Mã hóa đầu cuối là gì và tại sao nó lại quan trọng?

Tác giả sysadmin, T.Mười 27, 2023, 01:49:56 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Mã hóa đầu cuối là gì và tại sao nó lại quan trọng?


Cách tốt nhất để giữ an toàn cho dữ liệu nhạy cảm của bạn khỏi những con mắt tò mò.

  • Mã hóa là một cách xáo trộn dữ liệu để đảm bảo rằng chỉ những người có khóa giải mã mới có thể truy cập được, mang lại sự bảo mật cho các hoạt động trực tuyến của bạn.
  • Mã hóa hai đầu đảm bảo rằng chỉ người gửi và người nhận tin nhắn mới có thể xem nội dung, mang lại sự riêng tư và bảo mật cao hơn cho các cuộc trò chuyện và lưu trữ dữ liệu nhạy cảm.


Mã hóa đầu cuối (E2EE) là gì và tại sao nó lại gây tranh cãi đến vậy? Bạn có nên sử dụng nó? Đây là tất cả mọi thứ bạn cần biết về nó.

Bài viết về Tuần nhận thức về An ninh mạng này được mang đến cho bạn cùng với Incogni.

1. Khái niệm cơ bản về mã hóa

Đầu tiên, hãy bắt đầu với những điều cơ bản về mã hóa. Mã hóa là một cách xáo trộn (mã hóa) dữ liệu để mọi người không thể đọc được. Chỉ những người có thể giải mã (giải mã) thông tin mới có thể xem được nội dung của nó. Nếu ai đó không có khóa giải mã, họ sẽ không thể giải mã dữ liệu và xem thông tin.

(Tất nhiên đây là cách nó hoạt động. Một số hệ thống mã hóa có lỗi bảo mật và các điểm yếu khác.)

Thiết bị của bạn luôn sử dụng nhiều hình thức mã hóa khác nhau. Ví dụ: khi bạn truy cập trang web ngân hàng trực tuyến của mình — hoặc bất kỳ trang web nào sử dụng HTTPS, hầu hết các trang web hiện nay — thông tin liên lạc giữa bạn và trang web đó đều được mã hóa để nhà điều hành mạng, nhà cung cấp dịch vụ Internet và bất kỳ ai khác rình mò lưu lượng truy cập của bạn không thể nhìn thấy mật khẩu ngân hàng và chi tiết tài chính của bạn.

Wi-Fi cũng sử dụng mã hóa. Đó là lý do tại sao hàng xóm của bạn không thể nhìn thấy mọi thứ bạn đang làm trên mạng Wi-Fi của mình — giả sử rằng dù sao thì bạn cũng sử dụng tiêu chuẩn bảo mật Wi-Fi hiện đại chưa bị bẻ khóa.

Mã hóa cũng được sử dụng để bảo mật dữ liệu của bạn. Các thiết bị hiện đại như iPhone, điện thoại Android, iPad, máy Mac, Chromebook và hệ thống Linux (nhưng không phải tất cả PC Windows) lưu trữ dữ liệu của chúng trên thiết bị cục bộ của bạn ở dạng mã hóa. Nó được giải mã sau khi bạn đăng nhập bằng mã PIN hoặc mật khẩu.

2. Mã hóa "đang chuyển tiếp" và "ở trạng thái nghỉ ngơi": Ai nắm giữ chìa khóa?

Vì vậy, mã hóa có ở khắp mọi nơi và điều đó thật tuyệt. Nhưng khi bạn nói về việc liên lạc riêng tư hoặc lưu trữ dữ liệu một cách an toàn, câu hỏi đặt ra là: Ai giữ chìa khóa?

Ví dụ: hãy nghĩ về tài khoản Google của bạn. Dữ liệu Google của bạn — email Gmail, sự kiện Lịch Google, tệp Google Drive, lịch sử tìm kiếm và các dữ liệu khác — có được bảo mật bằng mã hóa không?

Vâng, vâng. Trong một số cách thức.

