Playlist
  • Người kỳ cựu về an toàn mạng?

    Hướng dẫn nâng cao để tăng cường kỹ năng tự vệ chống lại giám sát.

    Xin chúc mừng! Bạn đã thực hiện các bước để cải thiện sự an toàn của thông tin liên lạc trên mạng. Bây giờ bạn muốn nâng cấp thêm, và với danh sách cần đọc này, bạn sẽ có thể. Bạn sẽ học để hiểu được các mối đe dọa, xác minh danh tính của những người mà bạn đang giao tiếp, và học thêm một số công cụ mới.

  • Giới thiệu về Mô thức Đe dọa

    Không có giải pháp nào để giữ an toàn trên mạng. An ninh kỹ thuật số không phải là các công cụ bạn sử dụng; mà là hiểu được những mối đe dọa mà bạn đối mặt và cách thức để đối mặt với những mối đe dọa đó. Để thực sự an toàn, bạn cần phải xác định rõ bạn muốn bảo vệ cái gì, và bạn muốn bảo vệ nó khỏi ai. Các mối đe dọa có thể thay đổi dựa trên địa điểm của bạn; việc bạn đang làm, và người mà bạn làm cùng. Do đó, để xác định giải pháp nào là tốt nhất, bạn nên thực hiện bản đánh giá xác định mô thức đe dọa.

    Khi thực hiện bản đánh giá, bạn nên tự hỏi mình 5 câu hỏi dưới đây: Anchor link

    1. Bạn muốn bảo vệ cái gì?
    2. Bạn muốn bảo vệ nó khỏi ai?
    3. Bạn muốn bảo vệ nó như thế nào?
    4. Sẽ tệ hại thế nào nếu bạn không bảo vệ được nó?
    5. Nếu cố gắng bảo vệ thì bạn sẽ phải đối mặt với bao nhiêu rắc rối?

    Khi chúng ta đề cập đến câu hỏi đầu tiên, chúng thường nói đến tài sản, hoặc những thứ mà chúng ta muốn bảo vệ. Tài sản là thứ chúng ta nghĩ có giá trị và muốn bảo vệ. Khi chúng ta nói về an ninh số, tài sản đề cập trong câu hỏi trên thông thường là các thông tin. Ví dụ như địa chỉ mail, danh sách liên lạc, tin nhắn, và các tập tin, tất cả đều là tài sản. Kể cả các thiết bị của bạn cũng là tài sản.

    Hãy viết xuống danh sách dữ liệu mà bạn đang lưu giữ, nơi bạn lưu giữ, người nào có thể truy cập dữ liệu đó, và điều gì làm người khác không thể truy cập dữ liệu đó.

    Để trả lời câu hỏi thứ hai, “Bạn muốn bảo vệ nó không bị ai lấy,” thì điều quan trọng là hiểu rằng ai muốn nhắm vào bạn và thông tin của bạn, hoặc ai là đối thủ của bạn. Đối thủ là bất kỳ người nào hoặc thực thể nào gây ra mối đe dọa đối với một tài sản hoặc nhiều tài sản. Ví dụ như đối thủ tiềm năng có thể là sếp của bạn, chính quyền hoặc hacker trên mạng.

    Hãy tạo một danh sách những người muốn nhắm đến dữ liệu hoặc các liên lạc của bạn. Những người này có thể là cá nhân, cơ quan chính quyền, hoặc công ty.

    Mối đe dọa là thứ gây hại cho tài sản. Có rất nhiều cách mà đối thủ có thể gây ra đe dọa cho dữ liệu của bạn. Ví dụ như, một đối thủ có thể đọc được các cuộc liên lạc bí mật của bạn khi bạn liên lạc qua mạng, hoặc chúng có thể xóa hoặc làm hỏng dữ liệu của bạn. Đối thủ có thể làm bạn mất quyền truy cập dữ liệu của chính bạn.

    Các đối thủ tấn công với rất nhiều các động cơ khác nhau. Chính quyền có thể hài lòng với việc xóa video hoặc làm giảm bớt xuất hiện của video có hình ảnh bạo lực của công an, trong khi đó các đối thủ chính trị có thể muốn tiếp cận các nội dung bí mật và công bố nội dung đó mà bạn không biết.

    Hãy viết xuống những điều mà đối thủ của bạn muốn làm với dữ liệu riêng tư của bạn.

    Khả năng kỹ thuật của những kẻ tấn công cũng là điều quan trọng mà bạn cần nghĩ đến. Ví dụ như, nhà cung cấp mạng điện thoại di động có quyền truy cập vào tất cả các thông tin cuộc gọi và vì vậy họ có thể sử dụng thông tin đó để chống lại bạn. Tin tặc trên mạng wifi mở có thể truy cập vào các cuộc liên lạc không được mã hóa. Thường thì khả năng kỹ thuật của chính quyền cao hơn.

    Điều cuối cùng cần xét đến là mối nguy hại. Mối nguy hại là đe dọa đặc thù có khả năng xảy ra đối với tài sản đặc thù, và phụ thuộc vào khả năng của người tấn công. Trong khi nhà cung cấp mạng điện thoại di động có thể truy cập vào dữ liệu của bạn thì mối nguy rằng họ sẽ đưa các dữ liệu cá nhân đó lên mạng để làm ảnh hưởng đến danh tiếng của bạn là rất thấp.

    Phân biệt giữa mối đe dọa và mối nguy hại là rất quan trọng. Trong khi mối đe dọa là thứ gây hại có thể xảy ra, mối nguy hại là khả năng mối đe dọa có thể xuất hiện. Ví dụ như, có mối đe dọa rằng tòa nhà của bạn có thể sẽ bị sụp đổ, nhưng xác suất xảy ra điều này ở San Francisco (nơi có rất nhiều động đất) lớn hơn so với ở Stockholm (nơi không có động đất).

