Q1. Bạn có thể tóm tắt câu chuyện nguồn gốc của Session và động lực nào đã khiến bạn xây dựng một mạng lưới nhắn tin phi tập trung?
Session là sự sáng tạo chung của hàng trăm người đóng góp từ khắp nơi trên thế giới - đó là vẻ đẹp của phần mềm mã nguồn mở; bất kỳ ai cũng có thể viết và đóng góp mã vào mã nguồn của Session. Tuy nhiên, mỗi sản phẩm đều có một câu chuyện sáng lập trung tâm hơn. Đối với Session, những người sáng lập ban đầu muốn xây dựng một ứng dụng minh chứng trên một mạng lưới phi tập trung mới được thành lập. Chúng tôi nghĩ rằng ứng dụng minh chứng tốt nhất là xây dựng một ứng dụng nhắn tin lưu trữ và định tuyến tin nhắn qua mạng lưới phi tập trung này, vì một khi bạn có một ứng dụng nhắn tin cơ bản, bạn có thể tổng quát hóa khái niệm này cho nhiều ứng dụng khác thường chỉ đơn giản là chuyển tin nhắn từ thiết bị này sang thiết bị khác. Session ra mắt dưới một tên khác và phát triển ngay lập tức. Rõ ràng là sự chú ý nên được tập trung vào Session, và những gì ban đầu được thiết kế như một bằng chứng về khái niệm đã trở thành một trong những ứng dụng nhắn tin riêng tư lớn nhất hiện có ngày nay.
Q2. Chỉ thị khẩn cấp gần đây của CISA đã xác định hai lỗ hổng nghiêm trọng trong TM SGNL. Từ góc độ của bạn, điều gì đã sai trong thiết kế hoặc triển khai mà cho phép kẻ tấn công thu thập nhật ký trò chuyện và siêu dữ liệu?
Đây là một trường hợp điển hình của các vấn đề thiết kế và triển khai liên tiếp, mà bản thân chúng có thể không thể khai thác, nhưng khi kết hợp lại có thể gây ra sự cố thảm khốc trong bảo mật của một mạng.
Lỗi đầu tiên nằm ở thiết kế, TeleMessage đã lấy Signal, một ứng dụng nhắn tin an toàn nổi tiếng, và thêm vào đó một cửa hậu có chủ ý trong ứng dụng với mục đích tạo ra một nhật ký kiểm toán. Cách mà nhật ký kiểm toán này hoạt động là bằng cách gửi một bản sao của mỗi tin nhắn mà người dùng gửi, trước khi nó được mã hóa đầu-cuối, đến một máy chủ trung tâm duy nhất, máy chủ đó sau đó sẽ lưu trữ một bản sao của tất cả các tin nhắn này trong trạng thái không được mã hóa. Điều này đã tạo ra một bẫy cho những kẻ tấn công với dữ liệu cực kỳ nhạy cảm, một kho báu thông tin an ninh quốc gia không thể cưỡng lại đối với hacker.
Sự cố thứ hai là do cấu hình sai của một dịch vụ (Spring Boot Actuator) chạy trên máy chủ lưu trữ TM SGNL. Đây là một vấn đề cấu hình rất cơ bản khi một URL thường được các nhà phát triển sử dụng để chẩn đoán lỗi đã bị để mở cho bất kỳ ai sử dụng mà không cần xác thực. Điều này cho phép kẻ tấn công trích xuất bộ nhớ của máy chủ, trong bộ nhớ trích xuất, các tin nhắn không được mã hóa và thông tin xác thực của người dùng đã hiển thị dưới dạng văn bản thuần túy, cho phép tin tặc phục hồi tin nhắn và thông tin tài khoản.
Điều quan trọng cần lưu ý là cả hai thất bại cần tồn tại song song để một vụ hack quy mô lớn như vậy xảy ra. Điều này thường xảy ra trong các vụ vi phạm an ninh mạng, khi mà kẻ tấn công sẽ tìm thấy một lỗ hổng thiết kế hoặc thực hiện duy nhất và sau đó sử dụng lỗ hổng đó để tìm các điểm yếu khác để khai thác.
