Nhưng hành vi này không chỉ giới hạn ở phạm vi email cá nhân. Nếu bạn gửi email qua mạng công ty, thì bộ phận IT[21] trong công ty cũng có thể quét và lưu trữ nội dung liên lạc của bạn. Đội IT có quyền quyết định cho phép các email đi qua máy chủ và mạng của công ty hay báo cho cơ quan thực thi pháp luật. Điều này bao gồm các email chứa bí mật thương mại hoặc các tài liệu có vấn đề, chẳng hạn như chứa nội dung khiêu dâm. Họ cũng thực hiện quét email để tìm phần mềm độc hại. Nếu đội IT thực hiện quét và lưu trữ email của bạn, họ cần phải nêu rõ chính sách của mình mỗi khi bạn đăng nhập – nhưng hầu hết các công ty đều không làm điều đó.
[21] IT (information technology): Công nghệ thông tin.
Tuy hầu hết chúng ta đều có thể chấp nhận được việc email của mình bị quét để tìm kiếm phần mềm độc hại, và có lẽ một số người cũng có thể nhắm mắt bỏ qua việc quét email vì mục đích quảng cáo, nhưng việc các bên thứ ba đọc email của chúng ta rồi đưa ra hành động dựa theo đó là hết sức đáng lo ngại. (Tất nhiên, ngoại trừ vấn đề liên quan đến các nội dung ấu dâm).
Vì vậy, hễ khi nào bạn viết email, dù nội dung không mấy quan trọng, và kể cả khi bạn đã xóa nó khỏi hộp thư đến, hãy nhớ rằng rất có thể một bản sao của những câu chữ và hình ảnh trong đó sẽ bị quét và tồn tại trong một thời gian dài. (Một số công ty có thể có chính sách lưu trữ ngắn, nhưng đa phần đều giữ email trong một thời gian dài).
Như vậy, bạn đã biết chính phủ và các công ty đều đọc email của mình, và việc tối thiểu mà bạn có thể làm là khiến cho việc đó trở nên khó khăn hơn rất nhiều.
Hầu hết các dịch vụ email trên nền web đều sử dụng mã hóa trong lúc email trên đường lưu chuyển. Tuy nhiên, khi chuyển email qua lại giữa các chương trình chuyển thư (Mail Transfer Agent – MTA), một số dịch vụ có thể không sử dụng mã hóa, khiến email của bạn bị sơ hở. Ví dụ, trong môi trường làm việc, người lãnh đạo có thể truy cập được vào hệ thống email của công ty. Để ẩn mình, bạn phải mã hóa được các email – nghĩa là khóa chúng lại sao cho chỉ những người nhận mới có thể mở khóa để đọc. Mã hóa là gì? Đó là một mật mã.
Lấy ví dụ rất đơn giản là mật mã Caesar. Phương pháp này thay thế mỗi chữ cái bằng một chữ cái khác cách nó một khoảng cách nhất định trong bảng chữ cái. Chẳng hạn, nếu khoảng cách ấn định là 2, thì khi sử dụng phương pháp Caesar, a sẽ trở thành c, c sẽ trở thành e, z sẽ trở thành b, và cứ thế đến hết. Với cơ chế mã hóa bù trừ 2 đơn vị, “Kevin Mitnick” sẽ trở thành “Mgxkp Okvpkem.”
Tất nhiên, hầu hết các hệ thống mã hóa được sử dụng ngày nay đều mạnh hơn nhiều so với mật mã Caesar cơ bản. Do vậy, việc phá mã sẽ khó khăn hơn rất nhiều. Nhưng mọi dạng mã hóa đều cần đến chìa khóa, đóng vai trò là mật khẩu để khóa và mở thông điệp mã hóa. Mã hóa đối xứng có nghĩa là cùng một chìa khóa được dùng để khóa và mở thông điệp mã hóa. Tuy nhiên, khó có thể chia sẻ các khóa đối xứng, khi hai bên không biết nhau hoặc cách xa nhau về mặt địa lý, vì cả hai đều ở trên Internet.