Google sử dụng mã hóa để bảo mật dữ liệu "trong quá trình chuyển tiếp". Ví dụ: khi bạn truy cập tài khoản Gmail của mình, Google sẽ kết nối thông qua HTTPS an toàn. Điều này đảm bảo rằng không ai khác có thể theo dõi hoạt động liên lạc đang diễn ra giữa thiết bị của bạn và máy chủ của Google. Nhà cung cấp dịch vụ Internet, nhà điều hành mạng, những người trong phạm vi phủ sóng của mạng Wi-Fi và bất kỳ thiết bị nào khác giữa bạn và máy chủ của Google không thể xem nội dung email hoặc chặn mật khẩu tài khoản Google của bạn.

Google cũng sử dụng mã hóa để bảo mật dữ liệu "ở trạng thái nghỉ". Trước khi dữ liệu được lưu vào đĩa trên máy chủ của Google, dữ liệu sẽ được mã hóa. Ngay cả khi ai đó thực hiện một vụ trộm, lẻn vào trung tâm dữ liệu của Google và đánh cắp một số ổ cứng, họ cũng không thể đọc được dữ liệu trên các ổ đó.

Tất nhiên, cả mã hóa khi truyền và khi lưu trữ đều quan trọng. Chúng tốt cho bảo mật và quyền riêng tư. Nó tốt hơn nhiều so với việc gửi và lưu trữ dữ liệu không được mã hóa!

Nhưng đây là câu hỏi: Ai nắm giữ chìa khóa có thể giải mã dữ liệu này? Câu trả lời là Google. Google nắm giữ chìa khóa.

3. Tại sao việc ai là người nắm giữ chìa khóa lại quan trọng

Vì Google giữ chìa khóa nên điều này có nghĩa là Google có thể xem dữ liệu của bạn - email, tài liệu, tệp, sự kiện lịch và mọi thứ khác.

Nếu một nhân viên lừa đảo của Google muốn rình mò dữ liệu của bạn — và vâng, điều đó đã xảy ra — thì mã hóa sẽ không ngăn cản họ.

Nếu một hacker bằng cách nào đó xâm phạm hệ thống và khóa riêng của Google (phải thừa nhận là cấp độ cao), họ sẽ có thể đọc được dữ liệu của mọi người.

Nếu Google được yêu cầu chuyển dữ liệu cho chính phủ thì Google sẽ có thể truy cập vào dữ liệu của bạn và bàn giao dữ liệu đó.

Tất nhiên, các hệ thống khác có thể bảo vệ dữ liệu của bạn. Google cho biết họ đã triển khai các biện pháp bảo vệ tốt hơn chống lại các kỹ sư lừa đảo truy cập dữ liệu. Google rõ ràng rất nghiêm túc trong việc giữ an toàn cho hệ thống của mình khỏi tin tặc. Ví dụ: Google thậm chí còn từ chối yêu cầu cung cấp dữ liệu ở Hồng Kông.

Vì vậy, những hệ thống đó có thể bảo vệ dữ liệu của bạn. Nhưng đó không phải là mã hóa bảo vệ dữ liệu của bạn khỏi Google. Đó chỉ là chính sách của Google bảo vệ dữ liệu của bạn.

Đừng có ấn tượng rằng đây là tất cả về Google. Hầu hết các công ty mà bạn quen thuộc có thể đều có những hoạt động tương tự. Ngay cả Apple, một công ty thường được ca ngợi về các biện pháp bảo vệ quyền riêng tư của mình, cũng chỉ bổ sung tính năng mã hóa đầu cuối cho iCloud vào cuối năm 2022.

4. Cách mã hóa đầu cuối hoạt động

Bây giờ, hãy nói về các ứng dụng trò chuyện. Ví dụ: Facebook Messenger. Khi bạn liên hệ với ai đó trên Facebook Messenger, tin nhắn sẽ được mã hóa khi truyền giữa bạn và Facebook cũng như giữa Facebook và người khác. Nhật ký tin nhắn được lưu trữ được Facebook mã hóa ở trạng thái lưu trữ trước khi được lưu trữ trên máy chủ của Facebook.