Q3. Tần suất các khách hàng E2EE—kể cả những khách hàng tương thích với Signal—giới thiệu những điểm yếu như vậy là bao nhiêu, và tại sao những điều này không được phát hiện sớm hơn?
Các ứng dụng nhắn tin cấp tiêu dùng phổ biến như WhatsApp, Signal và Telegram thường có bảo mật tốt hơn nhiều xung quanh các máy chủ của họ so với các máy chủ TeleMessage. Tuy nhiên, khi nói đến các ứng dụng nhắn tin được phát triển và sửa đổi rõ ràng để tạo ra một nhật ký kiểm toán của các cuộc hội thoại, thì thường thấy các loại cấu hình sai như vậy. Đặc biệt khi các ứng dụng đó có mã nguồn đóng, các nhà nghiên cứu bảo mật cộng đồng không có khả năng phân tích mã để phát hiện điểm yếu, vì vậy các cấu hình sai phổ biến có thể không được phát hiện trong một thời gian dài hoặc bị giữ bí mật bởi các hacker cấp nhà nước để duy trì các lỗ hổng trong các hệ thống mà không được khắc phục.
Q4. Bạn đã lập luận rằng miễn là một nhà cung cấp duy nhất kiểm soát các phần quan trọng của hệ thống, sẽ có một rủi ro tiềm ẩn. Sự tập trung của nhà cung cấp chuyển thành những thất bại về quyền riêng tư trong thế giới thực như thế nào?
Tập trung vào nhà cung cấp thường đi kèm với mã nguồn đóng và máy chủ tập trung. Khi một dịch vụ nhắn tin lưu trữ tất cả tin nhắn của người dùng ở một vị trí trung tâm duy nhất, nó tạo ra một điểm thu hút cho các kẻ tấn công, họ biết rằng bằng cách xâm nhập vào một máy chủ duy nhất, họ có thể truy cập vào tất cả các tin nhắn được gửi qua dịch vụ này. Khi kết hợp với mã nguồn đóng mà không thể được các nhà nghiên cứu và kiểm toán an ninh mã nguồn mở xem xét, động lực cho các kẻ tấn công gia tăng, và các lỗi mà lẽ ra sẽ được phát hiện lại không được chú ý bởi tất cả trừ những kẻ tấn công tinh vi nhất, những người giữ các lỗi này trong bí mật để có thể duy trì quyền truy cập ngược của họ, để lại tất cả người dùng của dịch vụ bị xâm phạm.
Q5. Bạn có thể chia sẻ một ví dụ ( ngoài TM SGNL) nơi mà một lỗi từ phía nhà cung cấp đã làm suy yếu các đảm bảo của mã hóa đầu cuối không?
Việc Signal sử dụng Twilio để xác thực SMS đã dẫn đến việc một số tài khoản của người dùng Signal bị xâm phạm khi Twilio bị hack. Vì xác thực SMS là một trong những cách mà người dùng Signal có thể khôi phục tài khoản của họ, khi Twilio bị hack, các kẻ tấn công có thể đánh lừa các máy chủ của Signal nghĩ rằng chúng sở hữu số điện thoại của một người dùng Signal và khôi phục tài khoản của họ, sử dụng quyền truy cập này để gửi tin nhắn trái phép từ các tài khoản của người dùng Signal đó.
Q6. Tại sao bạn tin rằng phân quyền là cách duy nhất để giảm thiểu hoàn toàn rủi ro từ nhà cung cấp đơn lẻ?
Sự phân quyền là cách duy nhất để giảm thiểu hoàn toàn rủi ro từ nhà cung cấp đơn lẻ vì nó loại bỏ điểm thất bại duy nhất vốn có trong bất kỳ hệ thống tập trung nào. Khi một thực thể duy nhất kiểm soát các phần quan trọng của hệ thống – từ danh tính người dùng đến việc định tuyến và lưu trữ tin nhắn – họ trở thành mục tiêu không thể cưỡng lại cho các kẻ tấn công, và các lỗi thiết kế hoặc triển khai của họ có thể gây ra những hậu quả thảm khốc, như đã thấy với TM SGNL.