Trên thực tế, việc mã hóa email chủ yếu sử dụng kỹ thuật mã hóa bất đối xứng. Điều đó có nghĩa là tôi tạo ra hai khóa: một khóa bí mật được lưu trong thiết bị của tôi và tôi không bao giờ chia sẻ nó với ai, và một khóa công khai mà tôi có thể đăng tải tự do trên Internet. Hai khóa khác nhau nhưng lại có mối liên hệ với nhau về mặt toán học.
Ví dụ: Bob muốn gửi cho Alice một email an toàn. Anh lên mạng tìm kiếm khóa công khai của Alice hoặc trực tiếp hỏi cô, và khi gửi email cho Alice, anh mã hóa nó bằng khóa của cô. Email này sẽ vẫn ở trạng thái mã hóa cho đến khi Alice – và chỉ riêng Alice – sử dụng cụm mật khẩu để mở khóa bí mật của mình và mở email được mã hóa.
Vậy việc mã hóa nội dung email được thực hiện như thế nào?
Phương pháp mã hóa email phổ biến nhất là PGP (Pretty Good Privacy). Phần mềm này không miễn phí mà là một sản phẩm của công ty Symantec. Nhưng người tạo ra nó, Phil Zimmermann, còn phát triển phiên bản nguồn mở miễn phí của nó là OpenPGP. Và lựa chọn thứ ba, GPG (GNU Privacy Guard), do Werner Koch tạo ra, cũng là phần mềm miễn phí. Tin vui là cả ba đều tương thích với nhau, tức là bất kể bạn sử dụng phiên bản PGP nào, các chức năng cơ bản đều giống nhau.
Khi quyết định tiết lộ những dữ liệu nhạy cảm lấy được từ NSA, Edward Snowden cần sự hỗ trợ của những người cùng tư tưởng với mình ở khắp nơi trên thế giới. Nghịch lý nằm ở chỗ, anh phải thoát khỏi mạng lưới trong khi vẫn duy trì hoạt động trên Internet, tức là phải trở nên vô hình.
Dù không có bí mật quốc gia nào để chia sẻ, nhưng bạn cũng nên lưu ý giữ gìn sự riêng tư cho các email của mình. Kinh nghiệm của Snowden và những người khác cho thấy đây là việc không dễ làm, nhưng có thể làm được, nếu chúng ta thận trọng một chút.
Snowden liên lạc với người khác bằng tài khoản cá nhân thông qua một công ty có tên là Lavabit. Nhưng email không sử dụng giao thức point-to-point[22] trực tiếp, tức là một email có thể đi qua một số máy chủ trên thế giới trước khi đến hộp thư đến của người nhận. Snowden biết rằng trong cuộc hành trình này, những người chặn được đường đi của email có thể đọc được nội dung mà anh viết trong đó.
[22] Point-to-Point Protocol (PPP – Giao thức điểm-nối-điểm): Một giao thức liên kết dữ liệu được dùng để thiết lập kết nối trực tiếp giữa hai nút mạng.
Vì vậy, anh phải áp dụng một chiến thuật tinh vi để thiết lập một phương tiện giao tiếp thực sự an toàn, ẩn danh, và được mã hóa hoàn toàn với Laura Poitras, nhà làm phim và cũng là người ủng hộ cho quyền riêng tư (gần đây bà mới hoàn thành một bộ phim tài liệu kể về cuộc sống của những người tố giác). Snowden muốn tạo một cuộc trao đổi mã hóa với Poitras, nhưng chỉ ít người biết khóa công khai của bà. Đến khóa công khai Poitras cũng không thực sự để công khai cho lắm.
Để tìm chìa khóa công khai của Poitras, Snowden phải tiếp cận với một bên thứ ba, Micah Lee thuộc Tổ chức Biên giới Điện tử (Electronic Frontier Foundation), một tổ chức ủng hộ quyền riêng tư trực tuyến. Khóa công khai của Lee đã có sẵn trên mạng, và theo một bài viết trên tạp chí trực tuyến Intercept, anh có khóa công khai của Poitras, nhưng trước tiên anh cần kiểm tra xem liệu bà có cho phép anh chia sẻ nó hay không. Poitras đồng ý.