    Thực hiện phân tích mối nguy hại là quá trình cá nhân và chủ quan; không phải tất cả mọi người đều có những ưu tiên giống nhau hoặc cách nhìn về mối đe dọa giống nhau. Rất nhiều người thấy rằng các mối đe dọa là thứ không thể chấp nhận được, dù cho mức độ nguy hại thế nào đi nữa. Bởi vì sự xuất hiện đe dọa ở bất kỳ mức độ nào đều không xứng với cái giá phải trả. Trong nhiều trường hợp khác, nhiều người xem thường những mối nguy hại vì họ không thấy có vấn đề gì với những mối đe dọa.

    Ví dụ đối với các nội dung quân sự thì việc tiêu hủy các tài sản thường được ưu tiên nhằm tránh các tài sản này rơi vào tay kẻ thù. Trái ngược với quân sự, trong các nội dung dân sự thì các tài sản như dịch vụ email luôn sẵn có còn quan trọng hơn việc bảo mật.

    Hãy thực hành Xác định Mô thức Đe dọa Anchor link

    Nếu bạn muốn giữ cho ngôi nhà và tài sản của bạn an toàn, đây là vài câu hỏi bạn nên đặt ra:

    • Tôi có nên khóa cửa?
    • Loại khóa nào hoặc những loại khóa nào tôi nên dùng?
    • Tôi có cần thêm hệ thống an toàn đạt tiêu chuẩn không?
    • Đâu là tài sản trong bối cảnh này:
      • Sự riêng tư của ngôi nhà
      • Các vật trong ngôi nhà
    • Mối đe dọa gì?
      • Người nào đó có thể vào nhà
    • Nguy cơ thực tế của việc ai đó có thể xâm nhập vào nhà là gì? Có thể xảy ra không?

    Một khi bạn đã đặt ra các câu hỏi trên, bạn sẽ ở vị trí đánh giá sử dụng mức độ an ninh nào. Nếu tài sản của bạn rất có giá trị, nhưng nguy cơ bị tấn công thấp thì có lẽ bạn không muốn dùng quá nhiều tiền để mua một bộ khóa. Mặt khác, nếu nguy cơ bị tấn công cao, bạn sẽ muốn một bộ khóa tốt nhất, và thậm chí còn muốn gắn thêm một hệ thống an ninh.

    Cập nhật lần cuối: 
    2017-09-07
    This page was translated from English. The English version may be more up-to-date.
  • Lựa Chọn Công Cụ

    Tất cả các công cụ kỹ thuật số dù là phần cứng hay phần mềm đều nên được bảo mật. Điều này nghĩa là chúng nên bảo vệ bạn khỏi bị theo dõi, và bị điều khiển bởi những kẻ khác. Rất tiếc hiện thời không phải là như thế. Trong nhiều các hoạt động trên mạng, cuối cùng bạn sẽ cần phải sử dụng các chương trình chuyên dụng hoặc các công cụ có đặc tính bảo mật đặc biệt. Ví dụ như trong bài hướng dẫn này chúng tôi có cung cấp cho bạn một phần mềm cho phép bạn mã hóa thông tin hoặc tập tin, phần mềm đó là PGP.

    Thực tế có rất nhiều các công ty và trang mạng cung cấp các chương trình và phần cứng bảo mật, vậy bạn sẽ chọn lựa như thế nào cho phù hợp nhất?

    Bảo mật là một quá trình, không phải là thứ để mua Anchor link

    Điều đầu tiên cần phải nhớ trước khi thay đổi phần mềm bạn đang sử dụng hoặc mua những công cụ mới đó là trong bất kỳ tình huống nào không một công cụ nào cung cấp cho bạn sự bảo đảm tuyệt đối khỏi bị theo dõi. Sử dụng phần mềm mã hóa làm cho người khác khó khăn hơn khi cố tình đọc nội dung các cuộc liên lạc và lục soát những tập tài liệu trong máy của bạn. Nhưng các vụ tấn công an ninh mạng luôn tìm đến những điểm yếu nhất trong cách ứng dụng bảo mật của bạn. Khi bạn sử dụng một công cụ bảo mật, bạn nên nghĩ đến việc dùng nó có thể gây ra cách khác để kẻ gian tấn công bạn. Ví dụ như, nếu bạn quyết định sử dụng phần mềm nhắn tin bảo mật để liên lạc vì bạn biết rằng điện thoại của bạn có thể bị lộ, thì thật ra nếu bạn sử dụng chương trình đó có nghĩa đối thủ sẽ hiểu rằng bạn đang nói chuyện về các thông tin bí mật?

    Điều thứ hai, hãy nhớ về mô thức đe dọa. Bạn không cần phải mua một hệ thống điện thoại mã hóa đắt tiền thách đố cả NSA nếu mối đe dọa lớn nhất là sự theo dõi đến từ thám tử tư chẳng có trong tay các công cụ theo dõi mạng. Hoặc như, nếu bạn phải đối mặt với một chính quyền thường xuyên bắt giam những người đối lập bởi vì họ có sử dụng các công cụ mã hóa, thì việc dùng các thủ thuật đơn giản hơn có thể tốt hơn: một bộ mật mã được định trước, hơn là rủi ro để lại dấu vết cho thấy bạn sử dụng phần mềm mã hóa trên máy tính.

    Tóm tắt tất cả các ý trên, đây là một vài câu hỏi bạn nên thắc mắc về công cụ bảo mật trước khi bạn quyết định tải xuống, trả phí và sử dụng.

    Mức độ minh bạch của nó ra sao? Anchor link

    Mặc dầu an ninh kỹ thuật số gần như là việc giữ kín các bí mật, thì các nhà nghiêm cứu bảo mật có niềm tin rằng tính công khai và minh bạch sẽ khiến cho các công cụ trở nên bảo mật hơn.