Trong một mạng lưới phi tập trung, không có máy chủ trung tâm nào để bị xâm phạm, không có công ty nào bị áp lực để chèn các lỗ hổng, và không có cơ sở dữ liệu duy nhất nào bị nhắm đến để thu thập siêu dữ liệu. Danh tính người dùng thường là các khóa mã hóa, không phải là các định danh thế giới thực gắn liền với một cơ quan trung ương. Các tin nhắn được định tuyến và lưu trữ trên một mạng lưới phân phối các nút độc lập, có nghĩa là không một nút nào thấy cả địa chỉ IP của người gửi và người nhận, và không có thực thể nào có thể thu thập một nhật ký toàn diện về các giao tiếp.
Sự phân phối quyền lực và dữ liệu này vốn dĩ làm cho hệ thống trở nên linh hoạt hơn trước các cuộc tấn công, kiểm duyệt và khai thác dữ liệu vì không có một điểm tắc nghẽn nào để khai thác. An ninh không phụ thuộc vào độ tin cậy của một công ty duy nhất, mà phụ thuộc vào tính toàn vẹn tập thể và thiết kế mã hóa mạnh mẽ của mạng lưới phân tán.
Q7. Session sử dụng một mạng lưới các nút dịch vụ. Kiến trúc này đảm bảo rằng không bên nào có thể làm lộ dữ liệu người dùng như thế nào?
Khác với các ứng dụng nhắn tin truyền thống, Session không dựa vào một máy chủ trung tâm duy nhất lưu trữ tất cả dữ liệu người dùng. Thay vào đó, các tin nhắn được định tuyến qua một mạng lưới phân tán gồm hàng ngàn nút Session do cộng đồng tự vận hành. Điều này loại bỏ hiệu ứng "honey pot" của một cơ sở dữ liệu tập trung duy nhất, làm cho việc thu thập các tin nhắn mã hóa và siêu dữ liệu toàn diện trở nên cực kỳ khó khăn cho bất kỳ thực thể nào. Các nút Session tạm thời lưu trữ các tin nhắn cho người nhận ngoại tuyến. Tuy nhiên, các tin nhắn này được mã hóa đầu cuối, có nghĩa là các nút không thể đọc được nội dung. Hơn nữa, các tin nhắn chỉ được lưu trữ trong một khoảng thời gian giới hạn (Thời gian sống ) và có thể bị xóa ngay khi đã đọc, ngăn chặn việc lưu trữ lâu dài trên mạng lưới nút.
Ngoài ra, Session sử dụng một kỹ thuật định tuyến hành tây đã được chỉnh sửa, tương tự như Tor. Khi bạn gửi một tin nhắn, nó được mã hóa theo từng lớp, và mỗi lớp sẽ được các Node Session tiếp theo bóc ra. Quan trọng là, không một node nào biết cả địa chỉ IP của người gửi và người nhận. Điều này có nghĩa là ngay cả khi một node bị xâm nhập, nó cũng không thể liên kết một tin nhắn trở lại nguồn gốc hoặc điểm đến của nó.
Tài khoản phiên được tạo ra bằng cách mã hóa mà không yêu cầu bất kỳ thông tin cá nhân nào như số điện thoại hoặc địa chỉ email. Điều này có nghĩa là không có danh tính thực tế nào liên kết với ID Tài khoản Phiên của bạn, làm tăng cường tính riêng tư và khiến việc xâm phạm danh tính của người dùng qua các vi phạm dữ liệu bên ngoài trở nên khó khăn hơn.
Cách tiếp cận nhiều lớp này, không có điểm kiểm soát trung tâm, lưu trữ tạm thời, mã hóa đầu cuối và định tuyến ẩn danh, đảm bảo rằng ngay cả khi một số ít Node Phiên bị xâm phạm, tính toàn vẹn và quyền riêng tư tổng thể của mạng sẽ vẫn được bảo toàn.
