Vì sao chúng tôi từ bỏ Matrix (2024)

 (forum.hackliberty.org)
1 điểm bởi GN⁺ 2025-12-26 | 1 bình luận | Chia sẻ qua WhatsApp
  • Do các giới hạn bảo mật mang tính cấu trúc của giao thức Matrixcác vấn đề trong vận hành, cộng đồng Hack Liberty đã chuyển sang SimpleX
  • Lộ metadata, lạm dụng quyền quản trị viên, lỗ hổng mã hóa cùng nhiều vấn đề khác đã làm tổn hại nghiêm trọng đến quyền riêng tư và an toàn của người dùng
  • Việc tổ chức Matrix.org thu thập dữ liệu cá nhân, Cloudflare can thiệp kiểu trung gian, và ngừng hỗ trợ trình duyệt Tor cũng được chỉ ra là các yếu tố làm suy giảm niềm tin
  • SimpleX chuyển tiếp tin nhắn mà không dùng định danh người dùng, đồng thời tăng cường bảo mật bằng định tuyến onion 2-hoptrao đổi khóa mã hóa hậu lượng tử
  • Sự chuyển đổi này được đưa ra như một giải pháp thực tiễn nhằm đảm bảo bảo mật và quyền riêng tư cho các cộng đồng phi tập trung

Giới hạn của giao thức liên hợp

  • Mạng liên hợp (federated) cung cấp khả năng chống kiểm duyệt thông qua tương tác giữa nhiều máy chủ, nhưng lại hàm chứa các vấn đề bảo mật mang tính nền tảng ngay từ thiết kế
    • Sau hơn 2 năm vận hành các dịch vụ liên hợp công khai như Matrix và Lemmy, đã xác nhận được các khiếm khuyết cấu trúc mà mọi giao thức liên hợp đều cùng mắc phải

Các vấn đề của giao thức Matrix

Lộ metadata

  • Matrix không mã hóa người gửi tin nhắn, biệt danh, ảnh đại diện, phản ứng, trạng thái đã đọc, dấu thời gian
    • Do yêu cầu xác minh tin nhắn, hiệu năng và thiếu sót trong thiết kế giao thức, một phần metadata bị lộ như một khiếm khuyết có chủ ý hoặc lỗi thiết kế
    • Có đưa ra các liên kết ví dụ về các trường hợp rò rỉ thực tế

Tấn công quản trị viên ở giữa (Admin in the Middle)

  • Quản trị viên máy chủ độc hại có thể chỉ cần truy vấn cơ sở dữ liệu Synapse để thu thập thông tin người dùng, phản ứng, metadata phòng và nhiều dữ liệu khác
    • Có thể thực hiện các cuộc tấn công chủ động như mạo danh người dùng, đổi chủ đề phòng, mời hoặc đuổi tùy ý, thao túng quyền hạn
    • Cũng có thể thêm thiết bị mới để truy cập các tin nhắn E2EE, đồng thời cấu hình để người dùng bỏ qua cảnh báo

Điểm yếu mang tính cấu trúc của giao thức

  • Matrix hoạt động dưới dạng cơ sở dữ liệu đồ thị sao chép từng phần, và 22 lỗ hổng lớn sau đây đã được chỉ ra
    • Sự kiện không thể xóa, dễ bị spam, lệch lịch sử, khả năng giả mạo tin nhắn, mã hóa chọn lọc, không khớp chữ ký, tạo phòng kiểu split-brain, nguy cơ sao chép media bất hợp pháp và nhiều vấn đề khác
    • Trạng thái không nhất quán giữa các máy chủ có thể dẫn đến mất quyền quản trị hoặc không thể đóng phòng

Lỗ hổng mã hóa Megolm

  • Trong giao thức Megolm của Matrix, nhiều lỗ hổng mật mã mang tính thực tiễn đã được báo cáo
    • Tồn tại nhiều kịch bản tấn công như sụp đổ tính bí mật, tấn công xác minh, mạo danh được tin cậy, tấn công IND-CCA
    • Các cuộc tấn công này giả định có sự phối hợp từ máy chủ, và có thể tái hiện trong các thư viện lõi của client Element (matrix-js-sdk, v.v.)

