhưng lưu ý rằng sẽ rất khó tìm ra các cửa hậu phần cứng trong chip, chẳng hạn như một thành phần cực nhỏ ẩn trong thiết kế vật lý của chip cho phép giải mã dữ liệu.
Chip mã hóa luôn có đủ quyền truy cập để tạo ra cửa hậu, theo Matthew Green, nhà khoa học máy tính chuyên ngành mật mã học tại Đại học Johns Hopkins, cho biết. “Những cửa hậu này có thể rất tinh vi và thông minh, đồng thời có rất nhiều cách để tạo ra mà người khác không thể nhìn thấy", Green nói.
Việc nhiều cơ quan chính phủ phương Tây đang mua các sản phẩm chứa chip được bán bởi công ty con của một công ty trong danh sách đen của Bộ Thương mại Mỹ cho thấy mức độ phức tạp của chuỗi cung ứng phần cứng máy tính, theo Cary. “Các tổ chức lẽ ra nên đảm bảo tính bảo mật này dường như không có khả năng hoặc đang phạm sai lầm, để cho các sản phẩm này xâm nhập. Đây là sai lầm có vẻ nghiêm trọng và dài hạn", chuyên gia cho biết.