Tin nhắn được Mã hóa Không Phải Là Ma Thuật

Việc truyền thông được mã hóa trước đây quá phức tạp để sử dụng trong đời sống hàng ngày, nhưng những ứng dụng dễ tiếp cận như WhatsApp và Signal đã trở thành lựa chọn không thể bỏ qua cho quyền riêng tư số. Với tất cả những tính năng tập trung vào an ninh của mình, như tin nhắn tự hủy và số an toàn xác nhận danh tính, ứng dụng chat an toàn có thể hoàn toàn mang lại sự an tâm. Bạn nên sử dụng chúng mà không ngần ngại. Nhưng như câu ngạn ngữ nói, không có điều gì là an ninh hoàn hảo. Và cảm giác bất khả xâm phạ có thể mang lại rủi ro.

Mã hóa end-to-end biến đổi tin nhắn thành những đoạn dữ liệu không thể hiểu ngay khi người dùng nhấn gửi. Từ đó, tin nhắn không được tái tạo thành một cái gì đó có thể hiểu được cho đến khi nó đến được thiết bị của người nhận. Trong quá trình di chuyển, tin nhắn là không thể đọc được, được bảo vệ khỏi ánh mắt tò mò. Nó về cơ bản tương đương với một vệ sĩ đưa bạn từ nhà bạn, điều hành với bạn trong chiếc xe của bạn và dẫn bạn đến cửa nơi bạn đang đến. Bạn an toàn trong quá trình vận chuyển, nhưng sự cảnh báo của bạn không nên kết thúc ở đó.

"Những công cụ này tốt hơn rất nhiều so với email truyền thống và các dịch vụ như Slack" về mặt bảo mật, như Matthew Green, một nhà mã hóa tại Đại học Johns Hopkins, nhấn mạnh. "Nhưng mã hóa không phải là ma thuật. Bạn có thể dễ dàng làm sai. Đặc biệt là nếu bạn không tin tưởng vào những người bạn đang trò chuyện, bạn sẽ gặp rắc rối."

Ở một mức độ nào đó, rõ ràng cả bạn và người bạn đang trò chuyện cùng có quyền truy cập vào cuộc trò chuyện được mã hóa—đó là ý nghĩa toàn bộ. Nhưng trong thực tế, dễ quên rằng những người bạn trò chuyện có thể cho người khác xem cuộc trò chuyện, chụp ảnh màn hình hoặc giữ cuộc trò chuyện trên thiết bị của họ mãi mãi.

Chủ tịch chiến dịch cũ của Trump, Paul Manafort, đã phải trả giá đắt khi FBI có được những tin nhắn mà ông gửi qua WhatsApp từ những người nhận tin đó.

Trong một cuộc điều tra khác, FBI có thể truy cập được tin nhắn Signal được gửi bởi cựu trợ lý ủy ban Tình báo Thượng viện James Wolfe và có ít nhất một số thông tin về thói quen trò chuyện mã hóa của phóng viên New York Times Ali Watkins, sau khi Bộ Tư pháp thu giữ hồ sơ truyền thông của cô trong một cuộc điều tra rò rỉ. Mặc dù không biết FBI làm thế nào để truy cập vào những cuộc trò chuyện mã hóa này, điều đó không nhất thiết phải thông qua một lối vào phá vỡ mã hóa nếu các nhà điều tra có quyền truy cập vào thiết bị hoặc hồ sơ từ các người tham gia trò chuyện khác.

Bạn cũng cần theo dõi số lượng thiết bị mà bạn đã lưu trữ tin nhắn được mã hóa. Nếu bạn đồng bộ hóa cuộc trò chuyện giữa điện thoại thông minh và laptop, hoặc sao lưu chúng trên đám mây, có khả năng cao là dữ liệu có thể bị tiết lộ. Một số dịch vụ như iMessage và WhatsApp, có thể đã bật sao lưu trên đám mây mặc định hoặc đẩy người dùng hướng đó để tối ưu hóa trải nghiệm người dùng. Manafort lại cung cấp một minh họa hữu ích; các nhà điều tra đã truy cập iCloud của ông để có được một số thông tin mà các nguồn tin đã cung cấp cho họ, cũng như để thu thập thông tin mới về hoạt động của ông. Cuộc trò chuyện được mã hóa trong WhatsApp; những bản sao lưu không phải vậy.

"Hệ thống số hóa rải dữ liệu khắp mọi nơi," Green lưu ý. "Và các nhà cung cấp có thể giữ lại siêu dữ liệu như ai bạn nói chuyện và khi nào. Ứng dụng trò chuyện được mã hóa có giá trị vì chúng thường giảm số lượng nơi dữ liệu của bạn có thể tồn tại. Tuy nhiên, dữ liệu được giải mã khi nó đến thiết bị của bạn."

Đó là nơi an ninh hoạt động, quá trình bảo vệ thông tin bằng cách nhìn tổng thể vào tất cả cách mà nó có thể được thu thập và phòng bị mỗi cách. Một "thất bại opsec," như nó được biết đến, xảy ra khi dữ liệu của ai đó rò rỉ vì họ không nghĩ đến một phương pháp mà một kẻ tấn công có thể sử dụng để truy cập nó, hoặc họ không thực hiện thủ tục được thiết kế để bảo vệ chống lại chiến lược đánh cắp cụ thể đó. Chỉ dựa vào các công cụ trò chuyện được mã hóa này mà không xem xét cách chúng hoạt động, và mà không thêm vào đó những bảo vệ bổ sung, để lộ một số con đường.

