[23/11/2017] Đông Lai
Unseen là một phần mềm được thiết kế bởi Chris Kitze (CEO), Vo Hoang Vinh (CTO) và Simon Thomas (giám đốc Marketing). Domain Unseen.is do Võ Hoàng Vinh làm chủ.
Domain Unseen (tên cũ là Unsene) và Seen.Life do Võ Hoàng Vinh làm chủ
Tham khảo thêm về vụ việc Võ Hoàng Vinh dụ dỗ học viên đầu tư tiền ảo (Link)
Trước đây một số trang diễn đàn như Khai nguyên (hiện giờ đã bị đóng cửa) tại Việt Nam (do chủ trang web Khaitam.org chuyên bán sách Chuyển Pháp Luân lậu là Nguyễn Anh Tú (Linh Trung) làm admin), trang Đại Kỷ Nguyên Việt Nam do Võ Vinh nắm domain và Vũ Trung làm admin và một số trang khác như Tinh hoa cũng đăng rầm rộ các bài quảng bá cho phần mềm Unseen với tính năng bảo mật và do “đồng tu” làm (nhưng không hề nói về tiểu sử lừa đảo của đồng tu đó như thế nào), server đặt bên Iceland v..v
Nếu ai có hiểu biết nhất định về tin học và mạng máy tính thì điều dễ hiểu là các phần mềm mã hóa kiểu này thường là rất ít khi công khai vì nếu công khai kiểu “tôi là chấp tất cả các hacker vào đây, kể cả FBI, CIA v..v” thì nói thẳng ra là đang làm trò lố Marketing mà thôi, mục tiêu của Unseen do Chris Kitze làm CEO ban đầu là để cạnh tranh với Facebook, và bản thân cái trang tin lá cải BeforeItsNews.com (BIN) đó của Chris thì cũng vốn đã từng đăng bài công kích việc kiểm duyệt của Facebook hòng lôi kéo người dùng chuyển sang sử dụng phần mềm Unseen.is và mạng xã hội Seen.is. Hiện nay Chris đã chuyển sang phát triển một mạng xã hội có tên mới là “Seen.life” và có vẻ như đã từ bỏ nguyên tắc chống kiểm duyệt từ ban đầu vì giao diện và điều khoản dịch vụ thì không khác mấy so với Facebook.
Nếu như một số học viên hay đọc các trang báo bằng tiếng Anh thì chắc không lạ gì trang RT.com của Nga vốn từng đăng bài miệt thị Pháp Luân Công và Đạt Lai Lạt Ma, trang này đăng rất nhiều bài thể hiện quan điểm ủng hộ đối với ĐCSTQ, điểm nhấn mạnh ở đây là bản thân Chris Kitze (vốn tự xưng cũng là học viên Pháp Luân Công) lại cung cấp nhiều phỏng vấn độc quyền cho tờ báo này.
Liệu có phải là điều mâu thuẫn hay không khi Chris Kitze là học viên Pháp Luân Công lại đi nhận phỏng vấn cho hãng tin phỉ báng Pháp Luân Công và quảng bá rằng mình bảo vệ quyền riêng tư cho khách hàng sử dụng phần mềm của mình? Hay mục đích cuối cùng của Chris là vì tiền và học viên Pháp Luân Công chỉ là vỏ bọc để che đậy?
Điều đáng nói, là Chris Kitze trước đây đã từng bị kiện bởi một số hành vi lừa tiền của khách hàng. Cụ thể là khi khách hàng mua một số sản phẩm của Intelius như trong thông tin quảng bá của Chris (mua thông tin về một ai đó) thì website yêu cầu họ phải điền thông tin về tài khoản , mã thẻ tín dụng của họ. Khách hàng không biết rằng khi họ thực hiện xong giao dịch thì họ ngầm bị “đính kèm” theo một khoản phí khoảng 19.95$/tháng (cứ tự trừ vào tài khoản tín dụng của người mua sản phẩm hàng tháng mà không thông báo trước cho họ) mà không hề có thông tin gì về khoản phí này từ trước trong quảng cáo.
Vụ việc này đã tạo nên một danh tiếng khá xấu đối với Chris nói chung và Intelius nói riêng, điều này vốn dĩ đã cho thấy bản chất Chris Kitze chỉ là một tên IT gian xảo và chuyên kiếm tiền bất chính. Khi lập ra phần mềm Seen/Unseen, Chris đã bị nhiều người trong giới công nghệ chất vấn về mối liên hệ giữa Intelius và 2 phần mềm mà Chris đang PR nhiệt tình về tính bảo mật Seen/Unseen.is (nhưng không dám công bố mã nguồn cũng như nói rõ về khả năng bảo mật của nó).
Chris Kitze chối bay chối biến về việc Unseen và Seen hoàn toàn tách biệt với cái công ty lừa đảo Intelius trước đó, ở Phương Đông có câu “Giang sơn dễ đổi, bản tính khó dời”, có lẽ hành vi kiếm tiền lừa đảo từ khách hàng trước đó mà nếu không có người đi kiện thì chắc Chris dám thừa nhận rằng Unseen và Seen có mối liên hệ với Intelius.
Lý lẽ mà Chris đưa ra là việc kiện tụng đối với Intelius đó có thể đúng hoặc sai và lập lờ rằng vụ việc đã được giải quyết (tức là đã bồi thường cho khách hàng).
Đó là nói về bản chất của Chris Kitze, người đứng đầu công ty Unseen và Intelius, bây giờ quay lại về phần mềm Unseen thì liệu nó có đúng với khả năng bảo mật mà một vài website trong nước, đặc biệt là Võ Vinh và Trung Vũ tung hô lên hay không, hay thử tìm hiểu:
1. Unseen sử dụng thuật toán mã hóa riêng chứ không dựa vào key
Theo một số tài liệu về mã hóa thì trước đây tính an toàn, bí mật của một thuật toán phụ thuộc vào phương thức làm việc của thuật toán đó. Nếu như tính an toàn của một thuật toán chỉ dựa vào sự bí mật của thuật toán đó thì thuật toán đó là một thuật toán hạn chế (Restricted Algrorithm). Restricted Algrorithm có tầm quan trọng trong lịch sử nhưng không còn phù hợp trong thời đại ngày nay. Giờ đây, nó không còn được mọi người sử dụng do mặt hạn chế của nó: mỗi khi một user rời khỏi một nhóm thì toàn bộ nhóm đó phải chuyển sang sử dụng thuật toán khác hoặc nếu người đó người trong nhóm đó tiết lộ thông tin về thuật toán hay có kẻ phát hiện ra tính bí mật của thuật toán thì coi như thuật toán đó đã bị phá vỡ, tất cả những user còn lại trong nhóm buộc phải thay đổi lại thuật toán dẫn đến mất thời gian và công sức (Nếu bạn nào từng xem về bộ phim Imitation Game do Benedict Cumberbatch đóng thì sẽ hiểu rằng thời chiến tranh thế giới thứ 2 các bên đều sử dụng một thuật toán riêng của mình để mã hóa dữ liệu khi truyền tin, nếu ai đó biết được cách thức sử dụng thuật toán đó thì toàn bộ thông tin bí mật sẽ bị lộ ra hết).
Hệ thống mã hóa hiện nay đã giải quyết vấn đề trên thông qua khóa (Key) là một yếu tố có liên quan nhưng tách rời ra khỏi thuật toán mã hóa. Do các thuật toán hầu như được công khai cho nên tính an toàn của mã hóa giờ đây phụ thuộc vào khoá. Khoá này có thể là bất kì một giá trị chữ hoặc số nào. Phạm vi không gian các giá trị có thể có của khoá được gọi là Keyspace . Hai quá trình mã hoá và giải mã đều dùng đến khoá. Hiện nay, người ta phân loại thuật toán dựa trên số lượng và đặc tính của khoá được sử dụng.