Tiêu tốn tài nguyên quá mức

  • Máy chủ Synapse đòi hỏi CPU, bộ nhớ, đĩa và băng thông ở mức cao
    • Tùy số lượng người dùng, có thể cần 4 đến 12 instance, khiến chi phí vận hành trở nên quá lớn

Các vấn đề của tổ chức Matrix.org

Thu thập dữ liệu

  • matrix.orgvector.im thường xuyên thu thập email, số điện thoại, IP, thông tin thiết bị, mẫu sử dụng, ID phòng chat của người dùng
    • Ở cấu hình mặc định, thông tin cá nhân bị công khai, còn tệp, hình ảnh và thông tin hồ sơ được tải lên thì có thể bị truy cập công khai
    • Ngay cả khi dùng máy chủ riêng, dữ liệu nhạy cảm vẫn được gửi tới máy chủ trung tâm

Phát tán tài liệu lạm dụng tình dục trẻ em

  • Do Matrix.org phản ứng chậm, hàng chục nghìn kẻ ấu dâm đã phát tán nội dung bất hợp pháp
    • Không thể đóng phòng, tải lên media không kiểm chứng, và tính năng sao chép tự động đã khiến tài liệu bất hợp pháp lan ra toàn bộ liên hợp
    • Mỗi homeserver đều có khả năng cao phải lưu trữ nội dung bất hợp pháp

Cloudflare can thiệp kiểu trung gian

  • Đã xác nhận rằng lưu lượng TLS của matrix.orgvector.im được kết thúc tại Cloudflare, nên tồn tại khả năng tấn công trung gian

Ngừng hỗ trợ trình duyệt Tor

  • Web client Element không còn hỗ trợ trình duyệt Tor nữa
    • Việc hỗ trợ đã bị chấm dứt với lý do Tor dựa trên Firefox phiên bản cũ, không thể kiểm thử và thiếu kinh phí, đồng thời không có kế hoạch hỗ trợ

Các vấn đề liên quan đến Lemmy

  • Do có cùng cấu trúc liên hợp như Matrix, các vấn đề về sao chép dữ liệu, kiểm duyệt, trách nhiệm với nội dung bất hợp pháp cũng phát sinh tương tự
    • Phi tập trung kiểu kiểm duyệt thông qua “de-federation”, thúc đẩy tư duy bầy đàn (groupthink), thao túng upvote/downvote và các cơ chế khác đã hạn chế thảo luận tự do

Chuyển sang SimpleX

Cấu trúc truyền thông không định danh

  • SimpleX hoàn toàn không sử dụng định danh người dùng (số điện thoại, email, khóa công khai, v.v.)
    • Mỗi cuộc trò chuyện dùng địa chỉ hàng đợi tin nhắn một chiều độc lập để ẩn danh kết nối với đối phương
    • Trong tương lai, tính năng tự động thay hàng đợi sẽ hỗ trợ di chuyển giữa các máy chủ và ngăn chặn theo dõi

Ngăn chặn spam và lạm dụng

  • Chỉ có thể liên hệ khi trực tiếp chia sẻ liên kết mời hoặc địa chỉ tạm thời, nhờ đó chặn được truy cập không mong muốn
    • Có thể chặn hoàn toàn spam bằng cách đổi hoặc xóa địa chỉ

Toàn quyền sở hữu dữ liệu

  • Toàn bộ dữ liệu người dùng chỉ được lưu trên thiết bị client, còn máy chủ chỉ đóng vai trò relay tạm thời
    • Ngay cả với lưu lượng giữa các máy chủ, cũng không thể nhận diện bên gửi và bên nhận, tạo nên cấu trúc chuyển tiếp tin nhắn không thể theo dõi

Mạng do người dùng vận hành

  • Bất kỳ ai cũng có thể tự vận hành máy chủ SimpleX, và có thể phát triển bot hoặc dịch vụ bằng SDK và giao thức mở

So sánh với Matrix

Hạng mục SimpleX Matrix
Mã hóa Mã hóa kép + trao đổi khóa hậu lượng tử Megolm (có lỗ hổng)
Định tuyến tin nhắn Định tuyến onion 2-hop Cấu trúc liên hợp, lộ metadata
Phi tập trung Không có thành phần trung tâm Có node bootstrap trung tâm
Xử lý media Mã hóa cục bộ và xoay hàng đợi thủ công Tải lên không kiểm chứng, sao chép tự động
Hỗ trợ Tor Có hỗ trợ và cung cấp định tuyến onion Đã ngừng hỗ trợ
Cloudflare Không sử dụng TLS kết thúc tại Cloudflare