"Opsec tốt sẽ bảo vệ bạn khỏi crypto tồi, nhưng crypto tốt sẽ không bảo vệ bạn khỏi opsec tồi," nói Kenn White, giám đốc Dự án Kiểm tra Mã hóa Mở, nhấn mạnh theo cảnh báo cổ điển từ nhà nghiên cứu bảo mật The Grugq. "Dễ để người ta bị nhầm lẫn."

Những rủi ro đặt biệt cao trong lĩnh vực chính phủ, nơi ứng dụng trò chuyện được mã hóa và tính năng tin nhắn tự hủy trở nên ngày càng phổ biến giữa các quan chức. Chỉ trong tuần qua, nguồn tin cho biết cho CNBC biết rằng các nhà điều tra của ủy viên đặc biệt Robert Mueller đã yêu cầu các nhân chứng tự nguyện cấp quyền truy cập vào các ứng dụng trò chuyện được mã hóa của họ, bao gồm Dust, Confide, WhatsApp và Signal. CNBC đưa tin rằng các nhân chứng đã hợp tác để tránh bị triệu tập.

Một số ứng dụng trò chuyện được mã hóa cung cấp tính năng tin nhắn tự hủy để đảm bảo rằng cả bạn và người bạn đang trò chuyện không giữ dữ liệu quá lâu. Nhưng thậm chí cả biện pháp cẩn trọng này cũng cần đi kèm với hiểu biết rằng dịch vụ bạn đang sử dụng có thể không xoá thực sự những tin nhắn bạn đánh dấu để xóa khỏi máy chủ của họ. Signal gặp vấn đề gần đây, đầu tiên được báo cáo bởi Motherboard, khi một sửa lỗi cho một lỗi nhỏ lại tạo ra một lỗi khác không xoá một loạt tin nhắn mà người dùng đã đặt để tự động biến mất. Ứng dụng nhanh chóng khắc phục vấn đề, nhưng tình hình như là một lời nhắc rằng tất cả các hệ thống đều có nhược điểm.

"Các ứng dụng trò chuyện được mã hóa là công cụ, và giống như bất kỳ công cụ nào khác, chúng có sự hạn chế trong việc sử dụng," nói Eva Galperin, giám đốc an ninh mạng tại Tổ chức Froniter Điện tử.

Thực tế, chỉ đơn giản việc chọn một dịch vụ trò chuyện được mã hóa có thể mang theo những rủi ro không biết. Một số dịch vụ như Confide và Telegram chưa cho phép một đơn vị kiểm toán độc lập đánh giá mật mã của họ, điều này có nghĩa là khó biết được họ có đáng tin cậy đến đâu, họ giữ lời hứa nào, và họ thực sự lưu trữ dữ liệu người dùng gì. Và iMessage có thể thu thập nhiều siêu dữ liệu hơn bạn nghĩ.

Signal, đề xuất trò chuyện an toàn của Mytour, là mã nguồn mở, nhưng cũng đã chứng minh tính đáng tin cậy của mình trong một trường hợp năm 2016 khi dịch vụ bị triệu tập. Nhà phát triển Open Whisper Systems đã phản hồi một lệnh triệu tập của hội đồng lớn rằng nó chỉ có thể sản xuất thời gian mà một tài khoản được tạo và ngày gần đây nhất mà ứng dụng Signal của người dùng kết nối với máy chủ của nó. Tòa án đã yêu cầu nhiều chi tiết hơn như tên người dùng, địa chỉ, số điện thoại và địa chỉ email. Signal không giữ lại bất kỳ thứ gì.

Mặc dù mã hóa end-to-end là một bảo vệ quyền riêng tư quan trọng có thể ngăn chặn nhiều loại giám sát, bạn vẫn cần hiểu rõ những lối đi khác mà chính phủ hoặc kẻ tấn công có thể sử dụng để có được nhật ký trò chuyện. Ngay cả khi một dịch vụ hoạt động hoàn hảo, các yếu tố như nơi lưu trữ tin nhắn, ai khác đã nhận chúng và ai khác có quyền truy cập vào thiết bị chứa chúng đều đóng một vai trò quan trọng trong an ninh của bạn. Nếu bạn đang sử dụng các ứng dụng trò chuyện được mã hóa như một công cụ trong hộp công cụ riêng tư và an ninh của bạn, bạn có sức mạnh hơn. Nếu bạn tin vào nó như là một phương thuốc trường thì bạn đang đối mặt với rủi ro hơn bạn nghĩ.

Những bài viết tuyệt vời khác từ Mytour

• Cuối cùng, một hệ thống đánh giá thực tế cho công nghệ lái tự động
• Những rủi ro tiềm ẩn khi hút carbon từ không khí
• Star Wars và cuộc chiến của văn hóa fan ngày càng độc hại hơn
• Gặp Germán Garmendia, ngôi sao siêu phẩm trên YouTube với phong cách tận tụy muốn có tất cả
• Có quan trọng nếu Trung Quốc vượt qua Mỹ để xây dựng mạng 5G không?
• Tìm kiếm thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và không bao giờ bỏ lỡ những câu chuyện mới nhất và tuyệt vời nhất của chúng tôi