Nói đến mã hoá tức là nói đến việc che dấu thông tin bằng cách sử dụng thuật toán. Che dấu ở đây không phải là làm cho thông tin biến mất mà là cách thức chuyển từ dạng tỏ sang dạng mờ. Một thuật toán là một tập hợp của các câu lệnh mà theo đó chương trình sẽ biết phải làm thế nào để xáo trộn hay phục hồi lại dữ liệu. Chẳng hạn một thuật toán rất đơn giản mã hoá thông điệp cần gửi đi như sau:
Bước 1: Thay thế toàn bộ chữ cái “e” thành số “3”
Bước 2: Thay thế toàn bộ chữ cái “a” thành số “4”
Bước 3: Đảo ngược thông điệp
Trên đây là một ví dụ rất đơn giản mô phỏng cách làm việc của một thuật toán mã hoá. Sau đây là các thuật ngữ cơ bản nhất giúp chúng ta nắm được các khái niệm:
- Sender/Receiver: Người gửi/Người nhận dữ liệu
- Plaintext (Cleartext): Thông tin trước khi được mã hoá. Đây là dữ liệu ban đầu ở dạng rõ
- Ciphertext: Thông tin, dữ liệu đã được mã hoá ở dạng mờ
- Key: Thành phần quan trọng trong việc mã hoá và giải mã
- CryptoGraphic Algorithm: Là các thuật toán được sử dụng trong việc mã hoá hoặc giải mã thông tin
- CryptoSystem: Hệ thống mã hoá bao gồm thuật toán mã hoá, khoá, Plaintext, Ciphertext
Câu hỏi đặt ra là đã ai khi sử dụng phần mềm Unseen được cấp cho bộ khóa (key) để mã hóa thông điệp hay chưa? Không tính đến trường hợp thành viên phải trả phí vì dung lượng email mà Unseen cung cấp chỉ vỏn vẹn 2MB (quá ít), muốn nâng cấp lên thì phải tốn thêm tiền để được “bảo mật hơn”. Khi người dùng truy cập vào tài khoản của Unseen thì không những không thấy được cấp Key để mã hóa mà thậm chí nếu truy cập tại 2 nơi khác nhau thì tài khoản cũng không hề có một thông báo nào để nhắc nhở. Giả như nếu họ lấy được thông tin người dùng và họ cũng đăng nhập, vậy chăng trong lúc một người sử dụng tài khoản đó để trao đổi với ai đó thì chính kẻ lấy cắp được thông tin kia cũng biết và theo dõi được đúng không? Vậy thì bảo mật là bảo mật cái gì đây?
Hơn nữa, các file dữ liệu dưới dạng doc, xls, pdf mà được đính kèm vào các đoạn chat thì có phải đều bị lộ thông tin người dùng đúng không, giả như ai đó bảo bạn phải đăng ký thông tin để đi dự Pháp hội Đài Loan hay Mỹ và bảo bạn phải điền thông tin như hộ chiếu, tên tuổi, nơi sinh sống, số điện thoại vào thì có đúng là rất dễ bị lấy cắp đúng không? Vì người sử dụng đâu có được cấp khóa để mã hóa và đọc dữ liệu, cứ vô và chat như bình thường thì chỉ có thể suy ra là người cung cấp phần mềm này mã hóa dữ liệu và mở khóa dùm cho bạn, vậy thì nó có còn mang tính độc lập riêng tư của người dùng nữa hay không? Và với một người vốn đã từng lừa tiền khách hàng như Chris Kitze và lừa tiền học viên như Võ Hoàng Vinh thì bạn nghĩ có nên tin tưởng cái lời hứa hẹn về tính bảo mật vô tiền khoáng hậu của phần mềm Unseen này hay không?
2. Unseen.is sử dụng mã nguồn đóng
Hiểu một cách đơn giản, mã nguồn mở đóng vai trò quan trọng trong mã hóa dữ liệu bởi vì người sử dụng có thể tái chỉnh sửa và nâng cấp chúng. Nhiều chuyên gia trong ngành mã hóa dữ liệu đã nhận định rằng việc sử dụng mã nguồn mở trong bảo mật công khai là an toàn hơn nhiều so với sử dụng mã nguồn đóng. Nó đúng cho trường hợp với các thuật toán mã hóa, các giao thức bảo mật và mã nguồn bảo mật. Điều này thực tế vốn là đã được thừa nhận từ khoảng cuối thế kỷ 19 trong “các nguyên tắc của Kerchhoffs” được phát biểu như sau:
“Một hệ thống mã hóa phải an toàn ngay cả khi tất cả thông tin về hệ thống đó đều đã được công bố ra ngoài. Bí mật duy nhất của hệ thống là một khóa ngắn.”
Thực tế cho thấy tất cả các công nghệ mã hóa “thiết kế sau những cánh cửa đóng” đều bị phá vỡ nhanh chóng ngay khi một ai đó “reverse engineer” và công bố thiết kế của chúng. RC4 (dùng để mã hóa mạng không dây), A5/1 (dùng để mã hóa mạng điện thoại GSM), CSS (dùng để mã hóa đĩa DVD), Crypto-1 (dùng để mã hóa các thẻ thanh toán điện tử)… tất cả đều bị phá vỡ trong một thời gian ngắn, kể từ lúc thuật toán bị “reverse engineer”.
“Kỹ nghệ đảo ngược (hay công nghệ đảo ngược, kỹ thuật đảo ngược) (tiếng Anh: reverse engineering) là quá trình tìm ra các nguyên lý kỹ thuật của một phần mềm ứng dụng hay thiết bị cơ khí qua việc phân tích cấu trúc, chức năng và hoạt động của nó.”
Thành ra khi sử dụng mật mã, chúng ta sẽ tuyệt đối tuân thủ nguyên lý Kerckhoff này. Nói cách khác, chúng ta chỉ sử dụng những thuật toán, tiêu chuẩn, hệ thống mã hóa mở. May mắn là đã có sẵn rất nhiều thuật toán, tiêu chuẩn và hệ thống mã hóa mở, chúng ta chỉ việc chọn cái thích hợp mà dùng, không cần phải xây dựng lại từ đầu. Tuyệt đối không sử dụng những tiểu chuẩn, thuật toán, hệ thống đóng! Nói cách khác, tránh tình trạng "security through obscurity".
Mật mã là sân chơi của những ông già bảo thủ, những người luôn đặt ra những điều kiện khó nhất, và rồi cố gắng xây dựng một hệ thống an toàn trong những điều kiện đó. Điều thú vị là họ thành công!
Vậy mà Unseen.is lại sử dụng hệ thống mã nguồn đóng, nó hoàn toàn độc quyền, không rõ ràng, và không có sẵn để xem xét. Thực tế, bạn không biết mã là gì, cách mã hóa được thực hiện, hoặc liệu nó đang làm những gì. Bạn phải tin tưởng rằng nó thực sự là an toàn như Chris Kitze đã nói trong quảng bá rằng đây là sản phẩm đến CIA và FBI cũng không phá nổi???!!. Liệu bạn có đặt niềm tin vào một phần mềm đi ngược lại với xu hướng chung của thế giới trong ngành mã hóa dữ liệu vốn đã có quá nhiều trường hợp bị bẻ mã với mã nguồn đóng? Lại thêm với một vị CEO và CTO từng có tiền án lừa đảo tiền khách hàng và học viên?
