CoverDrop - Hệ thống nhắn tin an toàn cho ứng dụng đọc tin tức

 (github.com/guardian)
1 điểm bởi GN⁺ 2025-06-11 | 1 bình luận | Chia sẻ qua WhatsApp
  • Giải pháp nhắn tin bảo mật mã nguồn mở giúp người dùng ứng dụng đọc tin và nhà báo liên lạc an toàn với nhau תוך khi vẫn giữ được tính ẩn danhkhả năng chối bỏ
  • Vì mọi thiết bị người dùng đều tạo ra lưu lượng mã hóa ngẫu nhiên, nên ngay cả khi có trao đổi tin nhắn thì trên mạng cũng không thể phân biệt với việc sử dụng ứng dụng tin tức thông thường
  • Tin nhắn được xử lý với mã hóa kép cùng kích thước và tần suất giống nhau, nên không để lại bằng chứng ngay cả khi thiết bị bị thu giữ
  • Bao gồm kiến trúc đầu-cuối hoàn chỉnh như ứng dụng di động, cloud API, máy chủ bảo mật và desktop client dành cho nhà báo
  • Phát triển mã nguồn mở minh bạch, công nghệ mật mã mạnh mẽ và các tính năng chuyên biệt tối ưu cho nhu cầu của tổ chức tin tức là những ưu điểm so với các dự án hiện có

Giới thiệu CoverDrop

  • CoverDrop là hệ thống an toàn được thiết kế để người dùng ứng dụng di động của các công ty tin tức có thể gửi tin nhắn bí mật và không thể bị truy vết cho phóng viên
  • Hệ thống này cung cấp khả năng chối bỏ mạnh mẽ, khiến nhà phân tích mạng không thể phân biệt ứng dụng đang được dùng cho liên lạc bảo mật hay chỉ để tiêu thụ tin tức thông thường

Các thành phần chính

  • Mô-đun trong ứng dụng tin tức: tích hợp vào ứng dụng di động của người dùng
  • Cloud API: đóng vai trò điểm kết nối trung tâm
  • CoverNode: tập hợp dịch vụ vận hành ở địa điểm an toàn
  • Ứng dụng desktop cho nhà báo: client trên PC dành cho phóng viên

Cấu trúc gồm 4 thành phần này hiện thực hóa mã hóa đầu cuốibảo mật mạnh mẽ

Cách hoạt động

  • Mọi instance của ứng dụng tin tức đều định kỳ trao đổi dữ liệu mã hóa nhỏ ("cover message") với máy chủ
  • Các tin báo thực tế (source message) cũng được mã hóa và truyền đi hoàn toàn giống hệt cover message thông thường. Trên mạng không thể phân biệt được
  • Tất cả tin nhắn được xử lý với cùng kích thước và chu kỳ, rồi được truyền qua Kinesis stream để xử lý
  • Trên máy chủ sẽ diễn ra bước giải mã lớp đầu tiên và phân biệt tin nhắn thật, sau đó được chuyển đến client của nhà báo dưới dạng dead drop. Nhờ padding, kích thước dead drop được giữ đồng đều
  • Nhà báo chỉ có thể giải mã cuối cùng các tin nhắn được mã hóa bằng khóa công khai của mình
  • Kho lưu trữ tin nhắn luôn ở trạng thái mã hóa, nên ngay cả khi thiết bị bị thu giữ cũng không thể chứng minh có đối thoại thực sự hay không
  • Khi nhà báo trả lời, việc liên lạc được mã hóa và trao đổi khóa cũng diễn ra theo cách tương tự

Có thể xem thiết kế chi tiết hơn và cấu trúc thuật toán trong white paper được đồng biên soạn cùng Khoa Khoa học Máy tính, Đại học Cambridge

Chính sách bảo mật

  • Tính bảo mật của CoverDrop là ưu tiên hàng đầu
  • Thừa nhận rằng không thể có bảo mật tuyệt đối, và hoan nghênh báo cáo từ các nhà nghiên cứu bảo mật
  • Các vấn đề liên quan đến tính bí mật và toàn vẹn của tin nhắn, tính ẩn danh trên mạng và mã hóa có khả năng chối bỏ là những lĩnh vực đang tiếp tục được cải thiện
  • Các vấn đề side channel do những thành phần khác trong ứng dụng tin tức tích hợp gây ra cũng đang được tích cực cải thiện