    Rất nhiều các phần mềm miễn phí và có mã nguồn mở được sử dụng và khuyến nghị bởi cộng đồng an ninh số, mã nguồn mở có nghĩa rằng đoạn mã để chạy chương trình được công khai cho những người khác phân tích, chỉnh sửa và chia sẻ. Bằng việc minh bạch về cách chương trình vận hành, những người làm ra công cụ này mời gọi những người khác tìm kiếm những lỗ hổng, và giúp họ cải tiến chương trình.

    Phần mềm mở tạo cơ hội hình thành hệ thống bảo mật tốt hơn nhưng không bảo đảm điều đó. Lợi thế của mã nguồn mở nằm ở chỗ một phần cộng đồng chuyên gia kỹ thuật có thể kiểm tra các đoạn mã, mà việc này đối với các dự án nhỏ lẻ rất khó có thể làm được (thậm chí ngay cả các dự án phổ biến và phức tạp). Khi bạn đang cân nhắc sử dụng một công cụ nào đó, hãy xem mã nguồn của nó có sẵn không, và đoạn mã có sự kiểm tra bảo mật độc lập để xác minh chất lượng bảo mật không. Ít nhất thì phần mềm và phần cứng nên có phần giải thích các chi tiết kỹ thuật về cách vận hành để cho các chuyên gia xem xét.

    Người tạo lập có nói rõ về Lợi thế và Bất lợi của công cụ? Anchor link

    Không phần mềm và phần cứng nào đảm bảo an toàn tuyệt đối. Những người tạo lập hoặc bán sản phẩm thành thật về hạn chế của công cụ sẽ cho bạn hiểu biết nhiều hơn việc các ứng dụng đó có phù hợp với bạn hay không.

    Không nên tin vào tuyên bố chung chung rằng mã nguồn này ở mức độ bảo mật “cấp quân sự” hoặc “không bị NSA đọc lén được”; những tuyên bố đó chẳng có nghĩa lý gì và cảnh báo bạn rằng những người tạo lập nó đã quá tự tin và không sẵn sàng xem xét việc sản phẩm của họ có thể có khuyết điểm.

    Bởi vì những kẻ tấn công luôn tìm cách tìm ra những cách thức mới để phá vỡ tính bảo mật của các công cụ, vậy nên phần mềm và phần cứng nên được cập nhật để vá các lỗ hổng. Đây có thể trở thành một vấn đề nghiêm trọng nếu người tạo lập công cụ không sẵn sàng làm việc này, vì họ sợ bị tiếng xấu, hoặc có lẽ họ đã không xây dựng cơ sở hạ tầng để sửa chữa những lỗi này.

    Bạn không thể tiên đoán tương lai, nhưng người tạo lập công cụ hành xử trong tương lai là một chỉ dấu cho thấy các hoạt động của họ trong quá khứ. Nếu trang mạng về công cụ liệt kê các lỗi trước đó và có đường dẫn đến thông tin và các gói cập nhật thường xuyên (chỉ ra cụ thể đã bao lâu rồi phần mềm được cập nhật lần cuối) thì bạn có thể tin tưởng rằng họ sẽ tiếp tục cung cấp dịch vụ cập nhật này trong tương lai.

    Điều gì xảy ra nếu Người tạo ra công cụ lại thỏa hiệp? Anchor link

    Khi tạo ra phần mềm và phần cứng bảo mật, người tạo lập cũng giống như chính bạn phải đối diện với mô thức đe dọa. Người tạo lập giỏi sẽ mô tả rõ ràng trong tài liệu rằng họ có thể bảo vệ bạn khỏi những kẻ tấn công nào.

    Nhưng có một kẻ tấn công mà rất nhiều hãng thậm chí không muốn nghĩ đến: nếu như chính họ buộc phải thỏa hiệp hoặc quyết định tấn công chính người dùng của họ. Ví dụ như, tòa án hoặc chính quyền có thể gây sức ép một công ty để bắt nộp dữ liệu người dùng hoặc tạo ra một “cổng sau” nhằm xóa bỏ tất cả các lớp bảo vệ của công cụ. Có lẽ bạn nên xem xét pháp luật của nơi người tạo lập công cụ. Lấy ví dụ, nếu sự đe dọa bạn có là từ phía chính quyền Iran, một công ty có trụ sở tại Hoa Kỳ có thể chống lại phán quyết của tòa án Iran, kể cả khi phán quyết đó tuân theo trình tự tại Hoa Kỳ.

    Ngay cả khi một người tạo lập có thể chống lại áp lực của chính quyền, thì cũng có kẻ tấn công tìm cách đạt được kết quả tương tự bằng cách xâm nhập vào hệ thống của người tạo lập công cụ để tấn công người dùng.

    Các công cụ vững trãi nhất là những công cụ coi việc trên giống như một vụ tấn công có thể xảy ra, và được thiết kế để chống lại điều đó. Tìm trong tài liệu xem có chỗ nào khẳng định là người tạo lập không thể truy cập dữ liệu riêng tư, hơn là tin lời hứa hẹn của họ là sẽ không làm vậy. Hãy tìm kiếm tổ chức có tiếng trong việc chống lại trát tòa đòi nộp dữ liệu cá nhân.

    Tìm xem coi có Thu Hồi và có Phê Bình trên mạng Anchor link

    Tất nhiên các công ty bán sản phẩm và những người say mê quảng cáo về phần mềm mới nhất có thể gây nhầm lẫn, hiểu lầm và thậm chí hoàn toàn dối trá. Một sản phẩm ban đầu an toàn thì có thể tìm ra nhiều lỗi trong tương lai. Hãy đảm bảo rằng bạn vẫn chú ý đến những thông tin mới nhất về công cụ bạn đang sử dụng.

    Bạn có biết ai khác dùng công cụ giống bạn? Anchor link

    Một người phải cố gắng rất nhiều mới có thể cập nhật các thông tin mới nhất về công cụ họ sử dụng. Nếu bạn có đồng nghiệp nào sử dụng một sản phẩm hoặc dịch vụ cụ thể nào đó thì hãy cộng tác với họ để đối chiếu xem điều gì đang xảy ra.