3. Tài khoản miễn phí thì tự ngầm hiểu là “không được bảo mật”
Dựa trên phần trả lời hỏi đáp của Chris Kitze về tài khoản thường và tài khoản trả phí thì cụ thể như sau:
“The free version provides a modest amount of free encrypted storage and allows sharing of files of up to 50MB. The premium version provides 2GB of encrypted storage, file sharing up to 40GB, group audio/video calling, and premium users can generate and store their own private key.”
Tức là phiên bản miễn phí được cung cấp dạng thức mã hóa miễn phí trong việc lưu trữ và cho phép chia sẻ file tối đa là 50MB. phiên bản nâng cao thì được cung cấp 2 GB mã hóa dữ liệu lưu trữ, chia sẻ file lên đến 40GB bao gồm cả giao tiếp nhóm, gọi thoại và video. Phiên bản nâng cao thì người sử dụng mới có thể được lưu trữ và tự quản lý bộ mã khóa bảo mật riêng.
Như vậy, đồng nghĩa với việc những ai đang sử dụng tài khoản miễn phí thì … hầu như không được mã hóa gì hết bởi khóa là được Unseen cấp nhưng không giao cho người dùng quản lý, đơn giản là nếu không được nắm chìa khóa bảo mật thì dữ liệu có thể bị đánh cắp bất cứ lúc nào, hễ chỉ cần tham gia vào cuộc chat nhóm là nguy cơ đều có thể xảy ra, bởi Unseen nắm chìa khóa nên họ có thể giải mã dữ liệu của bạn tùy thích, và sự bảo mật ở đây chỉ gói gọn bằng 2 chữ “niềm tin” – rõ ràng Unseen nắm và có thể giải mã được thông tin của khách hàng nhưng họ lại trả lời rằng những thông tin đó họ không giải mã nổi – trường hợp này nếu ai không nắm rõ lý thuyết về mã hóa bảo mật thì rất dễ bị họ lừa mà không biết, họ hoàn toàn có thể tự mã hóa và bán thông tin của bạn cho bên thứ 3 mà bạn không hề biết. Chỉ tài khoản nâng cao mới được nắm giữ và tự mình làm chủ khóa bí mật. Mà theo tôi được biết thì đa phần hiện này người dùng Unseen thì đều là tài khoản thường. Thực tế với lỗi dùng mã nguồn đóng thì dù có được cấp khóa bảo mật thì cũng không đảm bảo được tính tin cậy như họ đã quảng bá.
4. Né tránh hoặc trả lời lập lờ các câu hỏi của chuyên gia về tính bảo mật của họ
“Ask: Isn’t a web service less secure?
Ans: Our services are developed to provide the highest level of security widely available on the web. We expect to continue improving and developing better solutions to protect your information. v..v.”
Hỏi: Đây không phải là một dịch vụ Web kém bảo mật đúng không?
Trả lời: Dịch vụ của chúng tôi được phát triển nhằm cung cấp mức độ bảo mật cao nhất được sử dụng rộng rãi trên nên Web. Chúng tôi mong đợi tiếp tục nâng cao và phát triển các phương thức tốt hơn để bảo vệ thông tin của bạn.
Thay vì đưa ra câu trả lời thẳng thắn. Chris rõ ràng đánh trống lảng vấn đề sang việc nói cho khách hàng biết họ "an toàn" như thế nào, hơn là họ thông báo thành thật với khách hàng về cách mã hoá của trình duyệt có thể bị phá vỡ hay không.
IKE - Internet Key Exchange, là một cơ chế để một bên thứ ba (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp khóa public/private. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của người dùng. Công việc của IKE là thiết lập bảo mật cho phép hai bên gửi dữ liệu một cách an toàn. IKEv1 đã được giới thiệu vào năm 1998 và sau đó được thay thế bởi IKEv2 vào khoảng năm 2005.
Những điểm khác nhau cơ bản của hai phiên bản này như sau:
IKEv2 không sử dụng băng thông nhiều bằng IKEv1.
IKEv2 hỗ trợ EAP, còn IKEv1 thì ngược lại.
IKEv2 hỗ trợ Mobike, còn IKEv1 thì không.
IKEv2 xây dựng NAT Traversal, còn IKEv1 thì không.
IKEv2 có thể phát hiện tunnel còn sống hay không, còn IKEv1 thì không.
Sau khi thấy rằng các máy tính lượng tử phá hủy các hệ mật RSA, DSA và ECDSA, người sử dụng Internet sẽ đi đến suy nghĩ rằng mật mã đã đến hồi cáo chung; sẽ không có hy vọng dùng phương pháp xáo trộn thông tin (kiểu đặt a=2, b=4 v..v để mã hóa rồi lại đặt 2=a, 4=b để giải mã khi nhận và trao đổi thông tin) để làm cho người khác không hiểu được và những kẻ tấn công không làm giả mạo được; việc lưu trữ và truyền đi thông tin một cách an toàn có nghĩa là sử dụng các “lá chắn” vật lý để ngăn chặn những kẻ tấn công khỏi thấy được thông tin- ví dụ, giấu các USB bên trong một va- ly được khóa và xích vào cổ tay một người mang tin tin cậy.
Tuy nhiên, trong tương lai gần sẽ thấy rằng, rất khó có bước phát triển đột ngột từ “các máy tính lượng tử phá hủy RSA, DSA và ECDSA” thành “các máy tính lượng tử tiêu hủy mật mã học”. Hiện tại vẫn còn nhiều lớp các hệ thống mật mã quan trọng vượt qua được các hạn chế của RSA, DSA và ECDSA, ví dụ như:
- Mật mã dựa trên hàm băm (Hash - based cryptography). Ví dụ, hệ chữ ký khóa công khai cây- băm của Merkle (1979), được xây dựng dựa trên ý tưởng chữ ký của Lamport và Diffie.
- Mật mã dựa trên mã hóa (code - based cryptography). Ví dụ, hệ mã khóa công khai dựa trên mã Goppa ẩn của McEliece (1978).
- Mật mã dựa trên lưới (Lattice - based cryptography). Ví dụ là hệ mã khóa công khai “NTRU” của Hoffstein - Pipher - Silverman (1998).
NTRU là một hệ thống mật mã khoá công khai cấp bằng sáng chế và là mã nguồn mở sử dụng mật mã dựa trên lưới (Lattice - based cryptography) để mã hóa và giải mã dữ liệu. Nó bao gồm hai thuật toán: NTRUEncrypt, được sử dụng để mã hóa, và NTRUSign, được sử dụng cho chữ ký số. Không giống như các hệ thống mật mã khóa công khai phổ biến khác, nó có khả năng chống lại các cuộc tấn công sử dụng thuật toán của Shor và hiệu suất của nó đã được chứng minh là tốt hơn đáng kể
Trong mật mã học, Advanced Encryption Standard (tiếng Anh, viết tắt: AES, nghĩa là Tiêu chuẩn mã hóa tiên tiến) là một thuật toán mã hóa khối được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa. Giống như tiêu chuẩn tiền nhiệm DES, AES được kỳ vọng áp dụng trên phạm vi thế giới và đã được nghiên cứu rất kỹ lưỡng. AES được chấp thuận làm tiêu chuẩn liên bang bởi Viện tiêu chuẩn và công nghệ quốc gia Hoa kỳ (NIST) sau một quá trình tiêu chuẩn hóa kéo dài 5 năm.
Quá trình mã hóa
Bao gồm các bước.
1. Khởi động vòng lặp
AddRoundKey — Mỗi cột của trạng thái đầu tiên lần lượt được kết hợp với một khóa con theo thứ tự từ đầu dãy khóa.