Lưu ý khi sử dụng phần mềm mật mã

  • CoverDrop bao gồm phần mềm mật mã
  • Cần tuân thủ luật pháp liên quan đến nhập khẩu, sử dụng và tái xuất công nghệ mật mã của từng quốc gia
  • Phân loại BIS của Bộ Thương mại Hoa Kỳ: ECCN 5D002.C.1 (phần mềm bao gồm mật mã bất đối xứng)
  • Bản phân phối mã nguồn mở này thuộc diện ngoại lệ xuất khẩu (TSU, §740.13)

Giấy phép

  • Kho lưu trữ CoverDrop được cung cấp theo Apache License 2.0

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-06-11
Ý kiến trên Hacker News

  • Với những ai cần giải thích thêm, trang chính https://www.coverdrop.org/ có vẻ phù hợp để cung cấp thông tin hữu ích. Có cảm giác khá đáng tiếc là Đạo luật Bí mật Nhà nước Chính thức của Anh năm 1920 từng bảo vệ việc liên lạc ẩn danh với các tòa soạn báo, nhưng phần này đã biến mất trong các lần sửa đổi luật sau đó.

  • Nhiều tổ chức tin tức đang dùng https://securedrop.org/, nên cũng nảy sinh thắc mắc CoverDrop khác gì và tốt hơn ở điểm nào. Có thể xem danh mục các cơ quan báo chí được hỗ trợ tại https://securedrop.org/directory/.

    • Bài báo đã đề cập rồi, nhưng điểm khác biệt là SecureDrop và CoverDrop tập trung vào các tình huống hơi khác nhau. SecureDrop dùng TOR, và điều này có thể bị phát hiện ở cấp độ mạng hoặc trên thiết bị, nên trong một số tình huống, chỉ riêng việc dùng TOR cũng có thể làm lộ danh tính người tố giác. Ngược lại, việc cài một ứng dụng tin tức ít gây nghi ngờ hơn. CoverDrop phù hợp để người dùng mới liên hệ lần đầu mà không bị lộ. Lưu lượng mạng không khác gì người dùng bình thường, và bộ nhớ ứng dụng vẫn chiếm dung lượng dù có dùng thật hay không, tạo ra tính chất có thể chối bỏ. CoverDrop không thể gửi tệp lớn như SecureDrop, và bài báo đề xuất rằng nếu cần thì nhà báo có thể hướng dẫn cách dùng SecureDrop một cách an toàn ngay trong tin nhắn CoverDrop. Vì vậy, nếu đã có đủ nhận thức bảo mật và năng lực kỹ thuật, đi thẳng tới SecureDrop có thể vẫn là lựa chọn đơn giản hơn.

    • SecureDrop rất tốt và The Guardian cũng có kế hoạch tiếp tục sử dụng. Khác biệt lớn là SecureDrop đạt được tính ẩn danh mà không cần cài Tor Browser; việc đưa tính năng này vào ngay trong ứng dụng tin tức làm giảm mạnh rào cản cho những người tố giác không rành kỹ thuật. Về cơ bản, nó hỗ trợ đạt được OPSEC tốt. CoverDrop (Secure Messaging) hiện vẫn có giới hạn: trước hết, do đặc tính giao thức nên chưa thể tải tài liệu lên, mỗi ngày chỉ gửi được vài KB. Hiện tại, nhà báo có thể hướng người dùng sang Signal tùy tình huống. Vì nhà báo sẽ đánh giá trước danh tính và mối đe dọa đối với nguồn tin rồi mới cung cấp số Signal, nên đây là một cấu trúc tốt để lọc bớt rủi ro. Về sau, họ cũng đang cân nhắc chức năng đánh giá rủi ro ngay trong hệ thống CoverDrop rồi gửi liên kết tải tài liệu lên, đồng thời giảm thiểu tối đa việc làm tổn hại tính ẩn danh, ví dụ ngụy trang như tệp đính kèm email được mã hóa, v.v. Có bài báo tham khảo. Một hạn chế nữa là tính ẩn danh của hệ thống này phụ thuộc vào lượng người dùng lớn của ứng dụng; nếu một hãng tin nhỏ triển khai thì đặc tính đó có thể yếu đi. Dù vậy, trên thực tế, chỉ riêng cấu trúc lưu trữ có thể chối bỏ cũng đã là bước tiến lớn so với các cách tố giác khác như PGP hay nền tảng dựa trên Tor. Tuy nhiên, việc nó vẫn khá an toàn ngay cả khi chỉ mình bạn dùng ứng dụng này cũng là một điểm tích cực.