    Các Sản phẩm được đề cập trong phần hướng dẫn này Anchor link

    Chúng tôi cố gắng đảm bảo rằng phần mềm và phần cứng chúng tôi đề cập trong phần hướng dẫn này phù hợp với các tiêu chí chúng tôi đã đưa ra bên trên: chúng tôi đã nỗ lực hết mình để chỉ lên danh sách các sản phẩm có nền tảng vững chắc trong số các sản phẩm mà chúng tôi biết trong lĩnh vực an ninh số, đồng thời cũng minh bạch về cách vận hành (cũng như những thất bại), có phòng thủ chống lại khả năng người tạo ra nó phải thỏa hiệp, và vẫn đang được bảo trì, dựa vào nền tảng kiến thức công nghệ người dùng và số lượng người dùng lớn. Tại thời điểm viết bài này, chúng tôi tin rằng chúng là điểm chú tâm của rất nhiều người dùng, những người vẫn đang phân tích các lỗi, và sẽ nêu lên cảnh báo cho cộng đồng một cách nhanh chóng. Xin hãy hiểu rằng chúng tôi không có các nguồn lực để đánh giá và đảm bảo về độ bảo mật, chúng tôi không chứng thực các sản phẩm này và không đảm bảo về độ an toàn tuyệt đối.

    Tôi nên mua điện thoại nào? Máy tính nào? Anchor link

    Một trong những câu hỏi thường xuyên dành cho những người huấn luyện về bảo mật là “Tôi có nên mua điện thoại Android hay Iphone?” hoặc “Tôi nên sử dụng PC hay Mac?” hoặc “Tôi nên dùng hệ điều hành nào?” Sẽ không có câu trả lời nào đơn giản cho những câu hỏi trên. Sự an toàn tương đối của các phần mềm và thiết bị thay đổi liên tục khi lỗi mới được phát hiện và các lỗi sai được sửa. Các công ty có thể cạnh tranh với nhau để cung cấp cho bạn một hệ thống bảo mật tốt hơn, hoặc họ có thể đều chịu áp lực từ phía chính quyền phải làm yếu hệ thống bảo mật.

    Tuy nhiên, có một vài lời khuyên chung chung luôn đúng. Khi bạn mua một thiết bị hoặc một hệ điều hành, nhớ luôn cập nhật phần mềm. Các gói cập nhật sẽ vá các lỗi bảo mật mà các vụ tấn công khai thác trong bộ mã cũ. Các điện thoại và các hệ điều hành đời cũ không được hỗ trợ, thậm chí không có các gói cập nhật bảo mật. Đặc biệt, Microsoft tuyên bố rằng Windows XP và các phiên bản Windows đời trước sẽ không nhận được các bản vá lỗi dù cho chúng có các lỗi bảo mật nghiêm trọng. Nếu bạn sử dụng XP, bạn không thể kỳ vọng rằng hệ điều hành này được an toàn bởi những kẻ tấn công. (Điều này cũng đúng với hệ điều hành OS X 10.7.5 trở về trước và OS X Lion)

    Cập nhật lần cuối: 
    2014-11-04
    Trang này được dịch từ tiếng Anh. Phiên bản tiếng Anh có lẻ đầy đủ và cập nhật hơn.
  • Kiểm Chứng Chìa Khóa

    Khi sử dụng mã hóa đúng cách, các cuộc liên lạc và thông tin của bạn chỉ có thể đọc được bởi bạn hoặc người mà bạn liên lạc. Mã hóa nối đầu bảo vệ dữ liệu của bạn khỏi bị theo dõi bởi bên thứ ba, nhưng nếu bạn không chắc về danh tính của người mà bạn đang nói chuyện, thì sự hữu dụng của mã hóa có giới hạn. Vì vậy mới có việc kiểm chứng chìa khóa. Bằng việc xác nhận chìa khóa công khai, bạn và người mà bạn liên lạc tạo thêm một lớp bảo vệ khác cho cuộc trò chuyện bằng cách xác nhận danh tính của nhau, điều này cho phép bạn chắc chắn hơn nữa rằng bạn đang nói chuyện với đúng người.

    Kiểm chứng chìa khóa là một chức năng phổ thông của các giao thức sử dụng mã hóa nối đầu, như PGP và OTR. Mở tín hiệu, chúng được gọi là "safety numbers." Để xác nhận khóa mà không bị rủi ro bị can thiệp, thì nên dùng một phương thức liên lạc phụ song hành với phương thức liên lạc bạn sẽ mã hóa; phương thức này được gọi là kiểm chứng ngoài luồng (out-of-band verification). Ví dụ như, nếu bạn đang kiểm chứng vân tay OTR, bạn có thể gửi email trao đổi dấu vân tay. Trong ví dụ này, email chính là kênh liên lạc phụ.

    Kiểm chứng chìa khóa ngoài luồng Anchor link

    Có vài cách để làm việc này. Nếu như có thể bố trí an toàn và thuận lợi, thì lý tưởng nhất là kiểm chứng khóa bằng cách gặp mặt trực tiếp. Điều này thường được thực hiện tại các buổi tiệc ký nhận chìa khóa hoặc giữa các đồng nghiệp.

    Nếu bạn không thể gặp mặt trực tiếp, bạn có thể liên lạc đối tác qua một cách thức liên lạc khác với cách dùng để xác nhận khóa. Ví dụ như, nếu bạn muốn xác nhận khóa PGP với người khác, bạn có thể sử dụng điện thoại hoặc một phần mềm OTR để làm việc đó.

    Bất kỳ chương trình nào bạn sử dụng, bạn sẽ luôn có thể tìm ra được cả hai chìa khóa của bạn và của đối tượng liên lạc.