2. Vòng lặp
2.1 SubBytes — đây là phép thế (phi tuyến) trong đó mỗi byte trong trạng thái sẽ được thế bằng một byte khác theo bảng tra (Rijndael S-box).
2.3 MixColumns — quá trình trộn làm việc theo các cột trong khối theo một phép biến đổi tuyến tính.
2.4 AddRoundKey
3. Vòng lặp cuối
3.1 SubBytes
3.2 ShiftRows
3.3 AddRoundKey
Tại chu trình cuối thì bước MixColumns không thực hiện.
Dịch phần hỏi đáp
Hỏi: Phương thức bảo mật mà website sử dụng là gì? có phải là sử dụng cơ chế IKE v1, v2 và sử dụng chữ ký số (trong quá trình trao đổi dữ liệu)? Nếu không thì website sử dụng thuật toán mã hóa nào? Có số cấp bằng sáng chế hay không?
Trả lời:
1. Chúng tôi không sử dụng IKE v1 & v2, cũng không sử dụng chữ ký số. Đây là cách chúng tôi trao đổi khóa bảo mật trong quá trình trao đổi thông tin:
Người truyền tin khởi đầu được giao cho một cặp khóa ngẫu nhiên NTRU công khai/cá nhân để xác định khả năng an ninh bảo mật. Người truyền tin gửi một khóa công khai NTRU đến người phản hồi. Người phản hồi nhận được và mã hóa một mã khóa bí mật bằng khóa NTRU công khai của người truyền tin. Sau đó người phản hồi gửi mã khóa bí mật đã được mã hóa đó đến người truyền tin. Người truyền tin giải mã bằng khóa cá nhân NTRU và biết được mã khóa bí mật là gì. Sau đó, cả người truyền tin và người phản hồi sử dụng mã khóa bí mật đó để tính toán.
2. xAES (bản mở rộng của AES) là thuật toán mã hóa đã được cấp bằng sáng chế của chúng tôi, lấy nền tảng dựa trên thuật toán AES nhưng có giới hạn về độ dài của khóa đối xứng là lớn hơn bản cũ (trước đây là tối đa 256 bit, bây giờ là 8192 bit), khóa sử dụng một đa thức phức tạp hơn và dài hơn (ở bước MixColumn ), sử dụng, sử dụng Gray-Sbox hoặc Sbox linh hoạt (ở bước SubBytes), và một số điều chỉnh bảo mật khác (chuỗi salt, mở rộng khóa (key-expansion), v..v).
3. Bạn có thể sử dụng tính năng gỡ lỗi Debugger của Javascript để xem tin nhắn đến và đi, kiểm tra phần dữ liệu vận chuyển của tin nhắn để xem phần văn bản mã hóa [Trong công nghệ máy tính hay truyền thông, payload là phần dữ liệu vận chuyển của một gói tin giữa 2 đối tác, mà không chứa dữ liệu giao thức hay siêu dữ liệu chỉ được gởi đi để dùng cho việc chuyên chở payload. Payload thường là văn bản, dấu hiệu hay âm thanh. Payload thường nằm dưới phần đầu (header), và tùy theo giao thức mạng có thể có thêm phần cuối (trailer)]. Đây thực sự là một quy trình mã hóa end-to-end (E2EE) [phương thức mã hóa mà chỉ duy nhất những người giao tiếp với nhau có thể hiểu được thông điệp được mã hóa. Điều này đông nghĩa với việc kể cả chủ sở hữu của kênh truyền tải dữ liệu, những nhà cung cấp dịch vụ Internet hay hacker cũng khó có thể biết được những thông tin người giao tiếp đang truyền tải.] bên trong giao thức SSL.
Thực tế:
Chưa từng có thuật toán mã hóa nào được cấp bằng sáng chế tên là xAES mà Unseen nêu ra, thuật ngữ “patened proprietary algorithm”. “Cấp bằng sáng chế - patent” tức là đã được công khai và thậm chí đã phải được chứng minh là xác thực trong thực tế. Chúng ta có thể dễ dàng tra cứu trong danh sách các thuật toán mã hóa đã được cấp chứng nhận tại trang web của Sở cấp bằng sáng chế và thương hiệu của Mỹ thì không hề thấy có cái thuật toán nào là xAES của Unseen nêu ra.
Sở dĩ phải được cấp bằng sáng chế là để tránh tình trạng bị đánh cắp trong trường hợp nhà sáng chế muốn giữ nó bí mật hoặc tử vong mà chưa từng công khai. Thuật ngữ này nếu được sử dụng trong ngành phần mềm thì được hiểu là đã được thảo luận công khai (thậm chí tranh cãi gay gắt), nhưng tính chất sở hữu cơ bản vẫn được giữ nguyên: theo định nghĩa tức là cấp bằng sáng chế cũng được hiểu là công khai.
Trong trường hợp này, nếu thuật toán mã hóa của Unseen thực sự đã được cấp bằng sáng chế, thì thuật toán đó nên phải tồn tại và họ phải công khai ra mã số cấp bằng sáng chế. Nếu không đưa ra được mã số cấp bằng sáng chế thì tức là họ nói dối, trong khi trả lời họ chỉ nếu ra tên của thuật toán và mô tả nó chứ không hề đề cập đến mã số cấp bằng sáng chế của thuật toán được mã hóa đó.
Giờ hãy thử đi vào chi tiết. AES là một thuật toán có khái niệm rõ ràng, được xây dựng dựa trên một số thành phần cơ bản của một tính chất đại số. Sự tương tác giữa các thành phần này đã được nghiên cứu trong 15 năm qua bởi các chuyên gia mật mã học, AES là một thuật toán “mã hóa khối” (block cipher) ban đầu được tạo ra bởi hai nhà mật mã học người Bỉ là Joan Daemen và Vincent Rijmen. Kể từ khi được công bố là một tiêu chuẩn, AES trở thành một trong những thuật toán mã hóa phổ biến nhất sử dụng khóa mã đối xứng để mã hóa và giải mã (một số được giữ bí mật dùng cho quy trình mở rộng khóa nhằm tạo ra một tập các khóa vòng). Ở Việt Nam, thuật toán AES đã được công bố thành tiêu chuẩn quốc gia TCVN 7816:2007 năm 2007 về Thuật toán mã hóa dữ liệu AES.
Khái niệm “sử dụng một đa thức phức tạp hơn và dài hơn (ở bước MixColumn )” của Unseen không có ý nghĩa. Lý do là bước này được định nghĩa trong tiêu chuẩn AES để tương ứng với phép nhân của một cột, được lấy như một đa thức trong GF (256) [X], bởi một đa thức liên tục P, modulo một đa thức bậc 4 đa thức M. Vì có bốn byte trong một cột, M chỉ có thể có mức 4; không còn lựa chọn nào khác; và vì hoạt động được thực hiện theo modulo M, thì mức độ P không thể vượt quá 3. Do đó, sử dụng một "đa thức dài hơn" là vô nghĩa.
