Tổng quan kỹ thuật của DAVE
Với giao thức mới, dữ liệu cuộc gọi sẽ được mã hóa ở phía người dùng trước khi gửi đến người nhận, sau đó được phía người nhận giải mã. Chỉ những người tham gia cuộc gọi mới biết khóa của từng người gửi cần thiết để giải mã.
DAVE được tạo ra với sự trợ giúp của các nhà nghiên cứu tại công ty an ninh mạng Trail of Bits (Mỹ), đơn vị cũng đã kiểm tra mã nguồn và quá trình triển khai E2EE. Việc giới thiệu DAVE là một động thái quan trọng nhằm tăng cường bảo mật dữ liệu và quyền riêng tư trên nền tảng được hơn 200 triệu người sử dụng.
Quan trọng nhất, Discord quyết định tùy biến giao thức và các thư viện hỗ trợ thành mã nguồn mở, cho phép các nhà nghiên cứu bảo mật giám sát. Một sách trắng (Whitepaper) với thông tin kỹ thuật đầy đủ cũng đã được công bố, đảm bảo tính minh bạch đối với cộng đồng.
DAVE sử dụng API chuyển đổi được mã hóa WebRTC, cho phép mã hóa các khung media (âm thanh và video). Chỉ có siêu dữ liệu (metadata) codec đặc biệt, chẳng hạn như tiêu đề mới không được mã hóa.
Hình 1. Tổng quan hoạt động của DAVE
Về quản lý khóa, giao thức MLS (Messaging Layer Security) được sử dụng để trao đổi nhóm khóa an toàn và có thể mở rộng. Thuật toán chữ ký số Elliptic Curve (ECDSA) nhằm tạo cặp khóa nhận dạng.
Khi thành phần của nhóm thay đổi (một thành viên rời đi hoặc một thành viên mới tham gia), lúc này hệ thống sẽ tạo khóa mới. Quá trình này được hoàn tất mà không gây gián đoạn đáng kể cho những người tham gia.
Discord cho biết MLS sẽ tăng thêm độ trễ cho các trao đổi quan trọng, nhưng DAVE được thiết kế để giữ độ trễ đó dưới ngưỡng vài trăm mili giây, ngay cả trong các cuộc gọi nhóm với nhiều người dùng tham gia.
Cuối cùng, liên quan đến việc xác minh người dùng, có những phương pháp quản lý ngoài băng tần (out-of-band), chẳng hạn như so sánh mã xác minh được gọi là “mã bảo mật âm thanh”. Khả năng chống theo dõi liên tục đạt được thông qua việc sử dụng khóa định danh tạm thời, vì người dùng sẽ được cấp một khóa mới cho mỗi cuộc gọi.
Hình 2. Màn hình mã bảo mật âm thanh
Triển khai theo giai đoạn
Discord đã bắt đầu quá trình di chuyển các kênh sang DAVE và người dùng sẽ có thể xác nhận cuộc gọi của họ có được mã hóa đầu cuối hay không bằng cách kiểm tra chỉ báo tương ứng trên giao diện.
Dự kiến sẽ mất một thời gian trước khi tất cả người dùng có thể truy cập đầy đủ vào hệ thống E2EE mới trên mọi thiết bị và kênh. Giai đoạn triển khai đầu tiên sẽ áp dụng cho ứng dụng Discord trên máy tính để bàn và thiết bị di động, sau đó sẽ áp dụng cho phiên bản web.
Hồng Đạt
(Tổng hợp)
15:00 | 03/06/2024
10:00 | 13/12/2023
07:00 | 20/05/2022
16:00 | 13/09/2024
Cùng với sự phát triển của công nghệ, tội phạm mạng đang gia tăng thủ đoạn sử dụng video, hình ảnh ghép mặt người quen cùng với giọng nói đã được ghi âm sẵn (deepfake) với mục đích tạo niềm tin, khiến nạn nhân tin tưởng và chuyển tiền cho thủ phạm nhằm lừa đảo chiếm đoạt tài sản. Bài báo sau đây sẽ thông tin đến độc giả về cách nhận biết và đưa ra những biện pháp phòng tránh và giảm thiểu trước các cuộc tấn công lừa đảo sử dụng công nghệ Deepfake.
15:00 | 24/10/2023
Google cho biết đang thử nghiệm tính năng “IP Protection” mới cho trình duyệt Chrome để nâng cao quyền riêng tư của người dùng bằng cách che giấu địa chỉ IP của họ bằng máy chủ proxy.
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
14:00 | 22/08/2023
Trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề an ninh, an toàn thông tin cũng trở thành một trong những thách thức lớn. Một trong những mối nguy cơ gây tác động đến nhiều hệ thống mạng vẫn chưa xử lý được triệt để trong nhiều năm qua chính là các hoạt động tấn công từ chối dịch vụ (DoS), một thủ đoạn phổ biến của tin tặc nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, Internet và thiết bị số. Bài báo phân tích thực trạng và các thủ đoạn tấn công DoS, đồng thời nêu lên thách thức trong đảm bảo an ninh, an toàn thông tin trên cổng thông tin điện tử dịch vụ công của các cơ quan nhà nước và các doanh nghiệp trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho cổng thông tin điện tử trên mạng Internet trong thời gian tới.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong thời đại số hóa mạnh mẽ, khi các mối đe dọa an ninh mạng ngày càng trở nên tinh vi và khó lường, mô hình bảo mật Zero Trust nổi lên như một chiến lược phòng thủ vững chắc, giúp các tổ chức/doanh nghiệp đối phó với những cuộc tấn công mạng ngày càng gia tăng.
13:00 | 07/10/2024