Ellipticc, một dịch vụ lưu trữ đám mây mới hứa hẹn về mã hóa an toàn lượng tử và quyền riêng tư hoàn toàn, đã ra mắt với những tuyên bố táo bạo về tính bảo mật và bản chất mã nguồn mở của mình. Tuy nhiên, cộng đồng công nghệ đã nhanh chóng xác định được một số điểm không nhất quán giữa hoạt động tiếp thị của dịch vụ và cách triển khai thực tế, làm dấy lên câu hỏi về nền tảng mật mã và tính minh bạch của nó.
Triển Khai Bảo Mật Dưới Kính Hiển Vi
Các tính năng bảo mật hậu lượng tử được dịch vụ quảng cáo đã thu hút sự chú ý đặc biệt từ các nhà nghiên cứu bảo mật. Các thành viên cộng đồng ghi nhận sự không nhất quán giữa các thông số kỹ thuật được đề cập ở những nơi khác nhau, với một nhận xét chỉ ra rằng bài đăng của bạn nói ML-KEM768 nhưng trang web lại ghi Kyber512. Sự khác biệt này trong thông số kỹ thuật thuật toán kháng lượng tử cho thấy khả năng có sự nhầm lẫn trong các chi tiết triển khai. Đáng quan ngại hơn là sự chỉ trích về cách triển khai Giao thức Mật khẩu Từ xa An toàn (Secure Remote Password - SRP) của Ellipticc, mà một bình luận viên mô tả là hơi... đáng ngờ do các lỗ hổng kênh bên tiềm ẩn và việc sử dụng các nhóm Diffie-Hellman không phù hợp. Phản hồi từ nhà phát triển thừa nhận đã tuân theo RFC 5054 với một số điều chỉnh nhỏ, nhưng các chuyên gia bảo mật khuyến nghị chuyển sang các giao thức hiện đại hơn như OPAQUE để có các đảm bảo bảo mật tốt hơn.
Các kênh bên. Ngoài ra, N và G rất quan trọng đối với bảo mật; việc không làm cho những thứ đó được mã hóa cứng và minh bạch là đáng ngờ. Bạn không thể chỉ sử dụng một nhóm DH thông thường.
Lưu ý: SRP (Secure Remote Password) là một giao thức để xác thực người dùng mà không gửi mật khẩu của họ qua mạng. Các cuộc tấn công kênh bên khai thác thông tin bị rò rỉ trong quá trình tính toán, như thời gian hoặc mức tiêu thụ điện năng.
Các Tính Năng Bảo Mật Được Tuyên Bố
- Mã hóa đầu cuối sử dụng XChaCha20-Poly1305
- Bảo mật hậu lượng tử (đề cập đến ML-KEM768/Kyber512)
- Frontend mã nguồn mở theo giấy phép MIT License
- Dữ liệu được lưu trữ trên máy chủ Backblaze B2 tại Amsterdam, Hà Lan
Cuộc Tranh Luận về Mã Nguồn Mở Nóng Lên
Tuyên bố mã nguồn mở của Ellipticc đã tạo ra cuộc thảo luận sôi nổi trong cộng đồng nhà phát triển. Trong khi công ty quảng bá toàn bộ giao diện người dùng của chúng tôi hoàn toàn là mã nguồn mở, các thành viên cộng đồng nhanh chóng phát hiện ra rằng chỉ có mã giao diện người dùng là có sẵn công khai, và ban đầu không có giấy phép rõ ràng. Một bình luận viên gọi đây là một trường hợp khá rõ ràng của việc nói dối bằng cách giấu thông tin, lưu ý rằng một giao diện người dùng mã nguồn mở không cấu thành một ổ đĩa đám mây mã nguồn mở khi các thành phần backend quan trọng vẫn là độc quyền. Nhà phát triển sau đó đã thêm giấy phép MIT vào kho lưu trữ giao diện người dùng và làm rõ rằng backend chưa được công khai, nhưng chúng tôi có thể mở một phần của nó sau, mặc dù sự cởi mở một phần này tiếp tục nhận được sự hoài nghi từ các nhà vận động mã nguồn mở, những người kỳ vọng tính minh bạch hoàn toàn từ các dịch vụ tập trung vào quyền riêng tư.
Lo Ngại về Tính Minh Bạch và Sự Chỉn Chu Nổi Lên
Ngoài các vấn đề cốt lõi về bảo mật và mã nguồn mở, người dùng đã xác định được một số lĩnh vực mà dịch vụ Ellipticc có vẻ chưa hoàn thiện. Kho lưu trữ GitHub cho thấy thứ mà một người dùng mô tả là một loại giao diện người dùng được phác thảo/viết theo cảm hứng, cho thấy dự án có thể không trưởng thành như những gì tiếp thị ngụ ý. Các vấn đề chức năng cũng được ghi nhận, với các liên kết Giới thiệu bị hỏng ngăn người dùng truy cập thông tin cơ bản về vị trí lưu trữ dữ liệu. Khi bị chất vấn, nhà phát triển thừa nhận đã tập trung nhiều hơn vào logic thực tế của bảng điều khiển thay vì trang đích, thứ mà vẫn thiếu sự chỉn chu. Sự tiết lộ rằng các trang thông tin cơ bản bị bỏ bê để ưu tiên cho chức năng cốt lõi làm dấy lên câu hỏi về mức độ sẵn sàng tổng thể của dịch vụ và cam kết về tính minh bạch đối với người dùng.
Mô hình định giá của dịch vụ cũng bị chỉ trích vì sử dụng các thuật ngữ tuyệt đối như miễn phí mãi mãi, điều mà các thành viên cộng đồng khuyên không nên, lưu ý rằng những lời hứa như vậy làm tổn hại đến thông điệp của bạn trong một ngành công nghiệp mà các mô hình kinh doanh thường xuyên phát triển.
Các Vấn Đề Được Cộng Đồng Chỉ Ra
- Thông số kỹ thuật thuật toán an toàn lượng tử không nhất quán
- Các lo ngại về bảo mật triển khai SRP
- Backend vẫn là mã nguồn đóng bất chấp tuyên bố "mã nguồn mở"
- Các liên kết thông tin bị hỏng và trang đích chưa hoàn thiện
Một Khái Niệm Đầy Hứa Hẹn với Những Khoảng Trống trong Triển Khai
Ellipticc đại diện cho một nỗ lực đầy tham vọng nhằm tạo ra một giải pháp lưu trữ đám mây thực sự riêng tư trong thời đại giám sát kỹ thuật số ngày càng gia tăng. Khái niệm kết hợp mã hóa đầu cuối với bảo mật hậu lượng tử và xác minh mã nguồn mở giải quyết những lo ngại thực sự trong cộng đồng quan tâm đến quyền riêng tư. Tuy nhiên, khoảng cách giữa những lời hứa đầy tham vọng của dịch vụ và việc triển khai hiện tại của nó làm nổi bật những thách thức mà các startup mới tập trung vào bảo mật phải đối mặt. Sự đón nhận trái chiều cho thấy rằng người dùng có ý thức về quyền riêng tư ngày càng tinh vi về cả việc triển khai mật mã và các nguyên tắc mã nguồn mở, đòi hỏi nhiều hơn là những tuyên bố tiếp thị trước khi tin tưởng giao dữ liệu của họ cho các dịch vụ mới. Khi Ellipticc tiếp tục phát triển, cách nó giải quyết những mối quan tâm của cộng đồng này nhiều khả năng sẽ quyết định sự thành công của nó trên thị trường cạnh tranh các công cụ bảo mật.
Tham khảo: Your Privacy, Our Priority.