Vai trò của việc chuyển đổi MixColumns trong AES là để đảm bảo một số hiệu ứng lan truyền (hay còn gọi là hiệu ứng thác) [Một tính chất quan trọng cần thiết của mọi thuật toán mã hóa là chỉ cần một thay đổi nhỏ trong bản tin gốc hay trong khóa sẽ dẫn đến thay đổi lớn trong bản mã. Cụ thể, chỉ cần thay đổi một bít trong bản rõ hay khóa thì dẫn đến sự thay đổi của nhiều bít bản mã. Tính chất này được gọi là hiệu ứng lan truyền.]. Một quan điểm đơn giản cho rằng nếu hiệu ứng lan truyền này xảy ra càng nhiều thì càng tốt, nhưng trước tiên nó đòi hỏi tiêu chuẩn MixColumns là phải có nhược điểm, đó là một sự khẳng định không có căn bản. Ngoài ra, một hiệu ứng lan truyền mạnh hơn hay không thì không hẳn là tương quan với các đa thức phức tạp hơn trong con mắt của một người. Ví dụ với một khóa dài 100 và một khóa dài 10000 thì nó có thể thể hiện là dài hơn nhưng không hề phức tạp hơn.
với khóa có độ dài 8192 bit, thì tất nhiên là rất khôi hài. Chỉ 128 bit là đã thực sự đủ và có những lý do vì sao lại như vậy. Cụ thể là độ dài của khóa không phải là một điểm yếu trong thuật toán mã hóa đối xứng, bởi vì có một số thuật toán phổ biến với các khóa có độ dài khá ngắn (ví dụ cụ thể là DES) và với khóa có độ dài 128 bit đã vượt ra ngoài khả năng bị phá khóa đối với các máy tính cổ điển (trừ trường hợp sử dụng máy tính lượng tử - mà loại máy tính này hiện vẫn chưa tồn tại, thực tế nếu có thì việc sử dụng nó trong việc vận dụng thuật toán của Grover với 264 phép toán tìm kiếm cũng là điều cần phải xem xét). AES có ba kích cỡ khoá chuẩn (128, 192 và 256 bit). Nhiều người thấy điều này và nghĩ rằng nếu có ba kích cỡ khác biệt thay vì chỉ một, thì phải có sự khác biệt nhất định mới phải phân ra như vậy, và vì phiên bản 256 bit chậm hơn một chút so với phiên bản 128-bit (khoảng 40%), nó phải "an toàn hơn". Vì vậy, họ chọn phương thức "an toàn nhất" và chọn khóa có độ dài 256-bit.
Thực tế thì sở dĩ AES có 3 độ dài khóa khác biệt bởi vì nó đã được chọn là thuật toán mã hóa của liên bang Hoa Kỳ nhằm tạo ra sự phù hợp để sử dụng được trong các khu vực khác nhau dưới sự kiểm soát của chính phủ Hoa Kỳ, bao gồm cả lực lượng quân đội. Căn nguyên lịch sử của nó là bởi chính Quân đội Hoa Kỳ cho rằng cần phải có 3 mức độ bảo mật, do đó với những bí mật quan trọng thì càng được mã hóa một cách khá là “nặng nề”, nhưng với các dữ liệu có giá trị thấp và có tính thực tiễn thì có thể được mã hóa bởi các thuật toán yếu.
Các quy định này đã đặt ra yêu cầu cần có 3 cấp độ khác nhau trong bảo mật. Nhà thiết kế của họ cho rằng mức độ thấp là cần thiết phải bảo mật yếu trong một số trường hợp (dùng trong phổ thông hoặc có tính thực tiễn), nhưng yếu không có nghĩa là bắt buộc. Vì vậy NIST (Viện Tiêu chuẩn và Kỹ thuật Quốc gia của Hoa Kỳ) đã quyết định chín thức tuân theo các quy định (đối với yêu cầu về 3 kích cỡ khóa bảo mật) nhưng cũng phải làm sao cho với mức độ bảo mật thấp nhất phải không được bị phá bởi các công nghệ tiên đoán. Do đó với độ dài 128 bit là khá đủ để bảo mật. Vì vậy, AES chấp nhận các khóa có độ dài 256 bit vì tính quan liêu: bởi thực sự là quá khó để sửa đổi các quy định về quân sự.
Bản chất việc sử dụng khóa với độ dài lớn thì được sử dụng với các trường hợp khóa bất đối xứng chứ không phải là khóa đối xứng, do đó nói sử dụng khóa đối xứng có độ dài 8192 bit thì rõ là bất hợp lý.
Do đó, khi có người nói “tôi sử dụng khóa đối xứng 8192 bit”, thì thực tế điều mà tôi hiểu vị đó nói là “tôi không biết khoa học mật mã là gì, nhưng tôi nghĩ con số càng lớn thì càng tốt”.
Đối với nhận định về “…và một số điều chỉnh bảo mật khác (chuỗi salt, mở rộng khóa, v..v).”. Thì đầu tiên chúng ta cần hiểu về chuỗi salt và sự mở rộng khóa (key-expansion) là gì. Trên thực tế, thực hiện một sự điều chỉnh bảo mật trong một hệ thống bảo mật thì thường lại làm giảm khả năng bảo mật. Ví dụ có rất nhiều kết nối tinh vi giữa các bộ phận trong một cỗ máy làm bánh, và các bộ phận đó chỉ được thiết kế cho ra 1 chiếc bánh/phút, nhưng việc điều chỉnh để làm cho cỗ máy đó ra được 2 chiếc trong 1 phút sẽ tạo ra hậu quả gì? Chính là sẽ làm cho các bộ phận trong cỗ máy đó bị hỏng hóc! Do đó, nếu tạo ra một sự điều chỉnh bảo mật thì cần phải thay đổi gần như cả hệ thống và điều đó làm tốn rất nhiều tài nguyên không cần thiết.
Salt chính là chuỗi random được thêm vào để hash cùng với password, điều này đảm bảo user password hash không trùng nhau. Không phải là một phần trong mã hóa đối xứng vì nó được sử dụng trong mã hóa một chiều của hàm Hashes, mục đích của nó là tăng tính ngẫu nhiên trong mã hóa thông điệp.
Key-expansion (hay mở rộng độ dài của khóa) là một quá trình chuyển đổi từ một khóa có độ dài nhỏ hơn đến một khóa có độ dài lớn hơn khác hoặc thiết lập từ chính khóa nhỏ hơn đó với các thuộc tính khác nhau khi cần thiết. Quá trình tạo ra các khóa cho các vòng tiếp theo của mã hóa đối xứng đôi khi được gọi là mở rộng khóa bảo mật (giống như khi chúng ta đang mở rộng khóa thành một số khóa con được sử dụng trong các vòng) vì vậy trong thuật toán AES vốn dĩ đã có chức năng này chứ không cần phải thêm vào.
Đây là bình luận của Phill Zimmermann, người viết ra PGP (Pretty Good Privacy) về các phần mềm giả mạo (Snake - Oil)
Phill Zimmermann
Link gốc bản tiếng Anh: (chi tiết)
“Bất cứ ai nghĩ rằng họ đã đưa ra một chương trình mã hóa không thể phá vỡ thì hoặc họ là một thiên tài hiếm hoi hoặc là ngây thơ và thiếu kinh nghiệm. Thật không may, đôi khi tôi phải đối phó với những người giải mã bí mật muốn thực hiện "cải tiến" cho PGP bằng cách thêm các thuật toán mã hóa bằng thiết kế riêng của họ.
Tôi nhớ một cuộc trò chuyện vào năm 1991 với Brian Snow, một nhà mật mã cao cấp với NSA. Ông nói ông sẽ không bao giờ tin tưởng vào một thuật toán mã hóa được thiết kế bởi một người không "kiếm được tiền" bằng cách đầu tiên dành rất nhiều thời gian crack code. Điều đó có ý nghĩa rất nhiều. Tôi quan sát thấy thực tế không ai trong giới kinh doanh mật mã đạt tiêu chuẩn theo tiêu chí này. "Vâng," anh nói với một nụ cười tự tin, "Và điều đó làm cho công việc của chúng tôi ở NSA dễ dàng hơn rất nhiều." Một ý nghĩ lạnh lùng. Vậy thì chắc tôi cũng vậy.”