    Mặc dù phương pháp tìm ra chìa khóa có khác nhau tùy thuộc chương trình, nhưng phương thức kiểm chứng khóa vẫn gần như là giống nhau. Bạn có thể đọc dấu vân tay của chìa khóa cho nhau nghe (nếu bạn gặp trực tiếp hoặc sử dụng điện thoại) hoặc bạn có thể sao chép và lưu vào một chương trình liên lạc, nhưng dù bạn lựa chọn cách nào đi chăng nữa, bạn bắt buộc phải kiểm tra từng ký hiệu chữ và số.

    Lời khuyên: Cố gắng kiểm chứng khóa với một người bạn. Để biết cách kiểm chứng chìa khóa của một chương trình đặc biệt nào đó, hãy xem trong hướng dẫn sử dụng của chương trình đó.

    Cập nhật lần cuối: 
    2017-01-13
    Trang này được dịch từ tiếng Anh. Phiên bản tiếng Anh có lẻ đầy đủ và cập nhật hơn.
  • Giới thiệu về Mật Mã Khóa Công Khai và PGP

    PGP là viết tắt của từ Pretty Good Privacy (Bảo mật rất mạnh). Nó thật sự bảo mật rất mạnh. Nếu sử dụng đúng cách, PGP có thể bảo vệ các nội dung tin nhắn của bạn, văn bản, và thậm chỉ cả tập tin khỏi bị đọc bởi cả các chương trình theo dõi được tài trợ nhiều tiền của chính phủ. Khi Edward Snowden nói về “mã hóa hiệu nghiệm”, thứ mà anh ta nói chính là PGP và phần mềm liên quan đến nó. Cần lưu ý rằng đã có nghe đến việc chính phủ ăn trộm các chìa khóa riêng trong máy tính của một người nào đó (bằng cách lấy đi máy tính, hoặc cài mã độc trong máy tính qua cách xâm nhập máy trực tiếp hoặc bằng lừa phỉnh (phishing)). Cách này tháo gỡ lớp bảo vệ và thậm chí cho phép đọc các email cũ. Điều này có thể so sánh với việc cửa nhà có một bộ khóa không thể cạy được, nhưng ai đó vẫn có thể móc trộm chìa khóa của bạn ở ngoài đường, rồi sao chép nó và lẳng lặng trả lại vào túi của bạn- và sau đấy xâm nhập vào nhà của bạn mà không cần phải bẻ khóa.

    Rất tiếc PGP không phải dễ hiểu và cũng khó để sử dụng. Loại mã hóa kiến cố mà PGP sử dụng – mã hóa chìa khóa công khai- rất tuyệt vời, nhưng rất khó hiểu. Phần mềm PGP đã được lưu hành từ năm 1991, nó cũng cổ lổ như những phiên bản đầu của hệ điều hành Microsoft Windows, và giao diện mạo của nó cũng không thay đổi gì nhiều từ dạo ấy.

    Tin vui là có rất nhiều phần mềm hiện nay che dấu bớt các thiết kế cổ của PGP và làm nó dễ sử dụng hơn, đặc biệt khi mã hóa và xác minh email- cũng là mục đích chính của PGP. Chúng tôi đã kèm theo hướng dẫn cài đặt và sử dụng phần mềm này.

    Trước khi mày mò về PGP hoặc các phần mềm khác sử dụng PGP, thì cũng nên dành thì giờ để hiểu căn bản của mã hóa chìa khóa công khai: nó có thể làm gì cho bạn, nó không thể làm gì, và khi nào bạn nên sử dụng nó.

    Câu chuyện về hai chiếc khóa Anchor link

    Khi chúng ta sử dụng mã hóa để chống lại theo dõi, đây là điều chúng ta muốn làm:
    Chúng ta có một tin nhắn dễ đọc như “chào mẹ”. Chúng ta mã hóa nó thành một tin nhắn mật mã không ai đọc được (nó trở thành “OhsieW5ge+osh1aehah6,”). Chúng ta gửi tin nhắn mã hóa này qua mạng internet, mà trên đó có nhiều người có thể thấy nó, nhưng hy vọng là không ai hiểu nó. Sau đó, khi tin nhắn đã đến nơi, người nhận mà chúng ta gửi và chỉ người nhận mà chúng ta muốn gửi đến có cách nào đó giải mã tin nhắn thành tin nhắn ban đầu.

    Bằng cách nào người nhận biết cách giải mã tin nhắn, trong khi người khác lại không biết? Điều này là bởi vì họ biết các thông tin phụ trội mà không ai khác biết. Hãy gọi thông tin phụ trội này là khóa giải mã, bởi vì nó đã mở khóa tin nhắn nằm trong dòng mã đó.

    Bằng cách nào người nhận biết được khóa này? Bởi vì người gửi trước đó đã bảo cho họ chìa khóa là gì, dầu nó là “hãy đặt tin nhắn đó trước gương” hoặc “lấy mỗi ký tự và đổi nó thành kí tự tiếp theo trong bảng chữ cái”. Tuy nhiên có vấn đề với chiến thuật này. Nếu bạn lo lắng về việc bị dọ thám khi bạn gửi tin nhắn mã hóa, thì bằng cách nào bạn gửi chìa khóa cho người nhận mà cũng không để người khác dọ thám cuộc nói chuyện đó? Thật là vô ích nếu như gửi một tin nhắn được mã hóa một cách tài tình mà kẻ tấn công bạn đã biết chìa khóa để giải mã. Và nếu bạn có một cách bí mật để gửi chìa khóa giải mã, vậy tại sao bạn không dùng cách này cho toàn bộ tin nhắn bí mật?

    Mật mã khóa công khai có một giải pháp tài tình cho vấn đề này. Mỗi người trong cuộc trò chuyện có cách để tạo ra hai chìa khóa. Một chiếc là khóa riêng, giữ cho riêng mình và không bao giờ để lộ cho ai biết. Chìa khóa kia là khóa công khai, khóa này họ trao cho bất kỳ ai muốn liên lạc với họ. Ai thấy khóa công khai cũng được, không sao cả. Bạn còn có thể đưa nó lên mạng để mọi người đều thấy.