Q8. Với việc triển khai TM SGNL trong các cơ quan liên bang, bạn có thấy các chính phủ đang tiến tới việc nhắn tin thực sự phi tập trung không? Rào cản nào tồn tại đối với sự chuyển dịch đó?
Đó là một vấn đề khó. Các cơ quan chính phủ thường yêu cầu các nhật ký kiểm toán được tạo ra và lưu trữ theo cách mà kiểm toán viên có thể xem được, điều này tạo ra một lỗ hổng bảo mật vốn có, mã hóa đầu cuối được thiết kế để chỉ những người tham gia cuộc trò chuyện mới nên thấy nội dung của các thông điệp. Yêu cầu kiểm toán giới thiệu một cửa sau có chủ ý vào mã hóa đầu cuối mà rất khó để triển khai một cách an toàn.
Tuy nhiên, có những cách để quản lý điều này tốt hơn, ví dụ như nhật ký kiểm toán luôn nên được lưu trữ mã hóa khi không hoạt động và phải có các biện pháp bảo vệ mạnh mẽ xung quanh những người dùng có thể truy cập nhật ký kiểm toán đó. Chính phủ nên sử dụng các công cụ mã nguồn mở có thể dễ dàng được kiểm toán và suy nghĩ rất cẩn thận về cách lưu trữ nhật ký kiểm toán và các máy chủ mà chúng được lưu trữ.
Nếu quy định được cập nhật, nó có thể cung cấp một cách để các giải pháp phi tập trung được tận dụng tốt hơn trong giao tiếp của chính phủ.
Q9. Bạn sẽ thuyết phục một tổ chức chú trọng đến an ninh chuyển từ một khách hàng độc quyền tương thích với Signal sang Session như thế nào?
Tôi nghĩ rằng vụ hack TM SGNL cung cấp động lực rõ ràng nhất cho người dùng để chuyển từ các giải pháp công nghệ độc quyền sang các công cụ mã nguồn mở như Session, vốn cung cấp các tính năng bảo mật và quyền riêng tư được nâng cao hơn. Có thể trong tương lai, các tổ chức sẽ sử dụng các công cụ mã nguồn mở như Session và phát triển các công cụ kiểm toán riêng của họ kết nối với những công cụ này. Tuy nhiên, các giải pháp kiểm toán như vậy cũng nên là mã nguồn mở và có thể kiểm toán được để đảm bảo rằng chúng ta không thấy các vấn đề tương tự như TM SGNL xuất hiện trở lại.
Q10. Nhìn về phía trước, những tính năng hoặc cải tiến lớn nào đang có trên lộ trình của Session trong 12-18 tháng tới? Cuối cùng, tầm nhìn lâu dài của bạn cho Session và cho việc nhắn tin an toàn, riêng tư là gì?
Tập trung hiện tại của Session là tiếp cận nhiều người dùng hơn. Session đã có hơn một triệu người dùng hoạt động hàng tháng, nhưng chúng tôi muốn thấy nhiều người dùng hơn nữa chọn các giải pháp tích hợp sự riêng tư và bảo mật mạnh mẽ vào cốt lõi của thiết kế ứng dụng. Các cộng tác viên của Session hiện đang làm việc trên một bộ tính năng cao cấp cho người dùng chính của Session, mang lại nguồn tài trợ bền vững cho hệ sinh thái Session. Điều này bao gồm các tính năng như nhóm lớn hơn, tùy chỉnh hồ sơ nhiều hơn và kích thước tệp lớn hơn, tất cả các tính năng này đều tăng cường tiện ích của Session.
Nói một cách rộng rãi hơn, tôi thấy Session là ứng dụng duy nhất cung cấp cả quyền riêng tư về nội dung và siêu dữ liệu trong một trải nghiệm dễ sử dụng và dễ tiêu thụ, và tôi nghĩ rằng khi các vụ rò rỉ dữ liệu tiếp tục ảnh hưởng đến người dùng, Session sẽ tiếp tục phát triển trong 12-18 tháng tới.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Tái định nghĩa Tin nhắn Bảo mật: một cái nhìn sâu sắc với Người sáng lập Session Kee Jefferys
Q1. Bạn có thể tóm tắt câu chuyện nguồn gốc của Session và động lực nào đã khiến bạn xây dựng một mạng lưới nhắn tin phi tập trung?