Nhưng Facebook có chìa khóa. Bản thân Facebook có thể xem nội dung tin nhắn của bạn.

Giải pháp là mã hóa đầu cuối. Với mã hóa hai đầu, nhà cung cấp ở giữa — bất kỳ ai mà bạn thay thế Google hoặc Facebook, trong các ví dụ này — sẽ không thể xem nội dung tin nhắn của bạn. Họ không giữ chìa khóa để mở dữ liệu riêng tư của bạn. Chỉ bạn và người mà bạn đang liên lạc mới giữ chìa khóa để truy cập dữ liệu đó.

Tin nhắn của bạn thực sự riêng tư và chỉ bạn và những người bạn đang nói chuyện cùng mới có thể xem chúng — chứ không phải công ty ở giữa.

5. Tại sao nó quan trọng

Mã hóa đầu cuối mang lại nhiều quyền riêng tư hơn. Ví dụ: khi bạn trò chuyện qua dịch vụ trò chuyện được mã hóa hai đầu như Signal, bạn biết rằng chỉ bạn và người mà bạn đang nói chuyện cùng mới có thể xem nội dung liên lạc của bạn.

Tuy nhiên, khi bạn trò chuyện qua ứng dụng nhắn tin không được mã hóa hai đầu — như Facebook Messenger — bạn biết rằng công ty đang tham gia cuộc trò chuyện có thể xem nội dung liên lạc của bạn.

Nó không chỉ là về các ứng dụng trò chuyện. Ví dụ: email có thể được mã hóa hai đầu, nhưng nó yêu cầu định cấu hình mã hóa PGP hoặc sử dụng dịch vụ được tích hợp sẵn, như ProtonMail. Rất ít người sử dụng email được mã hóa hai đầu.

Mã hóa hai đầu giúp bạn tự tin khi giao tiếp và lưu trữ thông tin nhạy cảm, cho dù đó là chi tiết tài chính, điều kiện y tế, tài liệu kinh doanh, thủ tục pháp lý hay chỉ là những cuộc trò chuyện cá nhân thân mật mà bạn không muốn bất kỳ ai khác có quyền truy cập.

6. Mã hóa đầu cuối không chỉ dành cho truyền thông

Mã hóa đầu cuối theo truyền thống là một thuật ngữ được sử dụng để mô tả thông tin liên lạc an toàn giữa những người khác nhau. Tuy nhiên, thuật ngữ này cũng thường được áp dụng cho các dịch vụ khác mà chỉ bạn mới nắm giữ khóa mới có thể giải mã dữ liệu của mình.

Ví dụ: các trình quản lý mật khẩu như 1Password, BitWarden, LastPass và Dashlane được mã hóa hai đầu. Công ty không thể lục lọi kho mật khẩu của bạn — mật khẩu của bạn được bảo mật bằng một bí mật mà chỉ bạn biết.

Theo một nghĩa nào đó, đây được coi là mã hóa "từ đầu đến cuối" — ngoại trừ việc bạn đang ở cả hai đầu. Không ai khác - kể cả công ty sản xuất trình quản lý mật khẩu - nắm giữ chìa khóa cho phép họ giải mã dữ liệu riêng tư của bạn. Bạn có thể sử dụng trình quản lý mật khẩu mà không cần cấp cho nhân viên của công ty quản lý mật khẩu quyền truy cập vào tất cả mật khẩu ngân hàng trực tuyến của bạn.

Một ví dụ điển hình khác: Nếu dịch vụ lưu trữ tệp được mã hóa hai đầu, điều đó có nghĩa là nhà cung cấp dịch vụ lưu trữ tệp không thể xem nội dung tệp của bạn. Nếu bạn muốn lưu trữ hoặc đồng bộ hóa các tệp nhạy cảm với dịch vụ đám mây — ví dụ: tờ khai thuế có số an sinh xã hội của bạn và các chi tiết nhạy cảm khác — dịch vụ lưu trữ tệp được mã hóa là cách an toàn hơn để thực hiện điều đó thay vì chỉ lưu trữ chúng vào đám mây truyền thống dịch vụ lưu trữ như Dropbox, Google Drive hoặc Microsoft OneDrive.