    Những chiếc “khóa” tự bản thân chúng là những dãy số rất lớn, với các đặc tính toán học đặc biệt. Khóa công khai và khóa riêng được kết nối với nhau. Nếu bạn mã hóa thứ gì đó bằng khóa công khai, thì ai đó khác có thể giải mã nó bằng cách dùng khóa riêng cùng bộ.

    Hãy xem nó hoạt động như thế nào. Bạn muốn gửi một tin nhắn bí mật cho Aaray. Aaray có một khóa riêng, nhưng cũng như bao người sử dụng mã hóa khóa công khai thông thạo, anh ta đưa khóa công khai của anh ấy lên trang mạng của anh ta. Bạn tải xuống khóa công khai, mã hóa tin nhắn bằng khóa công khai đó, và gửi nó cho anh ta. Anh ta có thể giải mã nó, bởi vì anh ta có khóa cá riêng tương ứng- mà không ai khác có thể giải mã.

    Chữ ký của thời đại Anchor link

    Mật mã khóa công khai loại bỏ vấn đề phải đưa lén khóa giải mã cho người mà bạn muốn gửi tin nhắn đến, vì người này đã sẵn chìa khóa. Bạn chỉ cần cần khóa mã hóa công khai của người nhận, mà họ có thể đưa cho mọi người, kể cả là gián điệp. Bởi vì nó chỉ hữu ích để mã hóa một tin nhắn, cho nên nó vô ích nếu ai đó tìm cách giải mã.

    Nhưng còn nữa! Nếu bạn mã hóa một tin nhắn bằng khóa công khai nào đó, thì nó chỉ có thể được giải mã bằng khóa riêng tương hợp. Nhưng điều ngược lại cũng đúng luôn. Nếu bạn mã hóa một tin nhắn bằng khóa riêng nào đó, thì nó cũng chỉ có thể được giải mã bằng khóa công khai tương hợp.

    Tại sao điều này hữu ích? Thoạt nhìn qua, thì dường như không có gì ích lợi khi tạo tin nhắn bí mật với khóa riêng mà mọi người trên trái đất này có thể mở được (hoặc ít nhất, những người có khóa công khai của bạn). Nhưng giả sử như tôi viết một tin nhắn “Tôi hứa sẽ trả Aszul 100 đô”, và sau đó biến nó thành một tin nhắn bí mật với khóa riêng của tôi. Bất kỳ ai có thể giải mã tin nhắn đó- nhưng chỉ có một người có thể viết tin đó: người nào có khóa riêng của tôi. Nếu tôi bảo vệ khóa riêng thật kỹ càng, thì có nghĩa rằng người đó là tôi, và chỉ có thể là tôi. Kết quả là, bằng cách mã hóa nó với khóa riêng, tôi đảm bảo rằng nó chỉ có thể đến từ tôi. Nói cách khác, tôi đã ký vào tin nhắn số này tương tự như tôi vào một tin nhắn ở ngoài đời.

    Ký tên cũng khiến cho tin nhắn không bị sửa đổi, giả mạo. Nếu ai đó cố thay đổi “Tôi hứa sẽ trả Aszul 100 đô” thành “Tôi hứa sẽ trả Bob 100 đô”, họ sẽ không thể ký lại tin nhắn đó dùng khóa riêng của tôi. Do đó một tin nhắn được ký thì bảo đảm là đến từ một nguồn nào đó, và không bị thay đổi trên đường chuyển tải.

    Vậy mật mã khóa công khai giúp bạn mã hóa và gửi tin nhắn một cách an toàn đến bất kỳ ai mà bạn biết khóa công khai của họ. Nếu người khác biết khóa công khai của bạn, họ có thể gửi bạn tin nhắn, mà chỉ có bạn mới có thể giải mã. Và nếu người khác biết khóa công khai của bạn thì bạn có thể ký vào tin nhắn để họ biết tin nhắn chỉ có thể đến từ bạn. Và nếu bạn biết khóa công khai của ai đó, bạn có thể giải mã một tin nhắn được họ ký tên và biết chắc là nó phải đến từ họ.

    Đến đây thì thấy rõ là mật mã khóa công khai càng trở nên hữu dụng thì càng nhiều người biết khóa công khai của bạn. Và cũng thấy rõ là bạn phải giữ an toàn cho khóa riêng của mình. Nếu ai đó có một bản sao của khóa riêng của bạn, họ có thể giả dạng làm bạn, và ký vào tin nhắn khẳng định rằng chúng được viết bởi bạn. PGP có một chức năng để bạn hủy khóa riêng, và cảnh báo mọi người rằng nó không còn đáng tin nữa, nhưng đó cũng không phải là giải pháp tốt. Điều quan trọng nhất của việc sử dụng hệ thống mật mã khóa công khai là bảo vệ khóa riêng của bạn thật cẩn thận.

    Cách làm việc của PGP Anchor link

    Pretty Good Privacy chủ yếu quan tâm đến chi tiết tạo và sử dụng khóa công khai và khóa riêng. Bạn có thể tạo cặp khóa công khai/riêng với PGP, bảo vệ khóa riêng với mật khẩu, và sử dụng nó cùng khóa công khai để ký tên và mã hóa văn bản. Phần mềm cũng cho phép bạn tải xuống các khóa công khai của người khác, và tải khóa công khai của bạn lên “máy chủ khóa công khai”, là kho chứa nơi người khác có thể tìm ra khóa của bạn. Hãy xem hướng dẫn để cài đặt các phần mềm tương thích PGP trong phần mềm email.

    Nếu có một điều duy nhất mà bạn cần nhớ trong mục tổng quan này, thì đó là: bạn nên giữ khóa riêng của bạn ở nơi an toàn, và bảo vệ nó bằng mật khẩu thật dài. Bạn có thể đưa khóa công khai cho bất kỳ ai bạn muốn liên lạc với nhau, hoặc đưa cho ai muốn kiểm xem tin nhắn có thực sự do bạn gửi đi không.