Session là sự sáng tạo chung của hàng trăm người đóng góp từ khắp nơi trên thế giới - đó là vẻ đẹp của phần mềm mã nguồn mở; bất kỳ ai cũng có thể viết và đóng góp mã vào mã nguồn của Session. Tuy nhiên, mỗi sản phẩm đều có một câu chuyện sáng lập trung tâm hơn. Đối với Session, những người sáng lập ban đầu muốn xây dựng một ứng dụng minh chứng trên một mạng lưới phi tập trung mới được thành lập. Chúng tôi nghĩ rằng ứng dụng minh chứng tốt nhất là xây dựng một ứng dụng nhắn tin lưu trữ và định tuyến tin nhắn qua mạng lưới phi tập trung này, vì một khi bạn có một ứng dụng nhắn tin cơ bản, bạn có thể tổng quát hóa khái niệm này cho nhiều ứng dụng khác thường chỉ đơn giản là chuyển tin nhắn từ thiết bị này sang thiết bị khác. Session ra mắt dưới một tên khác và phát triển ngay lập tức. Rõ ràng là sự chú ý nên được tập trung vào Session, và những gì ban đầu được thiết kế như một bằng chứng về khái niệm đã trở thành một trong những ứng dụng nhắn tin riêng tư lớn nhất hiện có ngày nay.
Q2. Chỉ thị khẩn cấp gần đây của CISA đã xác định hai lỗ hổng nghiêm trọng trong TM SGNL. Từ góc độ của bạn, điều gì đã sai trong thiết kế hoặc triển khai mà cho phép kẻ tấn công thu thập nhật ký trò chuyện và siêu dữ liệu?
Đây là một trường hợp điển hình của các vấn đề thiết kế và triển khai liên tiếp, mà bản thân chúng có thể không thể khai thác, nhưng khi kết hợp lại có thể gây ra sự cố thảm khốc trong bảo mật của một mạng.
Lỗi đầu tiên nằm ở thiết kế, TeleMessage đã lấy Signal, một ứng dụng nhắn tin an toàn nổi tiếng, và thêm vào đó một cửa hậu có chủ ý trong ứng dụng với mục đích tạo ra một nhật ký kiểm toán. Cách mà nhật ký kiểm toán này hoạt động là bằng cách gửi một bản sao của mỗi tin nhắn mà người dùng gửi, trước khi nó được mã hóa đầu-cuối, đến một máy chủ trung tâm duy nhất, máy chủ đó sau đó sẽ lưu trữ một bản sao của tất cả các tin nhắn này trong trạng thái không được mã hóa. Điều này đã tạo ra một bẫy cho những kẻ tấn công với dữ liệu cực kỳ nhạy cảm, một kho báu thông tin an ninh quốc gia không thể cưỡng lại đối với hacker.
Sự cố thứ hai là do cấu hình sai của một dịch vụ (Spring Boot Actuator) chạy trên máy chủ lưu trữ TM SGNL. Đây là một vấn đề cấu hình rất cơ bản khi một URL thường được các nhà phát triển sử dụng để chẩn đoán lỗi đã bị để mở cho bất kỳ ai sử dụng mà không cần xác thực. Điều này cho phép kẻ tấn công trích xuất bộ nhớ của máy chủ, trong bộ nhớ trích xuất, các tin nhắn không được mã hóa và thông tin xác thực của người dùng đã hiển thị dưới dạng văn bản thuần túy, cho phép tin tặc phục hồi tin nhắn và thông tin tài khoản.
Điều quan trọng cần lưu ý là cả hai thất bại cần tồn tại song song để một vụ hack quy mô lớn như vậy xảy ra. Điều này thường xảy ra trong các vụ vi phạm an ninh mạng, khi mà kẻ tấn công sẽ tìm thấy một lỗ hổng thiết kế hoặc thực hiện duy nhất và sau đó sử dụng lỗ hổng đó để tìm các điểm yếu khác để khai thác.