Nhận định của Bruce Schneier (1995) - (chuyên gia hàng đầu thế giới về mã hóa bảo mật) về các loại bảo mật giả mạo (Snake-Oil)
Bruce Schneier
Link gốc tiếng Anh (chi tiết)
“Vấn đề của một hệ thống bảo mật tồi là nó nhìn bề ngoài giống như một hệ thống bảo mật tốt. Bạn khó có thể nhận ra sự khác biệt nếu chỉ nhìn ở giao diện bề mặt của sản phẩm. Các dạng “giả mạo” này đều có những lời khẳng định chắc nịch về tính bảo mật của họ cũng như các chức năng, thậm chí sử dụng các thuật toán bảo mật tương tự như với các hệ thống bảo mật tốt, đảm bảo theo đúng các tiêu chuẩn. Nhưng nó vẫn là một hệ thống bảo mật giả mạo….
Các tiêu chuẩn để nhận biết loại hệ thống bảo mật giả mạo căn cứ dựa trên một số dấu hiệu sau:
1. Sử dụng thuật toán linh tinh hoặc không được mô tả
Hầu hết các loại bảo mật tồi họ đều nói rằng các thuật toán đó họ tự nâng cấp dựa trên các nền tảng thuật toán mã hóa sẵn có, nhưng loại bảo mật họ tự nâng cấp đó chưa từng xuất hiện trong học thuật cũng như trong trao đổi nghiên cứu công khai.
2. Sáng tạo ra một loại mật mã mới
Cần cẩn thận với các thuật toán mật mã dựa trên các mô hình mới. Hàng năm các nhà mật mã học đều có sự xem xét lại và phát triển dựa trên chính các loại mật mã đã hiện hữu từ trước. Việc đột nhiên có một người không có kinh nghiệm hay thâm niên trong ngành này tự sáng tạo ra một thứ mật mã mới thì phải rất cảnh giác. Bởi trên thực tế, cần phải mất vài năm để cộng đồng nghiên cứu mật mã tìm hiểu và đưa ra các nghiên cứu về nó một cách kỹ lưỡng trước khi nó được đem ra sử dụng rộng rãi.
3. Sử dụng phương thức mã hóa đóng
Thực tế trước đây đã từng có một công ty bảo mật tên là GenioUSA (www.geniousa.com/genio) từ chối công khai loại thuật toán mà họ đang sử dụng (họ tự nhận rằng thuật toán họ đang dùng là loại bảo mật thuộc hàng tốt nhất thế giới), các bạn nên suy nghĩ kỹ trước khi sử dụng dịch vụ của họ (bởi trên thực tế nó đã bị bẻ khóa).
4. Cực kỳ thiếu hiểu biết
Trên thực tế có rất nhiều công ty bảo mật mà tuyên bố rất lạ đời về những thứ đã quá hiển nhiên mà ai trong giới bảo mật cũng biết.
5. Sử dụng độ dài khóa một cách lố bịch
Khóa có độ dài hơn thì tất nhiên là tốt hơn, nhưng nó chỉ đến một ngưỡng nhất định thôi. Với AES thì tối đa là 256 bit. Nó thậm chí còn vượt quá yêu cầu đối với độ dài của khóa bảo mật trong tương lai gần (khi chưa có máy tính lượng tử). Thực tế, chúng ta không dễ mà tấn công được với mã khóa dài 256 bit vì nó đòi hỏi một số đột phá cơ bản trong vật lý và sự hiểu biết phổ thông. Đối với mã hóa công khai, khóa dài 2048 bit đối với 256 bit thì cũng như nhau, khóa có dài hơn cũng không có ý nghĩa gì.
6. Những tuyên bố không có tính xác thực
Hãng công nghệ Jaws Technologies nói về công nghệ mã hóa mới của họ, rằng “Đây là loại phần mềm bảo mật được mã hóa tối tân nhất từng có mà chúng ta biết hiện nay” – nhưng được công nhận bởi ai? Thì trang Web của họ không hề nói đến. Họ so sánh tối tân nhất là so với loại gì, tiêu chuẩn nào? Không hề nói đến...v..v”
Do đó việc Chris nói rằng cho thêm các chức năng điều chỉnh bảo mật như salt (vốn không dùng trong mã hóa đối xứng) và key-expansion (vốn đã có sẵn trong AES), mà rõ là Chris đã quảng bá là đang sử dụng thuật toán mã hóa còn mạnh hơn cả AES là xAES mà vẫn còn không biết điều cơ bản này thì thực sự không hiểu là cái thuật toán đã được cấp bằng sáng chế kia nó còn trời ơi đất hỡi như thế nào nữa.
5. Huyễn hoặc về việc thuật toán mã hóa được cấp bằng sáng chế có thể chặn được cả các cuộc tấn công bởi máy tính lượng tử và nhầm lẫn trầm trọng giữa mã hóa đối xứng và bất đối xứng. Thậm chí còn cho rằng thuật toán mới của Unseen còn bảo mật cao hơn cả cấp độ quân sự?
3 Loại sơ đồ mã hóa bên cột trái là có thể bị phá vỡ với thuật toán được thiết kế bởi máy tính lượng tử trong tương lai (quantum computers), hiện nay trên thế giới mới chỉ có một mô hình máy tính lượng tử tên là D-Wave từ năm 2007 bởi một công ty ở Canada nhưng sau nhiều đợt kiểm tra và nghiên cứu bởi NASA tại các phòng thí nghiệm thì vẫn chưa đủ điều kiện để trở thành máy tính lượng tử vì cỗ máy D-Wave vẫn chỉ là sử dụng nguồn lực truyền thống thay vì ứng dụng cơ học lượng tử để thực hiện tính toán.
3 Loại sơ đồ mã hóa bên cột phải là được các nhà bảo mật cho rằng có khả năng để chịu được các cuộc tấn công bằng máy tính lượng tử.
“We've use only super strong NTRU encryption for public key exchange that is believed to be resistant to even quantum computing attacks”
"Chúng tôi chỉ sử dụng mã hóa NTRU cực mạnh cho trao đổi khóa công khai, và chúng tôi cho rằng nó có thể kháng lại được thậm chí bởi các cuộc tấn công bằng máy tính lượng tử"
-Chris Kitze
Như vậy, hiện mới chỉ có 3 loại sơ đồ mã hóa được giới chuyên gia công nhận rằng có thể tạm đủ khả năng để chịu đựng được các cuộc tấn công phá mã bảo mật của máy tính lượng tử (mặc dù loại máy này vẫn chưa được phát minh ra trên thực tế mà chỉ tạm gọi là sẽ có trong tương lai), các dạng sơ đồ này vốn đã được nghiên cứu và thảo luận từ rất lâu và được công bố công khai trên các diễn đàn về bảo mật. Thế mà bản thân Chris Kitze dám mạnh miệng tuyên bố rằng Website Unseen sử dụng mã hóa NTRU cực mạnh trong việc trao đổi khóa bảo mật và cho rằng có thể chống được thậm chí cả các cuộc tấn công bằng máy tính lượng tử. Vậy mà phương thức này chưa từng được công nhận hay được công khai trao đổi ở bất cứ đâu?
Bản thân trong phần giới thiệu về NTRU của Wikipedia vốn đã nói về khả năng kháng chịu đối với các cuộc tấn công dưới nền tảng máy tính lượng tử, vậy thì có cần loại mã hóa NTRU cực mạnh mà Chris Kitze quảng bá hay không? Do vậy chúng ta có thể thấy rất nhiều mâu thuẫn ở đây.
Thậm chí đã có không ít nghiên cứu nước ngoài chỉ ra rằng với sơ đồ mã hóa của NTRU chịu rất nhiều hiểm họa tiềm tàng khi bị tấn công bằng máy tính lượng tử. Vậy hỏi thuật toán mã hóa “siêu mạnh” (super strong) NTRU của Chris Kitze là đào từ đâu ra? Trong khi nó chưa từng được tìm thấy ở bất kỳ một tài liệu nghiên cứu nào hay được thảo luận công khai trên các diễn đàn bảo mật để kiểm chứng, liệu đây có phải chiêu trò quảng cáo đánh lừa người dùng?
“While no encryption or security is perfect, rest assured that Unseen provides some of the best available.”
Chris Kitze
Đưa ra nhiều lời quảng cáo lố bịch và không hề có dẫn chứng cụ thể, ấy vậy mà Chris Kitze vấn mạnh miệng tuyên bố rằng “trong khi không có một biện pháp mã hóa hay bảo mật nào là hoàn hảo thì phần đông đều cam đoan cho rằng Unseen cung cấp một trong nhưng dịch vụ bảo mật tốt nhất”???? Trong khi bị chất vấn về phương thức bảo mật đó ra sao và mã số cấp bằng sáng chế là gì thì không trả lời được.
“We decided to completely replace the standard AES encryption….In the running for the AES standard, our encryption runs a healthy 4096 bits, much, much stronger than off the shelf AES”
“Chúng tôi đã quyết định thay thế hoàn toàn mã hoá AES tiêu chuẩn ..." và "một 4096 bit lành mạnh ... mạnh hơn nhiều so với AES."
Chris Kitze
Đoạn nhận định trên của Chris cho thấy Chris hiểu rất mâu thuẫn về mật mã
Đoạn quảng bá về khả năng bảo mật của Unseen (đã bị xóa và lược bớt phần “military grade” vốn bị chất vấn rất nhiều bởi các chuyên gia nghiên cứu về bảo mật và mã hóa. Và việc sử dụng thuật toán mã hóa đối xứng AES (symmetrical encryption) với độ dài khóa là 16 lần độ dài chuẩn là 256 bit chứng tỏ Chris không có hiểu biết gì về khóa đối xứng và khóa bất đối xứng. Chỉ có khóa bất đối xứng thì vì do thuật toán mật mã hóa khóa bất đối xứng đòi hỏi khối lượng tính toán nhiều hơn đáng kể so với thuật toán mật mã hóa khóa đối xứng nên mới cần độ dài của khóa lớn, vậy mà Chris lại đem phạm trù vốn dùng trong mã hóa bất đối xứng đem dùng cho mã hóa đối xứng thì đã là quá nghi vấn cho việc bảo mật của phần mềm Unseen này khi chính CEO của họ còn không có hiểu biết căn bản về mã hóa bảo mật.
Có lẽ vì quảng cáo Marketing quá lố và bị lộ tẩy nên giờ đây trong phần FAQ của Unseen đã phải lược bỏ bớt đi so với đoạn FAQ trước đây cho đỡ bị chỉ trích và đặt nghi vấn về sự lừa đảo.
6. Quảng bá về việc đặt server tại Iceland
Thực ra đối với các dạng thức mã hóa dữ liệu thì câu hỏi đặt ra là việc đặt server ở đâu liệu có quan trọng? Nếu thực sự họ cung cấp khả năng giúp khách hàng sử dụng dịch vụ tự mã hóa dữ liệu của mình và Unseen không hề xem hay bán dữ liệu bảo mật của khách hàng thì thực tế nó không quan trọng server được đặt ở đâu, giống như phần mềm chat bảo mật Telegram, Wickr, Text Secure, Cyber Dust, Sicher v..v họ chưa bao giờ nhấn mạnh về vị trí đặt server của mình mà vẫn đảm bảo được dịch vụ của mình tiến hành ổn định.
Bản chất lý do mà Chris nhấn mạnh về việc đặt server tại Iceland là vì trước đó Chris đã tuyên bố trong BIN và các kênh truyền thông tại Mỹ rằng Chính phủ Mỹ theo dõi tài khoản của người dùng, bao gồm cả gmail, Facebook v..v. Tuy nhiên, thực chất nếu có theo dõi đi chăng nữa thì miễn là không ảnh hưởng đến chính trị hay an ninh của Mỹ thì cũng không vấn đề gì. Do đó, việc chính phủ Mỹ có theo dõi hay không đối với học viên Pháp Luân Công thì không hẳn là vấn đề quan trọng trong bảo mật vì vốn tại đó đã biểu đạt rõ ràng ủng hộ Pháp Luân Công, ngay cả trên bình diện chính trị. Vậy ai mới là đối tượng đáng lo ngại và muốn tìm kiếm dữ liệu của học viên Pháp Luân Công nhất? Chính là ĐCSTQ! Thực tế thì chính các trang web của FBI, CIA hay các trang web của Chính phủ Mỹ, các trang Web của các tập đoàn lớn tại Mỹ luôn là cái đích của hacker và đặc vụ kinh tế của Trung Quốc, vốn có mục đích đánh cắp công nghệ và bí mật kinh doanh. Vậy mà Chris Kitze lại lo lắng đi bảo mật đối với chính phủ Mỹ mà lại không hề đả động gì đến ĐCSTQ? Bản chất các phần mềm chống kiểm duyệt như thế này lại là môi trường trú ngụ lý tưởng của các thành phần khủng bố như ISIS, Hồi giáo cực đoan và đặc vụ ĐCSTQ vì tính ẩn danh và có thể đánh cắp dữ liệu người dùng.
Vậy với các Website an ninh tối mật như FBI, CIA hay của Google mà còn bị hacker ĐCSTQ tấn công được thì liệu một phần mềm bảo mật do một công ty Start-up mới nổi mà chưa ai biết tiếng tăm gì như của Chris (vốn tai tiếng vì lừa đảo khách hàng và cũng không hề có chuyên môn gì trong lĩnh vực bảo mật) có thể trụ nổi trong 1 nốt nhạc? Hay có khi bị hacker ĐCSTQ đánh cắp dữ liệu người dùng rồi mà cũng không biết hoặc biết nhưng lại lấp liếm không công khai ra ngoài vì sợ mất thanh danh và mất nguồn thu?
Ấy vậy khi đáng nhẽ cần biết lượng sức mình và hoàn thiện cho tốt (khi bản thân phần mềm mới chỉ đang ở giai đoạn Beta) thì Chris ngược lại còn quảng bá rầm rộ là bảo mật tốt đến mức cả CIA, FBI, máy tính lượng tử cũng không phá nổi có khác gì “lạy ông tôi ở bụi này”?. Các chuyên gia ở nước ngoài thậm chí còn phải nói thẳng rằng đây là một cách PR “nổ” hố nhất trong lịch sử bảo mật (thậm chí đến anh Quảng “nổ” BKAV của Việt Nam chắc phải bái làm Sư phụ) vì có quá nhiều sơ hở mà đội ngũ kỹ thuật của Unseen không trả lời nổi, có phải đang khiêu khích hacker ĐCSTQ đó không? Mà vốn ở Trung Quốc thì các thành phần này là được hậu thuẫn bởi chính quyền và quân đội thì cái Website bảo mật mà Chris quảng bá đó có trụ nổi trong một ngày nếu bị tấn công hay không? Kể cả có đặt ở Iceland hay đặt ở lầu năm góc cũng có khác gì đâu? Nếu thế thì dữ liệu học viên Pháp Luân Công mà dùng có phải là rất dễ bị đánh cắp hay không? Mà nó rơi vào tay ai thì nguy hiểm? - Chính là ĐCSTQ. Chúng ta có thấy lạ hay không khi Chris chưa từng nói hay quan ngại gì mấy đối với Trung Quốc mà chỉ toàn nhắm đến chính phủ Mỹ? Nơi mà vốn đã luôn ủng hộ Pháp Luân Công từ đầu cuộc bức hại đến nay?