Đặc điểm kỹ thuật của SimpleX

  • Mã hóa đầu cuối dựa trên Double Ratchet, trao đổi khóa hậu lượng tử, định tuyến onion 2-hop
  • Hỗ trợ Tor và proxy SOCKS, kênh bảo mật TLS 1.2/1.3, cấu trúc chữ ký chống phát lại
  • Mạng phi tập trung hoàn toàn, tăng cường bảo vệ metadata nhờ tích hợp Flux

Trải nghiệm người dùng và các tính năng bổ sung

  • Gọi thoại/video E2EE, thông báo được mã hóa, mã hóa tệp cục bộ, chỉnh sửa tin nhắn/phản ứng, chat nhóm tiết kiệm pin
  • Cung cấp nhiều tính năng mở rộng như chế độ ẩn danh, client console, SDK cho bot, triển khai máy chủ Linode bằng one-click

Lộ trình sắp tới

  • Dự kiến phát triển cải thiện độ ổn định, hỗ trợ cộng đồng quy mô lớn, thanh trượt quyền riêng tư/bảo mật, cuộc trò chuyện tạm thời, chia sẻ vị trí, quy tắc tự động hóa và nhiều tính năng khác

Kết luận: Hack Liberty đã chuyển sang một mạng hoàn toàn tập trung vào quyền riêng tư dựa trên SimpleX do các khiếm khuyết bảo mật mang tính cấu trúc của Matrix và sự thiếu tin cậy trong vận hành. SimpleX được đưa ra như một nền tảng cộng đồng an toàn thế hệ mới nhờ giao tiếp không định danh, mã hóa mạnh và cấu trúc phi tập trung.

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-12-26
Ý kiến trên Hacker News

  • Tôi đã thực sự rất mong Matrix thành công, nhưng giờ thì đã từ bỏ hoàn toàn.
    Hệ thống giải quyết trạng thái (state resolution) quá phức tạp và ngốn tài nguyên. Việc phòng bị hỏng vẫn tiếp tục xảy ra. Ngay cả chỉ tính danh sách thành viên của một phòng thôi cũng kém hiệu quả đến mức dung lượng DB lên tới vài GB.
    Hơn nữa, dù đã nhiều năm trôi qua vẫn còn thiếu cả những tính năng cơ bản như emoji tùy chỉnh, trạng thái người dùng, hay liên kết mời.
    Vấn đề liên quan: #339, #573, #426
    Dạo gần đây SimpleX khá thú vị vì có vẻ đang nhắm tới mục tiêu giống Signal nhưng theo một hướng tiếp cận khác. Chỉ là hiện tại vẫn chưa có cảm giác nó đã phổ biến rộng rãi

    • Tôi cũng từng mong Matrix thành công, nhưng giờ ở trạng thái gần như bỏ cuộc một nửa. Trước đây tôi tự vận hành homeserver Synapse, nhưng nó ngốn tài nguyên quá mức. Thế là tôi quay lại XMPP. Nếu chỉ cần cung cấp chat thì XMPP hiệu quả hơn nhiều. Tôi định chờ SimpleX trưởng thành thêm một chút rồi mới dùng
    • Vấn đề state resolution đã được cải thiện khá nhiều sau Project Hydra. Vấn đề dung lượng DB là do hiệu quả lưu trữ của Synapse. Tôi đã chỉ cách khắc phục trong video này, nhưng ưu tiên trước mắt là sửa lỗi state reset.
      Những tính năng như emoji tùy chỉnh hay trạng thái người dùng thì đã có đề xuất MSC và đang được triển khai. Từ sau năm 2023, do khó khăn tài chính nên việc phát triển chủ yếu tập trung vào các dự án chính phủ để tồn tại
    • Tôi muốn hỏi là bạn đã thử dùng XMPP chưa
    • Tôi đã dùng SimpleX làm server mặc định khoảng 1 năm và nó hoạt động tốt. Tôi đã thử chuyển nhóm Signal sang SimpleX nhưng thất bại, và cuối cùng việc sử dụng cũng dừng lại
    • Tôi đã giữ cùng một phòng Matrix suốt nhiều năm rồi

  • Tôi và những người xung quanh có trải nghiệm với Matrix rất tích cực. Tôi đã onboard hàng chục người không chuyên kỹ thuật qua Beeper và Element, và mọi người đều dùng ổn. Đổi thiết bị cũng không thành vấn đề, và so với Discord thì UX cũng khá cạnh tranh.
    Vì vậy tôi không hiểu những lời phàn nàn trên HN. Tôi đoán có lẽ họ đang dùng server cũ hoặc client không tương thích