Q3. Tần suất các khách hàng E2EE—kể cả những khách hàng tương thích với Signal—giới thiệu những điểm yếu như vậy là bao nhiêu, và tại sao những điều này không được phát hiện sớm hơn?
Các ứng dụng nhắn tin cấp tiêu dùng phổ biến như WhatsApp, Signal và Telegram thường có bảo mật tốt hơn nhiều xung quanh các máy chủ của họ so với các máy chủ TeleMessage. Tuy nhiên, khi nói đến các ứng dụng nhắn tin được phát triển và sửa đổi rõ ràng để tạo ra một nhật ký kiểm toán của các cuộc hội thoại, thì thường thấy các loại cấu hình sai như vậy. Đặc biệt khi các ứng dụng đó có mã nguồn đóng, các nhà nghiên cứu bảo mật cộng đồng không có khả năng phân tích mã để phát hiện điểm yếu, vì vậy các cấu hình sai phổ biến có thể không được phát hiện trong một thời gian dài hoặc bị giữ bí mật bởi các hacker cấp nhà nước để duy trì các lỗ hổng trong các hệ thống mà không được khắc phục.
Q4. Bạn đã lập luận rằng miễn là một nhà cung cấp duy nhất kiểm soát các phần quan trọng của hệ thống, sẽ có một rủi ro tiềm ẩn. Sự tập trung của nhà cung cấp chuyển thành những thất bại về quyền riêng tư trong thế giới thực như thế nào?
Tập trung vào nhà cung cấp thường đi kèm với mã nguồn đóng và máy chủ tập trung. Khi một dịch vụ nhắn tin lưu trữ tất cả tin nhắn của người dùng ở một vị trí trung tâm duy nhất, nó tạo ra một điểm thu hút cho các kẻ tấn công, họ biết rằng bằng cách xâm nhập vào một máy chủ duy nhất, họ có thể truy cập vào tất cả các tin nhắn được gửi qua dịch vụ này. Khi kết hợp với mã nguồn đóng mà không thể được các nhà nghiên cứu và kiểm toán an ninh mã nguồn mở xem xét, động lực cho các kẻ tấn công gia tăng, và các lỗi mà lẽ ra sẽ được phát hiện lại không được chú ý bởi tất cả trừ những kẻ tấn công tinh vi nhất, những người giữ các lỗi này trong bí mật để có thể duy trì quyền truy cập ngược của họ, để lại tất cả người dùng của dịch vụ bị xâm phạm.
Q5. Bạn có thể chia sẻ một ví dụ ( ngoài TM SGNL) nơi mà một lỗi từ phía nhà cung cấp đã làm suy yếu các đảm bảo của mã hóa đầu cuối không?
Việc Signal sử dụng Twilio để xác thực SMS đã dẫn đến việc một số tài khoản của người dùng Signal bị xâm phạm khi Twilio bị hack. Vì xác thực SMS là một trong những cách mà người dùng Signal có thể khôi phục tài khoản của họ, khi Twilio bị hack, các kẻ tấn công có thể đánh lừa các máy chủ của Signal nghĩ rằng chúng sở hữu số điện thoại của một người dùng Signal và khôi phục tài khoản của họ, sử dụng quyền truy cập này để gửi tin nhắn trái phép từ các tài khoản của người dùng Signal đó.
Q6. Tại sao bạn tin rằng phân quyền là cách duy nhất để giảm thiểu hoàn toàn rủi ro từ nhà cung cấp đơn lẻ?
Sự phân quyền là cách duy nhất để giảm thiểu hoàn toàn rủi ro từ nhà cung cấp đơn lẻ vì nó loại bỏ điểm thất bại duy nhất vốn có trong bất kỳ hệ thống tập trung nào. Khi một thực thể duy nhất kiểm soát các phần quan trọng của hệ thống – từ danh tính người dùng đến việc định tuyến và lưu trữ tin nhắn – họ trở thành mục tiêu không thể cưỡng lại cho các kẻ tấn công, và các lỗi thiết kế hoặc triển khai của họ có thể gây ra những hậu quả thảm khốc, như đã thấy với TM SGNL.