    PGP cao cấp: Chuỗi tin cậy Anchor link

    Bạn có thể đã nhận một lỗ hổng tiềm tàng trong cách mật mã khóa công khai hoạt động. Giả sử tôi bắt đầu phân phát một chìa khóa công khai tôi nói là của Barack Obama. Nếu mọi người tin tôi, họ có thể sẽ gửi các tin nhắn mật đến Barack, được mã hóa với khóa đó. Hoặc có thể họ tin thứ gì được ký tên bằng khóa đó là tuyên bố chính thức của Barack. Điều này khá hiếm, vậy mà nó đã xảy ra cho vài người ở ngoài đời, luôn cả một số tác giả của tài liệu này- vài người viết thư đến họ đã bị lừa phỉnh! (Chúng tôi không chắc chắn trong các trường hợp này là những người làm khóa giả thực sự có thể chặn đọc các tin nhắn trên đường chuyển tải, hay đây chỉ là một loại trò chơi khăm để gây bất tiện cho mọi người khi muốn nói chuyện được bảo mật.)

    Một kiểu tấn công lén lút khác là kẻ tấn công ngồi giữa hai người đang nói chuyện qua mạng, nghe trộm toàn bộ câu chuyện của họ, và thi thoảng nhét thêm những tin nhắn sai lạc vào câu chuyện. Cũng vì mô hình thiết kế của internet là một hệ thống chuyển tải các tin nhắn xuyên qua nhiều máy tính và thành phần khác nhau, cách tấn công này hoàn toàn có thể xảy ra. Trong điều kiện này (được gọi là “cuộc tấn công với kẻ trung gian”), trao đổi khóa mà không có quy ước trước thì trở nên rất rủi ro. “Đây là khóa của tôi”, một câu thông báo của một người nghe giọng giống như Barack Obama, và gửi cho bạn một tập tin khóa công khai. Có gì bảo đảm là không có ai đó đợi đến thời điểm đó, phá đường truyền chìa khóa của Obama, và sau đó chèn khóa của họ vào?

    Làm cách nào chúng ta chứng minh được một khóa nào đó thực sự thuộc về một người nào đó? Có một cách là lấy khóa trực tiếp từ họ, nhưng cách này không hay ho gì hơn việc lấy được khóa bí mật mà không bị ai phát hiện. Nhưng người ta vẫn trao đổi khóa công khai khi họ gặp nhau, riêng tư hay tại các tiệc ký nhận khóa.

    PGP có cách giải pháp tốt hơn gọi là “chuỗi tin cậy”. Trong chuỗi tin cậy, nếu tôi tin một chiếc chìa khóa thuộc về một ai đó, tôi có thể ký tên vào khóa đó, và tải khóa đó (và cả chữ ký nữa) lên máy chủ khóa công khai. Máy chủ khóa công khai này sẽ trao khóa cho bất kỳ ai yêu cầu.

    Đại khái là nếu có càng nhiều người mà tôi tin cậy đã ký vào một chìa khóa thì tôi càng tin là khóa đó thực sự thuộc về chủ nhân của nó. PGP cho bạn ký tên vào khóa của người khác, và cũng cho bạn tin vào những người đã ký khác, do đó nếu họ ký tên vào một khóa, phần mềm của bạn sẽ tự động tin rằng khóa đó hợp lệ.

    Chuỗi tin cậy có những thách thức của riêng nó, và các tổ chức như EFF vẫn đang tìm giải pháp tốt hơn. Nhưng cho đến hiện này, nếu bạn muốn có cách nào khác hơn việc trao đổi khóa tận tay thì việc dùng chuỗi tin cậy và mạng lưới máy chủ khóa công khai vẫn là an toàn nhất.

    Siêu dữ liệu: Điều gì mà PGP không thể làm được? Anchor link

    PGP chủ yếu là đảm bảo rằng nội dung của tin nhắn được bảo mật, thật, và không bị xáo trộn, giả mạo. Nhưng đó không phải là điều quan tâm về riêng tư duy nhất mà bạn lo ngại. Như chúng tôi đã nêu ra, thông tin về tin nhắn của bạn cũng phơi bày nhiều chi tiết như phần nội dung (hãy xem “siêu dữ liệu”). Nếu bạn trao đổi tin nhắn PGP với một người bất đồng chính kiến nổi tiếng ở trong nước, bạn có thể bị nguy hiểm chỉ vì đang liên lạc với người này, ngay cả khi những tin nhắn đó không được giải mã. Thêm vào đó, ở một vài quốc gia bạn có thể phải đối mặt với án tù nếu từ chối giải mã tin nhắn có mã hóa.

    PGP không làm gì cả để che dấu người mà bạn đang giao tiếp, hoặc dấu việc bạn đang sử dụng PGP. Thêm vào đó, nếu bạn tải khóa công khai lên máy chủ khóa công khai, hoặc ký tên khóa của người khác, bạn đang nói cho cả thế giới biết khóa nào của bạn, và bạn quen với ai.

    Bạn không cần phải làm vậy. Bạn có thể giữ khóa công khai PGP thầm kín, và chỉ đưa nó cho người mà bạn cảm thấy an toàn, và nói với họ đừng tải khóa đó lên máy chủ khóa công khai. Bạn không cần phải điền tên mình vào khóa.

    Che dấu việc thông tin liên lạc với một ai đó thì khó hơn hẳn. Có một cách để thực hiện việc này là cả hai người dùng tài khoản email ẩn danh, và truy cập hòm thư bằng Tor. Nếu bạn thực hiện việc này, PGP vẫn hữu ích, bằng cả cách giữ nội dung email bảo mật, và chứng minh cho đôi bên thấy rằng tin nhắn không bị lục lọi.