    • Có vẻ Matrix đã gần đến mức hoàn thiện, nên mọi người phản ứng nhạy cảm hơn với những lỗi còn sót lại. Vài năm gần đây ưu tiên là triển khai cho khu vực công, nên các tính năng cạnh tranh với Discord bị xếp sau
    • Tự host thì ổn, nhưng với những người chuyển từ Discord sang, liên kết mời và quy trình đăng ký quá phức tạp. Đặc biệt, việc thay đổi hệ thống chat thoại đã làm hỏng các cài đặt cũ, mà tài liệu lại còn thiếu
    • Tôi cũng đang quản lý server cá nhân bằng script ansible (matrix-docker-ansible-deploy), và nó chạy ổn định. Có lẽ là do khác biệt trải nghiệm với server công cộng (matrix.org)
    • Tôi cũng dùng rất ổn, không gặp vấn đề gì. Với các cuộc trò chuyện nhóm nhỏ cùng bạn bè thì nó hoạt động hoàn hảo
    • Tôi tò mò không biết trải nghiệm về mặt bảo mật thì thế nào

  • SimpleX nói rằng “không có định danh người dùng”, nhưng trên thực tế địa chỉ IP vẫn bị lộ nguyên vẹn. Toàn bộ mạng công khai đang được host bởi hai công ty là Akamai và Runonflux.
    Họ nên bundle Tor mặc định và giải thích rõ các tùy chọn che giấu IP. Hiện tại điều đó chỉ có nghĩa là “không tạo thêm định danh bổ sung”, chứ bản thân IP thì không được bảo vệ

    • Tôi là người thiết kế mạng SimpleX. Địa chỉ IP là định danh của Internet, không phải định danh của SimpleX. Mục tiêu của SimpleX là ngăn việc liên kết tương quan giữa các IP, và ngăn việc người dùng bị lộ với những server mà họ không lựa chọn.
      Lý do không nhúng Tor được giải thích trong FAQ
    • Tôi lo ngại vì SimpleX có dấu hiệu muốn tạo tiền mã hóa riêng

  • Tôi không có ý kiến gì về Matrix, nhưng rất khuyên nên đọc bài báo Nebuchadnezzar. Cốt lõi của nhắn tin bảo mật theo nhóm không phải là mã hóa mà là quản lý tư cách thành viên nhóm.
    Liên kết bài báo

    • Kết hợp với một hệ thống như FOKS(https://foks.pub) thì có vẻ sẽ khá thú vị
    • Tôi vừa đọc tài liệu giao thức Matrix lần đầu, và có cảm giác nó như được làm bởi người chưa hiểu rõ hệ thống phân tán. Nó giống như trộn IRC với XMPP mà không có khái niệm Lamport clock hay virtual synchrony.
      Phần cố gắng đạt đồng thuận bằng nhiều lần thử sắp xếp DAG khiến tôi thấy dự án này sai từ gốc. Thà tự làm group chat bằng NNTP + GnuPG còn hơn

  • Tôi đã đăng cập nhật cuối năm của Matrix: Matrix Holiday Special 2025
    Chúc mọi người một mùa cuối năm vui vẻ :)

  • Tôi đã dùng Matrix được 6 năm. Đợt làn sóng người dùng lớn năm 2020 thì khá vất vả, nhưng giờ đã ổn định.
    Tôi vẫn không hài lòng với bug và độ chậm của Element Web, nhưng có nhiều client thay thế nhẹ hơn.
    Mã hóa metadata vẫn chưa hoàn chỉnh, nhưng trong các cuộc trò chuyện hằng ngày của tôi thì không phải vấn đề lớn.
    Lý do tôi tiếp tục dùng Matrix là vì tổ hợp không thể thay thế gồm kiến trúc phân tán, E2EE, đa thiết bị, phần mềm tự do, và khả năng tự host.
    Phong cách lãnh đạo điềm tĩnh của người đứng đầu dự án cũng tạo cảm giác đáng tin

    • Tôi cũng đồng ý. Tôi đang dùng một bản fork tùy chỉnh vì vấn đề rò rỉ bộ nhớ của Element Web(liên kết issue).
      Nếu chuyển sang matrix-rust-sdk thì có vẻ sẽ cải thiện lớn. Tôi cũng kỳ vọng vào dự án Aurora
    • XMPP cũng có thể cung cấp gần như các tính năng tương tự với ít tài nguyên hơn nhiều. Với gọi video thì cần server TURN, nhưng nó hoạt động tốt

  • Có một bài nói chuyện của Moxie (người sáng lập Signal) tại CCC năm 2020 chỉ ra các vấn đề của hệ thống liên hợp (federation).
    Liên kết video

    • Bài blog năm 2016 của ông ấy là The Ecosystem Is Moving vẫn còn nguyên giá trị. Mỗi lần thấy những vấn đề mà hệ thống phân tán gặp phải, tôi lại đọc lại nó
    • Hệ thống tập trung luôn có lợi thế về khả năng điều phối, nên nếu hệ thống phân tán không có lý do tồn tại thật rõ ràng thì cuối cùng sẽ bị đẩy vào thị trường ngách
    • Tổng hợp các cuộc thảo luận liên quan:
    • Rốt cuộc, luận điểm là “chúng tôi muốn di chuyển nhanh và tự do thay đổi client”. Nhưng nếu cần quyền kiểm soát tuyệt đối với client thì ý nghĩa của E2EE sẽ giảm đi

  • Tôi không đồng ý với lập luận “Why Federation Must Die”. Liên hợp thì khó, nhưng đó là cách duy nhất để duy trì liên lạc an toàn trong EU ngay cả dưới các quy định như Chatcontrol.
    Hệ thống tập trung chỉ cần gây áp lực lên một tổ chức, còn hệ thống liên hợp thì khó kiểm soát hơn vì ai cũng có thể vận hành server

    • Bài đó không nói về liên hợp mà là ủng hộ phi tập trung hoàn toàn
    • Tôi cũng ủng hộ liên hợp. Nhìn vào Mastodon là thấy cấu trúc tự do hơn so với tập trung quan trọng thế nào. Tính khám phá (discoverability) thì khó, nhưng đổi lại tính tự chủ cao hơn nhiều

  • Phe phản đối Big Tech thực ra là một liên minh của nhiều hệ giá trị khác nhau.
    Một bên ưu tiên liên hợp và tự chủ, bên kia ưu tiên mã hóa và quyền riêng tư.
    Nếu nhận ra rằng ưu tiên của nhau khác nhau, có lẽ sẽ hợp tác khoan dung hơn dù không hoàn toàn trùng khớp

    • Tôi cũng nghĩ vậy. Tôi coi trọng tự host và khả năng tương tác, nhưng người khác lại xem E2EE và giảm thiểu metadata là quan trọng hơn.
      Với một dự án như Matrix thì gần như không thể làm hài lòng cả hai phe này.
      Hơn nữa, tiếng nói của phe bảo mật/quyền riêng tư lớn hơn, nên đôi khi diễn ngôn nghe tiêu cực hơn thực tế

  • Năm nay chúng tôi đang cải thiện bảo vệ metadata của Matrix.

    • MSC4362: mã hóa trạng thái phòng
    • MSC4256: loại bỏ người gửi và mã hóa dựa trên MLS
      Trước đây, vì phải tập trung ổn định hóa mã hóa trong môi trường phân tán nên việc bảo vệ metadata bị xếp sau.
      Ngoài ra, bản thân lưu lượng mạng cũng đã làm lộ nhiều metadata, nên rất khó che giấu hoàn toàn.
      Dù vậy, năm 2026 vẫn sẽ có những cải tiến tốt hơn nữa
      Tham khảo thêm tài liệu trình bày từ năm 2016: Matrix Jardin Entropique (PDF)
      Một số tuyên bố (ví dụ như gửi dữ liệu về server trung tâm) là không đúng sự thật. Xác thực media đã được áp dụng từ tháng 6/2024, và đến năm 2025 thì đội trust & safety cũng được tăng cường
    • Mọi người muốn tự host, nhưng rồi cuối cùng lại muốn dịch vụ host trả phí. Nếu có nhiều vấn đề bảo mật thì ngược lại còn có thể trở thành cơ hội kinh doanh hosting
    • Thái độ “hãy tự vận hành server đi” thì về lâu dài khó nhận được ủng hộ. Kỳ vọng người dùng phổ thông trở thành bán quản trị viên hệ thống là không thực tế