Trong một mạng lưới phi tập trung, không có máy chủ trung tâm nào để bị xâm phạm, không có công ty nào bị áp lực để chèn các lỗ hổng, và không có cơ sở dữ liệu duy nhất nào bị nhắm đến để thu thập siêu dữ liệu. Danh tính người dùng thường là các khóa mã hóa, không phải là các định danh thế giới thực gắn liền với một cơ quan trung ương. Các tin nhắn được định tuyến và lưu trữ trên một mạng lưới phân phối các nút độc lập, có nghĩa là không một nút nào thấy cả địa chỉ IP của người gửi và người nhận, và không có thực thể nào có thể thu thập một nhật ký toàn diện về các giao tiếp.
Sự phân phối quyền lực và dữ liệu này vốn dĩ làm cho hệ thống trở nên linh hoạt hơn trước các cuộc tấn công, kiểm duyệt và khai thác dữ liệu vì không có một điểm tắc nghẽn nào để khai thác. An ninh không phụ thuộc vào độ tin cậy của một công ty duy nhất, mà phụ thuộc vào tính toàn vẹn tập thể và thiết kế mã hóa mạnh mẽ của mạng lưới phân tán.
Q7. Session sử dụng một mạng lưới các nút dịch vụ. Kiến trúc này đảm bảo rằng không bên nào có thể làm lộ dữ liệu người dùng như thế nào?
Khác với các ứng dụng nhắn tin truyền thống, Session không dựa vào một máy chủ trung tâm duy nhất lưu trữ tất cả dữ liệu người dùng. Thay vào đó, các tin nhắn được định tuyến qua một mạng lưới phân tán gồm hàng ngàn nút Session do cộng đồng tự vận hành. Điều này loại bỏ hiệu ứng "honey pot" của một cơ sở dữ liệu tập trung duy nhất, làm cho việc thu thập các tin nhắn mã hóa và siêu dữ liệu toàn diện trở nên cực kỳ khó khăn cho bất kỳ thực thể nào. Các nút Session tạm thời lưu trữ các tin nhắn cho người nhận ngoại tuyến. Tuy nhiên, các tin nhắn này được mã hóa đầu cuối, có nghĩa là các nút không thể đọc được nội dung. Hơn nữa, các tin nhắn chỉ được lưu trữ trong một khoảng thời gian giới hạn (Thời gian sống ) và có thể bị xóa ngay khi đã đọc, ngăn chặn việc lưu trữ lâu dài trên mạng lưới nút.
Ngoài ra, Session sử dụng một kỹ thuật định tuyến hành tây đã được chỉnh sửa, tương tự như Tor. Khi bạn gửi một tin nhắn, nó được mã hóa theo từng lớp, và mỗi lớp sẽ được các Node Session tiếp theo bóc ra. Quan trọng là, không một node nào biết cả địa chỉ IP của người gửi và người nhận. Điều này có nghĩa là ngay cả khi một node bị xâm nhập, nó cũng không thể liên kết một tin nhắn trở lại nguồn gốc hoặc điểm đến của nó.
Tài khoản phiên được tạo ra bằng cách mã hóa mà không yêu cầu bất kỳ thông tin cá nhân nào như số điện thoại hoặc địa chỉ email. Điều này có nghĩa là không có danh tính thực tế nào liên kết với ID Tài khoản Phiên của bạn, làm tăng cường tính riêng tư và khiến việc xâm phạm danh tính của người dùng qua các vi phạm dữ liệu bên ngoài trở nên khó khăn hơn.
Cách tiếp cận nhiều lớp này, không có điểm kiểm soát trung tâm, lưu trữ tạm thời, mã hóa đầu cuối và định tuyến ẩn danh, đảm bảo rằng ngay cả khi một số ít Node Phiên bị xâm phạm, tính toàn vẹn và quyền riêng tư tổng thể của mạng sẽ vẫn được bảo toàn.