    Cập nhật lần cuối: 
    2014-11-07
    Trang này được dịch từ tiếng Anh. Phiên bản tiếng Anh có lẻ đầy đủ và cập nhật hơn.
  • Làm thế nào: Sử dụng OTR cho Mac

    Adium là một ứng dụng tin nhắn nhanh mã nguồn mở miễn phí cho OS X, cho phép bạn chat với các cá nhân thông qua nhiều giao thức như Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ, và XMPP.

    OTR (Off-the-record) là một giao thức cho phép mọi người trò chuyện kín đáo dùng với công cụ tin nhắn họ đã quen thuộc. Điều này không nên nhầm lẫn với tính năng "Off the record" của Google- một tính năng chỉ tắt không ghi lại chat, và không có khả năng mã hóa hoặc xác minh. Đối với người dùng Mac, OTR được cài sẵn trong phần mềm Adium.

    OTR sử dụng mã hóa nối đầu. Điều này có nghĩa rằng bạn có thể sử dụng nó để có cuộc trò chuyện qua các dịch vụ như Google Hangouts mà không công ty nào có thể đọc được nội dung của cuộc hội thoại. Tuy nhiên, thực tế là bạn đang có một cuộc trò chuyện là có thể nhìn thấy.

    Tại sao tôi nên sử dụng Adium + OTR? Anchor link

    Khi bạn có một cuộc trò chuyện sử dụng Google Hangouts trên trang web Google, chat được mã hóa bằng cách sử dụng HTTPS, có nghĩa là nội dung trao đổi được bảo vệ chống lại các hacker và các bên thứ ba khác trong thời gian chuyển tải. Tuy nhiên, nó không được bảo mật từ Google, vì họ có các chìa khoá để xem nội dung trò chuyện của bạn và có thể giao nộp cho nhà chức trách hoặc sử dụng chúng cho các mục đích tiếp thị.

    Sau khi bạn đã cài đặt Adium, bạn có thể đăng nhập nhiều tài khoản cùng một lúc. Ví dụ, bạn có thể sử dụng Google Hangouts và XMPP cùng một lúc. Adium cũng cho phép bạn chat bằng những công cụ này mà không có OTR. Vì OTR chỉ hoạt động nếu cả đôi bên đang dùng nó, điều này có nghĩa là ngay cả khi người khác chưa cài đặt nó, bạn vẫn có thể trò chuyện với họ bằng Adium.

    Adium cũng cho phép bạn làm xác nhận ngoài luồng để đảm bảo rằng bạn đang nói chuyện với đúng người mà bạn nghĩ và bạn không phải là đối tượng của một cuộc tấn công MITM (kẻ trung gian). Đối với mỗi cuộc nói chuyện, có một tùy chọn cho thấy dấu vân tay của bạn và người mà bạn đang nói chuyện. Một "chìa khóa dấu vân tay" là một chuỗi các ký tự như "342e 2309 bd20 0912 ff10 6c63 2192 1928," được sử dụng để xác nhận một chìa khoá công cộng dài hơn. Trao đổi dấu vân tay của bạn thông qua các kênh truyền thông khác, chẳng hạn như Twitter DM hoặc email, để đảm bảo rằng không ai được can thiệp vào cuộc trò chuyện của bạn. Nếu khoá không phù hợp, bạn không thể chắc chắn rằng bạn đang nói chuyện với đúng người. Trong thực tế, người ta thường sử dụng nhiều phím, hoặc bị mất và phải tạo khóa mới, do đó, không ngạc nhiên nếu bạn phải kiểm tra lại các phím của bạn với bạn bè của bạn thỉnh thoảng.

    Giới hạn: Khi nào tôi không nên sử dụng Adium + OTR? Anchor link

    Các nhà công nghệ có khái niệm để mô tả khi một chương trình hay công nghệ có thể dễ bị tấn công từ bên ngoài: Họ nói nó có "bề mặt tấn công" rộng. Adium có một bề mặt tấn công lớn. Nó là một chương trình phức tạp, không được soạn thảo với ưu tiên an ninh hàng đầu. Nó gần như chắc chắn có lỗi, một số trong đó có thể được sử dụng bởi các chính phủ hoặc thậm chí các công ty lớn nhằm đột nhập vào những máy tính đang sử dụng nó. Sử dụng Adium để mã hóa các cuộc hội thoại của bạn là một sự phòng thủ tuyệt vời đối với các loại giám sát hàng loạt được sử dụng để theo dõi cuộc đàm thoại Internet của tất cả mọi người, nhưng nếu bạn nghĩ rằng bạn là mục tiêu của một lực lượng mạnh hơn ( ví dụ cơ quan an ninh quốc gia), bạn nên có biện pháp phòng ngừa mạnh hơn, chẳng hạn như email PGP mã hóa.

    Cài đặt Adium + OTR Trên Mac của bạn Anchor link

    Bước 1: Cài đặt chương trình

    Trước tiên, hãy vào https://adium.im/ trong trình duyệt của bạn. Chọn "Download Adium 1.5.9." Các tập tin tải về dưới dạng .dmg, hoặc bản sao đĩa, và có lẽ sẽ được lưu vào thư mục "downloads" của bạn.

    Nhấn đúp vào tập tin; nó sẽ mở ra một cửa sổ trông như thế này:

    Di chuyển biểu tượng Adium vào thư mục "Applications" để cài đặt chương trình. Sau khi chương trình đã được cài đặt, hãy tìm nó trong thư mục Applications của bạn và nhấp đúp để mở nó.

    Bước 2: Thiết lập các tài khoản của bạn

    Đầu tiên, bạn sẽ cần phải quyết định những công cụ hoặc các giao thức nào bạn muốn sử dụng với Adium. Quá trình thiết lập tương tự, nhưng không giống nhau, đối với từng loại công cụ. Bạn sẽ cần phải biết tên tài khoản của bạn cho mỗi công cụ hoặc giao thức, cũng như mật khