Sai lầm trong nỗ lực chủ quyền kỹ thuật số của EU có thể là khởi đầu cho một dự án thành công rực rỡ

Có một "gián điệp" đang lẩn khuất trong triều đình của chủ quyền kỹ thuật số châu Âu. Thực ra là có hai "gián điệp": hai anh em cùng cha khác mẹ Intel và AMD. Các con chip của hai gã khổng lồ này đang cung cấp sức mạnh cho các trung tâm dữ liệu (data center) tại Châu Âu cũ kỹ, nơi nền tảng đám mây có chủ quyền được xây dựng.

Cả hai công ty đều tích hợp các hệ thống con quản lý cấp độ Ring -3 vào chip của mình. Đây thực chất là những chiếc máy tính hoàn chỉnh với quyền truy cập sâu vào hệ thống chủ, nhưng lại hoạt động khá mờ ám đối với những người sở hữu và quản trị chúng. Tất cả những điều này không phải là bí mật, dù rằng chúng không được bàn luận công khai rộng rãi. Vấn đề cốt lõi ở đây là các quy định kỹ thuật của Pháp, được dẫn xuất từ thông số kỹ thuật IPCEI-CIS của EU dành cho các đám mây có chủ quyền, dù chứa hàng ngàn chi tiết kỹ thuật, lại hầu như không đề cập đến điều này.

Các hệ thống con quản lý này được thiết kế để có thể được điều khiển qua cùng một mạng lưới mà máy chủ sử dụng cho các tác vụ thông thường, điều này biến chúng thành vectors tiềm năng cho những kẻ tấn công từ xa cả về lý thuyết lẫn thực tế. Vì Intel và AMD đều chịu sự chi phối của các luật pháp Mỹ có thể buộc họ phải hành động bí mật cho nhà nước, nên nỗ lực hàng tỷ Euro để treo cờ châu Âu lên một pháo đài đám mây bất khả xâm phạm dường như đang có một khiếm khuyết chết người. Đó là một cuộc tấn công chuỗi cung ứng kiểu cổ điển, không quá bí mật nhưng quá nhàm chán để mọi người phải bận tâm.

Chủ quyền chính là chuỗi cung ứng

Nếu bạn không kiểm soát được các linh kiện giúp nhà nước của mình an toàn trước những ảnh hưởng xấu hoặc các cuộc tấn công trực diện, bạn không có chủ quyền. Điều này thể hiện rõ rệt nhất trong thời chiến, không chỉ ở hậu cần quân sự mà còn ở cơ sở công nghiệp duy trì hoạt động của máy móc. Việc Mỹ kiểm soát nguồn cung thạch anh cao cấp cần thiết để sản xuất tinh thể radio trong Thế chiến II đã mang lại cho họ lợi thế vượt trội trong liên lạc chiến trường.

Một cách trớ trêu nhất là trong Chiến tranh Lạnh, titan cần thiết cho máy bay trinh sát SR-71 Mach 3 lại đến từ Liên Xô. Và Liên Xô đã vô tư bán nó cho chuỗi các công ty vỏ bọc do CIA thiết lập. Đó chính là CIA đã bí mật nắm quyền kiểm soát công ty mật mã Crypto AG của Thụy Sĩ để chèn cửa sau (backdoor) vào sản phẩm của họ. Các cuộc tấn công chuỗi cung ứng có thể đến dưới nhiều hình thức. Chủ quyền không bao giờ có thể được đảm bảo tuyệt đối, chỉ có thể quản lý rủi ro mà thôi.

Quản lý rủi ro cho an ninh đám mây tự trị của châu Âu là lăng kính chính của các thông số kỹ thuật, và việc bỏ qua rủi ro vốn có trong các động cơ quản lý CPU khiến nhiệm vụ này chưa hoàn thiện. Rủi ro đó có thể mở rộng đến mọi nơi trong cơ sở hạ tầng tổng thể mà CPU chạm vào dữ liệu và mạng lưới. Các bộ định tuyến và công tắc bên trong trung tâm dữ liệu, cũng như kết nối giữa đó và người dùng, đều là những phần mở rộng của bề mặt đe dọa đó.

Giải pháp: Tự chủ chip hay đợi RISC-V?

Giảm thiểu rủi ro này không phải là điều không thể tưởng tượng. Bước đầu tiên là xác định các loại và mô hình lưu lượng truy cập mà các hệ thống con quản lý tạo ra và phát triển các biện pháp phòng thủ. Yêu cầu Intel và AMD hướng dẫn cách thực hiện việc này và cách vô hiệu hóa chúng vĩnh viễn, đồng thời phát triển độc lập các kỹ thuật này sẽ tạo ra một bản vá ban đầu.

Sau đó, với một thông số kỹ thuật được cập nhật quy định không có xử lý độc lập Ring -3 hoặc các hệ thống phải minh bạch hoàn toàn, hãy yêu cầu các công ty chip tuân thủ và tạo ra các biến thể của bộ xử lý của họ có thể sử dụng trong đợt làm mới tiếp theo.

Tuy nhiên, cơ hội tốt nhất là để châu Âu tự xây dựng chip trung tâm dữ liệu của riêng mình. Việc nói rằng cách duy nhất để làm điều này là đợi RISC-V trưởng thành trong khoảng một thập kỷ là quá bi quan. Có rất nhiều chuyên môn về Arm và sở hữu trí tuệ (IP) có thể cấp phép cho các thiết bị hiệu suất cao. Nó không phải là mã nguồn mở, nhưng nó có sẵn cho khách hàng dưới thỏa thuận không tiết lộ (NDA), và với giấy phép Arm phù hợp, bạn có thể thêm bất cứ thứ gì bạn thích.

Apple đã bắt đầu phát triển dự án trở thành chip Apple Silicon M1 vào năm 2018 và bắt đầu bán kết quả chỉ hai năm sau đó. Nếu EU muốn, họ có thể yêu cầu một bên thứ ba xây dựng các thiết kế Arm theo thông số kỹ thuật chủ quyền kỹ thuật số. Họ có thể thành lập văn phòng thiết kế riêng của mình, tuyển dụng nhân tài và giữ mọi thứ nội bộ. Apple đã làm được, Qualcomm và Broadcom đã làm được, Samsung, MediaTek và Renesas cũng đã làm được. Đây là một con đường đã được trải phẳng.

Quy mô thị trường cho các chip trung tâm dữ liệu được chứng nhận chủ quyền kỹ thuật số hiện chưa biết rõ, nhưng có khả năng cao rằng bất kỳ doanh nghiệp nào được thiết lập để tạo ra chúng sẽ nhận được sự quan tâm lớn từ các doanh nghiệp và các quốc gia khác không muốn những con chip cốt lõi nhất của mình do thám họ. Hơn nữa, châu Âu sẽ có được một số khả năng thiết kế CPU rất mong muốn.

Bạn chỉ có thể có chủ quyền kỹ thuật số thực sự khi bạn kiểm soát hoặc tin tưởng chuỗi cung ứng kết nối dữ liệu và mạng lưới. Đó là góc nhìn có thể mang lại những gì cần thiết, và là góc nhìn duy nhất có thể làm được điều đó. Mã nguồn mở là nền tảng rõ ràng cho thành phần phần mềm, nhưng không nhất thiết phải dành cho phần cứng.

Chúng ta có thể buộc Intel và AMD phải đốt bỏ sổ mã của họ, và chúng ta có thể trục xuất họ hoàn toàn khỏi pháo đài. Sự kiểm soát tốt nhất là sự kiểm soát tối đa nếu bạn muốn làm vua.