7. Một nhược điểm: Đừng quên mật khẩu của bạn!

Có một nhược điểm lớn với mã hóa đầu cuối đối với người bình thường: Nếu mất khóa giải mã, bạn sẽ mất quyền truy cập vào dữ liệu của mình. Một số dịch vụ có thể cung cấp khóa khôi phục mà bạn có thể lưu trữ nhưng nếu bạn quên mật khẩu và mất các khóa khôi phục đó, bạn sẽ không thể giải mã dữ liệu của mình được nữa.

Đó là một lý do lớn khiến các công ty như Apple chẳng hạn có thể không muốn mã hóa hai đầu bản sao lưu iCloud. Vì Apple giữ khóa mã hóa nên nó có thể cho phép bạn đặt lại mật khẩu và cấp cho bạn quyền truy cập lại vào dữ liệu của mình. Đây là hệ quả của việc Apple nắm giữ khóa mã hóa và từ góc độ kỹ thuật, có thể làm bất cứ điều gì họ thích với dữ liệu của bạn. Nếu Apple không giữ khóa mã hóa cho bạn, bạn sẽ không thể khôi phục dữ liệu của mình.

Hãy tưởng tượng nếu mỗi khi ai đó quên mật khẩu vào một trong các tài khoản của họ, dữ liệu của họ trong tài khoản đó sẽ bị xóa và không thể truy cập được. Quên mật khẩu Gmail của bạn? Google sẽ phải xóa tất cả Gmail của bạn để trả lại tài khoản cho bạn. Đó là điều sẽ xảy ra nếu mã hóa đầu cuối được sử dụng ở mọi nơi.

8. Ví dụ về các dịch vụ được mã hóa đầu cuối

Dưới đây là một số dịch vụ liên lạc cơ bản cung cấp mã hóa đầu cuối. Đây không phải là danh sách đầy đủ - đây chỉ là phần giới thiệu ngắn gọn.

Đối với các ứng dụng trò chuyện, Signal cung cấp mã hóa đầu cuối cho mọi người theo mặc định. Apple iMessage cung cấp mã hóa đầu cuối nhưng Apple nhận được bản sao tin nhắn của bạn với cài đặt sao lưu iCloud mặc định. WhatsApp cho biết mọi cuộc trò chuyện đều được mã hóa nối đầu nhưng nó chia sẻ rất nhiều dữ liệu với Facebook. Một số ứng dụng khác cung cấp tính năng mã hóa đầu cuối như một tính năng tùy chọn mà bạn phải kích hoạt theo cách thủ công, bao gồm Telegram và Facebook Messenger.

Đối với email được mã hóa hai đầu, bạn có thể sử dụng PGP — tuy nhiên, việc thiết lập. Thunderbird hiện đã tích hợp hỗ trợ PGP. Có các dịch vụ email được mã hóa như ProtonMail và Tutanota lưu trữ email của bạn trên máy chủ của họ bằng mã hóa và giúp bạn có thể gửi email được mã hóa dễ dàng hơn. Ví dụ: nếu một người dùng ProtonMail gửi email cho một người dùng ProtonMail khác, tin nhắn sẽ tự động được gửi được mã hóa để không ai khác có thể xem nội dung của nó. Tuy nhiên, nếu người dùng ProtonMail gửi email cho ai đó bằng dịch vụ khác, họ sẽ cần thiết lập PGP để sử dụng mã hóa. (Lưu ý rằng email được mã hóa không mã hóa mọi thứ: Ví dụ: mặc dù nội dung thư được mã hóa nhưng dòng chủ đề thì không.)

Mã hóa đầu cuối là quan trọng. Nếu bạn định trò chuyện riêng tư hoặc gửi thông tin nhạy cảm, bạn có muốn đảm bảo rằng chỉ bạn và người đang nói chuyện cùng mới có thể xem tin nhắn của bạn không?