Q8. Với việc triển khai TM SGNL trong các cơ quan liên bang, bạn có thấy các chính phủ đang tiến tới việc nhắn tin thực sự phi tập trung không? Rào cản nào tồn tại đối với sự chuyển dịch đó?
Đó là một vấn đề khó. Các cơ quan chính phủ thường yêu cầu các nhật ký kiểm toán được tạo ra và lưu trữ theo cách mà kiểm toán viên có thể xem được, điều này tạo ra một lỗ hổng bảo mật vốn có, mã hóa đầu cuối được thiết kế để chỉ những người tham gia cuộc trò chuyện mới nên thấy nội dung của các thông điệp. Yêu cầu kiểm toán giới thiệu một cửa sau có chủ ý vào mã hóa đầu cuối mà rất khó để triển khai một cách an toàn.
Tuy nhiên, có những cách để quản lý điều này tốt hơn, ví dụ như nhật ký kiểm toán luôn nên được lưu trữ mã hóa khi không hoạt động và phải có các biện pháp bảo vệ mạnh mẽ xung quanh những người dùng có thể truy cập nhật ký kiểm toán đó. Chính phủ nên sử dụng các công cụ mã nguồn mở có thể dễ dàng được kiểm toán và suy nghĩ rất cẩn thận về cách lưu trữ nhật ký kiểm toán và các máy chủ mà chúng được lưu trữ.
Nếu quy định được cập nhật, nó có thể cung cấp một cách để các giải pháp phi tập trung được tận dụng tốt hơn trong giao tiếp của chính phủ.
Q9. Bạn sẽ thuyết phục một tổ chức chú trọng đến an ninh chuyển từ một khách hàng độc quyền tương thích với Signal sang Session như thế nào?
Tôi nghĩ rằng vụ hack TM SGNL cung cấp động lực rõ ràng nhất cho người dùng để chuyển từ các giải pháp công nghệ độc quyền sang các công cụ mã nguồn mở như Session, vốn cung cấp các tính năng bảo mật và quyền riêng tư được nâng cao hơn. Có thể trong tương lai, các tổ chức sẽ sử dụng các công cụ mã nguồn mở như Session và phát triển các công cụ kiểm toán riêng của họ kết nối với những công cụ này. Tuy nhiên, các giải pháp kiểm toán như vậy cũng nên là mã nguồn mở và có thể kiểm toán được để đảm bảo rằng chúng ta không thấy các vấn đề tương tự như TM SGNL xuất hiện trở lại.
Q10. Nhìn về phía trước, những tính năng hoặc cải tiến lớn nào đang có trên lộ trình của Session trong 12-18 tháng tới? Cuối cùng, tầm nhìn lâu dài của bạn cho Session và cho việc nhắn tin an toàn, riêng tư là gì?
Tập trung hiện tại của Session là tiếp cận nhiều người dùng hơn. Session đã có hơn một triệu người dùng hoạt động hàng tháng, nhưng chúng tôi muốn thấy nhiều người dùng hơn nữa chọn các giải pháp tích hợp sự riêng tư và bảo mật mạnh mẽ vào cốt lõi của thiết kế ứng dụng. Các cộng tác viên của Session hiện đang làm việc trên một bộ tính năng cao cấp cho người dùng chính của Session, mang lại nguồn tài trợ bền vững cho hệ sinh thái Session. Điều này bao gồm các tính năng như nhóm lớn hơn, tùy chỉnh hồ sơ nhiều hơn và kích thước tệp lớn hơn, tất cả các tính năng này đều tăng cường tiện ích của Session.
Nói một cách rộng rãi hơn, tôi thấy Session là ứng dụng duy nhất cung cấp cả quyền riêng tư về nội dung và siêu dữ liệu trong một trải nghiệm dễ sử dụng và dễ tiêu thụ, và tôi nghĩ rằng khi các vụ rò rỉ dữ liệu tiếp tục ảnh hưởng đến người dùng, Session sẽ tiếp tục phát triển trong 12-18 tháng tới.