Tại thời điểm này, cả Lee và Poitras đều không biết ai muốn biết khóa công khai của Poitras; họ chỉ biết rằng có người đang tìm nó. Snowden sử dụng một tài khoản khác để liên lạc, chứ không dùng tài khoản email cá nhân. Nhưng nếu không sử dụng PGP thường xuyên, có thể thi thoảng bạn lại đưa khóa PGP vào các email quan trọng, và đó cũng là chuyện đã xảy ra với Snowden. Anh đã quên đưa khóa công khai của mình vào email để Lee có thể trả lời.
Không có cách nào an toàn để liên lạc với con người bí ẩn này, Lee đành phản hồi bằng email văn bản bình thường, chưa mã hóa, trong đó yêu cầu Snowden cung cấp khóa công khai, và Snowden làm theo yêu cầu đó.
Một lần nữa Lee, một bên thứ ba đáng tin cậy, lại phải can thiệp. Từ kinh nghiệm cá nhân, tôi có thể khẳng định rằng việc xác minh danh tính của người đang có liên lạc bí mật với bạn là hết sức quan trọng, tốt nhất là thông qua một người bạn chung – nhưng nhớ phải kiểm tra kỹ để chắc chắn rằng bạn đang liên lạc với người bạn đó chứ không phải kẻ mạo danh.
Tôi biết điều này là quan trọng do trước đây tôi từng vào vai kẻ mạo danh, trong đó đối tác không nghi ngờ về danh tính thực sự của tôi hoặc khóa công khai mà tôi đã gửi. Lần đó, tôi muốn liên lạc với Neill Clift, một sinh viên sau đại học chuyên ngành hóa hữu cơ tại Đại học Leeds, Anh, đồng thời là chuyên gia tìm kiếm các lỗ hổng an ninh trong hệ điều hành VMS của công ty Digital Equipment Corporation (DEC). Tôi muốn Clift gửi cho tôi thông tin về tất cả các lỗ hổng an ninh mà anh đã báo cáo cho DEC. Để làm được điều đó, tôi phải làm sao để anh ta nghĩ rằng tôi thực sự làm việc cho DEC.
Đầu tiên, tôi mạo danh một người tên là Dave Hutchins để gửi email cho anh ta. Trước đó, tôi đã mạo danh Derrell Piper thuộc bộ phận kỹ thuật VMS để gọi cho Clift, vì vậy lúc này tôi (trong vai Hutchins) viết trong email rằng Piper muốn trao đổi qua email với Clift về một dự án. Tìm kiếm trong hệ thống email của DEC, tôi biết rằng trước đây Clift và Piper thật đã gửi email cho nhau, nên yêu cầu mới này cũng không có gì lạ lùng cả. Sau đó, tôi gửi một email giả mạo địa chỉ email của Piper.
Để khiến Clift tin tưởng hơn nữa, tôi còn đề nghị anh ta sử dụng mã hóa PGP để một kẻ như Kevin Mitnick không thể đọc được email. Chẳng bao lâu sau, Clift và “Piper” đã trao đổi thông tin về khóa công khai và mã hóa nội dung liên lạc – các nội dung mà tôi, trên cương vị Piper, có thể đọc được. Sai lầm của Clift là không nghi ngờ về danh tính của Piper. Tương tự, khi nhận được một cuộc gọi bất ngờ từ ngân hàng yêu cầu cung cấp số An sinh Xã hội hoặc thông tin về tài khoản của bạn, hãy gác máy và đích thân gọi đến ngân hàng – làm sao mà bạn biết được người vừa chủ động liên hệ với mình là ai chứ.
Do tầm quan trọng của những bí mật mà họ sắp chia sẻ với nhau, Snowden và Poitras không thể sử dụng địa chỉ email thường dùng được. Tại sao vậy? Tài khoản email cá nhân của họ chứa các thông tin đặc thù – chẳng hạn như sở thích, danh sách liên lạc – có thể xác định danh tính của họ. Thay vào đó, Snowden và Poitras quyết định tạo tài khoản email mới.