Thực chất một trong những lý do trong chiến dịch quảng bá của Chris thì Unseen có server đặt tại Iceland chỉ đơn thuần là một dạng thức Marketing để tạo thêm lòng tin của khách hàng và đặc biệt là đối với học viên Pháp Luân Công (chính phủ Iceland trước đây từng can nhiễu học viên Pháp Luân Công trong một đợt tiếp đoàn ngoại giao của ĐCSTQ mà có cựu chủ tịch Giang Trạch Dân năm 2002, nhưng sau đó vì bị hơn 3000 người dân phản đối và đến thẳng Đại Sứ Quán Trung Quốc để biểu tình ôn hòa nên chính quyền sau đó không dám có hành động can nhiễu đối với học viên Pháp Luân Công nữa) vì họ cho rằng chính phủ tại đó chú trọng vào bảo vệ quyền lợi của người dân chứ không đưa ra những bằng chứng hay thông số kỹ thuật dựa trên hạ tầng bảo mật, phương thức mã hóa của mình.
Người dân Iceland biểu tình phản đối hành vi đối xử bất công với học viên Pháp Luân Công của chính phủ Iceland
Một điều khá mỉa mai là chính ngay những người ở Iceland lại có xu hướng ưa chuộng dùng Gmail, Yahoo, Hotmail hoặc nhà cung cấp dịch vụ email của chính nước họ là ISP’s email hơn là sử dụng dịch vụ bảo mật miễn phí kiểu này.
Ngoài ra, việc đặt server của Unseen tại Iceland vào năm 2014 cũng đặt ra nghi vấn có phải Chris muốn thông qua này để trốn tránh cái nhìn của cơ quan an ninh Mỹ vì có hành vi mờ ám (nhất là sau khi bị kiện vì lừa đảo tiền khách hàng ở Intelius) - giống như cái cách Edward Snowden làm đơn xin tị nạn gửi đến chính quyền Iceland hồi năm 2013. Bản thân thủ tướng Iceland mới đây cũng đã bị người dân biểu tình vì tội tham nhũng năm 2016 vì có tên trong hồ sơ Panama (chi tiết), và cũng chính Iceland là một trong những quốc gia hiếm hoi ký kết một hiệp định thương mại với Trung Quốc năm 2013, một phần vì Iceland không thuộc EU, một phần vì họ không hề bị ràng buộc bởi một cấu trúc chính trị khổng lồ đòi hỏi sự nhất quán để ký kết các hiệp đinh thương mại. Vậy hỏi việc đặt server của Chris tại Iceland có liên quan hay chịu ảnh hưởng gì bởi ĐCSTQ hay không?
Cũng giống như mạng xã hội Seen.life mà Võ Hoàng Vinh vốn đang quảng bá là sẽ tiến tới thay thế Facebook với tính bảo mật cao hơn và an toàn hơn. Nếu bỏ chút công sức phân tích thì có thể thấy rằng nếu có một thứ gì đó cung cấp dịch vụ gọi là “bảo mật” thì có thể hiểu đơn giản rằng nó sẽ khiến cho không ai nhìn thấy thông tin hay chia sẻ của bạn. Thực tế đến ngay cả tập đoàn lớn như Google cũng không thể cạnh tranh nổi với Facebook (mạng G+) trong phát triển mạng xã hội thì với một công ty Start-up không ai biết tên tuổi là gì liệu có thể? Mà thực tế Võ Hoàng Vinh vốn nổi tiếng trong với việc phát triển một kênh tin tức chuyên đăng bài nhảm là tin180.com (vốn là một dạng giao diện khác nhưng bản chất thì không khác gì BIN – BeforeItsNews của Chris Kitze) thì liệu có thể tin tưởng được hay không?
Tôi cũng chưa bao giờ nghe đến cái khái niệm “sự riêng tư” trong mạng xã hội, thực tế nếu ai đó chia sẻ một thông điệp với bất kỳ ai, thì nó không phải là “sự riêng tư”, và “sự riêng tư” là mâu thuẫn với mục đích của “xã hội”. Điều mà những người sử dụng Facebook thường gọi “sự riêng tư” chỉ đơn giản là giới hạn người xem, tức là chỉ cho phép nhưng người cụ thể được quyền xem thông tin cá nhân hoặc bài đăng của họ.
Trong điều khoản dịch vụ của Seen.life thì nó lại tương tự (nếu không muốn nói là copy y chang) như của Facebook nhưng với một ngoại lệ, đó là người sử dụng dịch vụ không bị cấm các hoạt động thương mại hóa từ các trang cá nhân miễn là hoạt động đó họ phải chịu trách nhiệm. Còn ở Facebook, họ muốn người dùng đặt tất cả các hoạt động mang tính thương mại trên Fanpage. Hơn nữa tôi cũng không hề thấy bất kỳ một điều khoản nào trong việc ngăn chặn hành vi khai thác dữ liệu (data mining) cũng như định nghĩa về khai thác dữ liệu là ra sao và phạm vi như thế nào (Vốn điều này lại được quy định rất rõ trong Facebook). Vậy với cách quảng bá là một mạng xã hội riêng tư và bảo mật với nội dung như trên có phải là quảng cáo tầm bậy hay không?
Kết luận:
Có lẽ không chỉ tác giả mà ở tại Mỹ và trên các diễn đàn về bảo mật đều đã và đang đặt một dấu hỏi rất lớn về khả năng bảo mật của Unseen từ trước tới nay, rất nhiều câu hỏi được đặt ra và cái cách trả lời của Chris Kitze tuy được che đậy bằng cách sử dụng các thuật ngữ liên quan đến bảo mật và mã hóa dữ liệu lại tỏ ra rất mâu thuẫn và dường như không có hiểu biết căn bản về mã hóa dữ liệu khi đem những thứ của mã hóa đối xứng lẫn lộn với những thứ trong mã hóa bất đối xứng. Ngoài ra việc tự ba hoa về một thuật toán mã hóa được cấp bằng sáng chế có tên là xAES mà chưa hề có mã số bằng sáng chế cũng như chưa từng xuất hiện trong các tài liệu nghiên cứu, các trao đổi trên diễn đàn cũng như trong giới bảo mật, họ cũng chưa từng nghe thấy loại thuật toán này bao giờ. Hơn nữa, nếu xem xét kỹ thì có rất nhiều dấu hiệu lừa đảo của Unseen từ việc không cấp khóa cho người dùng miễn phí mà vẫn cho rằng họ không thể giải mã được thông tin của khách hàng - điều chỉ lừa được tay mơ không có kiến thức gì về sử dụng khóa bảo mật v..v.
Có lẽ với những bằng chứng trên cộng với các khuyến cáo về dấu hiệu lừa đảo của các chuyên gia bảo mật có lẽ đã đủ để cho chúng ta phải dè chừng và tốt nhất là nên tránh xa khỏi cái phần mềm mà được thiết kế bởi người không có kiến thức căn bản về bảo mật cũng như từng có tiền án bị kiện vì lừa tiền khách hàng qua trang Intelius này, mà đội phó của Chris cũng không vừa – CTO Võ Hoàng Vinh khi cũng từng có tiền sử lừa tiền học viên Pháp Luân Công nhẹ dạ cả tin là cô Hồng khi quyên góp tiền vào chùa Long Tuyền (tham khảo). Nhất là trong cái bối cảnh mà ở tại Mỹ và Trung Quốc cũng đang lan truyền một loại điện thoại bảo mật mà Minh Huệ tổng bộ đã phải ra thông báo cấm sử dụng. (chi tiết)