    • Câu hỏi tương tự cũng có trong FAQ trên trang chủ.

  • Tôi thật sự thích ý tưởng này; nó gợi nhớ đến các hệ thống liên lạc bí mật mà CIA từng tạo ra trên các fan site Star Wars trước đây. Dù The Guardian không nói thẳng, nhưng việc ứng dụng này thực sự được thiết kế như một câu chuyện ngụy trang như vậy khiến cách tiếp cận dùng ứng dụng tin tức làm vỏ bọc trở nên rất ấn tượng. Cá nhân tôi muốn thêm một lời khuyên: nếu định tiết lộ thông tin qua ứng dụng này, tôi sẽ ngần ngại dùng nó trên thiết bị có thể bị điều tra bất cứ lúc nào. Ví dụ có thể là điện thoại công ty cấp; bản thân việc cài ứng dụng Guardian có thể không phải vấn đề, nhưng nếu sau này Guardian đăng một tin lớn về chính tổ chức đó trong một cuộc điều tra nội bộ, người ta có thể thu hẹp danh sách như sau: 1. Những người vốn có quyền tiếp cận thông tin đó 2. Trong số đó, những người đã cài ứng dụng, có dấu vết tải về, hoặc từ chối nộp thiết bị. Nếu bạn làm rò rỉ thông tin chỉ một nhóm nhỏ biết, hoặc nếu thiết bị gắn trực tiếp với danh tính người dùng thực, thì nên dùng thiết bị của người khác (ví dụ người thân) để giảm nguy cơ lộ diện. Mục tiêu thực sự là không bị nghi ngờ trong quá trình điều tra, và vì ứng dụng này cùng thông tin cung cấp có thể được liên hệ trực tiếp với bài báo của Guardian, nên dù an toàn về mặt kỹ thuật thì nó vẫn khó trở thành một câu chuyện ngụy trang hoàn hảo. Khuyến nghị cuối cùng là dùng một thiết bị khó liên hệ với bản thân sẽ an toàn hơn nhiều khi tiết lộ thông tin. Vì phần này không được nêu trong mô hình đe dọa, nên có thể sẽ dẫn đến thêm nạn nhân.

    • Bình luận từ góc nhìn trưởng nhóm kỹ thuật của dự án: tôi đồng ý rằng không nên dùng điện thoại công việc, đặc biệt vì nhiều thiết bị công việc thực chất có cài các giải pháp quản lý di động (MDM) gần như giống phần mềm gián điệp. Nếu quy mô tập người dùng ẩn danh nhỏ thì chỉ tiếp cận bằng kỹ thuật cũng có giới hạn, và điều này cần được nhấn mạnh lại. Chúng tôi đã nỗ lực rất nhiều để việc sử dụng ứng dụng có thể được chối bỏ đầy đủ ngay cả trong tình huống tố giác nội bộ. Dữ liệu được chia thành kho lưu trữ "công khai" và "riêng tư", dữ liệu riêng tư được bảo vệ trong kho mã hóa có kích thước cố định bằng kỹ thuật KDF do một thành viên nhóm ở Cambridge phát triển (liên kết). Nhưng nếu thiết bị đã bị cài spyware thì mọi nỗ lực như vậy cũng trở nên vô nghĩa. Chúng tôi đã nhận thức được rủi ro này và đã bàn thảo nội bộ, đồng thời sẽ tiếp tục bổ sung giải thích trong FAQ, đặc biệt theo hướng ghi rõ cảnh báo về việc dùng thiết bị có MDM. Dự kiến sẽ cập nhật sớm. Ngoài ra, ứng dụng cũng có chức năng phát hiện và cảnh báo thiết bị đã root hoặc đang ở chế độ debug. Việc phát hiện MDM là một trò mèo vờn chuột, nên giải pháp tốt nhất vẫn là người dùng tuyệt đối không dùng thiết bị công việc.

  • Bao giờ mới có bản phát hành chính thức, tôi muốn đăng ký vào Obtainium, đây là câu hỏi về lịch trình.

    • Vì dự án này ở dạng thư viện nên không rõ có phù hợp để đăng ký hay không. Đối tượng đăng ký thực tế phải là ứng dụng sử dụng thư viện đó, và hiện tại có vẻ chỉ có ứng dụng Guardian. Hiện đang chờ phản hồi từ đội Guardian xem sau này họ có kế hoạch phân phối ngoài Play Store hay không.