Telegram có thực sự là ứng dụng nhắn tin được mã hóa không?

 (blog.cryptographyengineering.com)
9 điểm bởi GN⁺ 2024-08-26 | 2 bình luận | Chia sẻ qua WhatsApp
  • Gần đây đã xảy ra vụ CEO của Telegram, Pavel Durov, bị chính quyền Pháp bắt giữ
  • Phần lớn tin tức mô tả Telegram là một "ứng dụng nhắn tin được mã hóa", điều này đúng về mặt kỹ thuật nhưng trên thực tế lại là cách diễn đạt sai lệch

Telegram có sử dụng mã hóa không?

  • Trong các dịch vụ nhắn tin cá nhân hiện đại, mã hóa về cơ bản có nghĩa là mã hóa đầu cuối
  • Telegram mặc định không cung cấp mã hóa đầu cuối
  • Chỉ khi người dùng tự kích hoạt tính năng "trò chuyện bí mật" thì mới có thể dùng mã hóa đầu cuối
  • Tính năng này chỉ khả dụng trong hội thoại 1:1 và không thể dùng trong trò chuyện nhóm
  • Nó được thiết kế theo cách khiến người không chuyên khó kích hoạt

Mã hóa mặc định có quan trọng không?

  • Việc Telegram thiếu mã hóa mặc định có thể không phải là vấn đề lớn với nhiều người dùng
  • Telegram thường được sử dụng như một mạng xã hội
  • Một trong những tính năng phổ biến của Telegram là "kênh" và các nhóm chat công khai quy mô lớn
  • Trong các cuộc trò chuyện công khai như vậy, mã hóa không có nhiều ý nghĩa
  • Tuy nhiên, khi nhiều người dùng trao đổi tin nhắn riêng tư, họ cần mã hóa mạnh

Telegram biết rằng việc dùng mã hóa là khó

  • Cơ chế mã hóa của Telegram đã bị chỉ trích nhiều từ năm 2016
  • Telegram vẫn không cung cấp mã hóa mặc định, và trải nghiệm người dùng cũng chưa được cải thiện
  • CEO của Telegram, Pavel Durov, quảng bá Telegram như một "trình nhắn tin bảo mật", nhưng thực tế không phải vậy

Những chi tiết mã hóa khô khan

  • Tính năng "trò chuyện bí mật" của Telegram sử dụng giao thức riêng là MTProto 2.0
  • Giao thức này dùng chế độ mã hóa xác thực phi tiêu chuẩn và có nhiều điểm khiến các chuyên gia phải đặt câu hỏi
  • Nếu trên thực tế không được sử dụng, thì mức độ an toàn của mã hóa cũng không mang nhiều ý nghĩa

Những điều khác cần biết

  • Mã hóa đầu cuối là công cụ tốt để ngăn rò rỉ dữ liệu, nhưng vấn đề metadata vẫn còn tồn tại
  • Metadata bao gồm ai đang dùng dịch vụ, đang trò chuyện với ai và trò chuyện vào lúc nào
  • Những dữ liệu này được lưu trên máy chủ của Telegram và hữu ích cho những người muốn thu thập chúng

Tóm tắt của GN⁺

  • Bài viết này nhằm đính chính những hiểu lầm về tính năng mã hóa của Telegram
  • Telegram mặc định không cung cấp mã hóa đầu cuối và người dùng phải tự kích hoạt
  • Mã hóa của Telegram khó sử dụng và nhiều người dùng không nhận ra điều đó
  • Vấn đề metadata vẫn còn tồn tại, và điều này áp dụng cho mọi mạng xã hội và trình nhắn tin cá nhân
  • Bài viết khuyến nghị các ứng dụng nhắn tin có mã hóa mặc định như Signal hoặc WhatsApp

Bài viết liên quan

2 bình luận

 
GN⁺ 2024-08-26
Ý kiến Hacker News

  • Có ý kiến cho rằng nên thử đăng nhập vào tài khoản trên thiết bị mới thông qua quy trình khôi phục mật khẩu để xem có thể xem lại các tin nhắn cũ hay không

    • Nếu làm được, cơ quan thực thi pháp luật cũng có thể truy cập

  • Có ý kiến cho rằng Telegram gần với một mạng xã hội hơn là một ứng dụng nhắn tin

    • Có nhiều kênh hữu ích và nó đóng vai trò quan trọng trong việc chia sẻ thông tin ở nhiều quốc gia
    • Nhìn từ góc độ này, e2ee (mã hóa đầu cuối) không quá quan trọng
    • Trong lúc hầu hết mạng xã hội như Reddit, X, Instagram đều đóng API, Telegram vẫn cung cấp API miễn phí

  • Có ý kiến cho rằng Telegram mặc định không được mã hóa, và ngay cả khi có mã hóa thì cũng không nên tin tưởng giao thông tin quan trọng cho các thiết bị đã được liên kết

    • Telegram hiện là nền tảng giao tiếp tốt nhất
    • Nó có nhiều tính năng và vượt trội về chức năng so với các nền tảng khác
    • Mong rằng Telegram vẫn sẽ được duy trì tốt ngay cả sau sự việc gần đây

  • Có ý kiến cho rằng vấn đề là phần lớn người dùng không chuyên kỹ thuật đều nghĩ Telegram nhìn chung là e2ee

  • Có ý kiến cho rằng cách Telegram cung cấp e2ee giống như cách McDonalds cung cấp salad

  • Có ý kiến cho rằng tuy không hiểu rõ về mã hóa, nhưng hạ tầng phân tán của Telegram về cơ bản không hẳn là tệ

    • Việc chỉ tập trung vào e2ee có thể gây hiểu lầm
    • Telegram bảo vệ dữ liệu bằng cách sử dụng hạ tầng phân tán
    • Chỉ có thể cung cấp dữ liệu sau khi vượt qua sự xem xét của nhiều hệ thống pháp lý
    • Cho đến nay chưa từng tiết lộ dữ liệu người dùng cho bên thứ ba

  • Có ý kiến cho rằng nhờ bài blog này, giờ đã có thể cung cấp tài liệu hữu ích cho những người khẳng định Telegram là an toàn

    • Signal cung cấp tính năng Sealed Sender để phần nào giảm bớt vấn đề metadata

  • Có ý kiến cho rằng bài viết về Telegram là điều giới kỹ thuật đã biết rõ, nhưng phần lớn người dùng bị các nhà báo dẫn dắt sai lệch

    • Việc có cần mã hóa hay không là quyết định của mỗi cá nhân
    • Cần có lựa chọn dựa trên hiểu biết đầy đủ

  • Có ý kiến đặt câu hỏi rằng nếu mã hóa của Telegram tệ đến vậy thì tại sao Pavel Durov lại bị bắt

    • Ông bị bắt vì không hợp tác trong việc trấn áp các hoạt động bất hợp pháp trên Telegram
    • CEO của các mạng xã hội khác thì không bị bắt
    • Có ý kiến đặt câu hỏi liệu có phải vì Telegram không có backdoor hay không

  • Có ý kiến cho rằng họ chủ yếu dùng Telegram cho các cuộc gọi âm thanh p2p e2ee

    • Tính năng này rất tốt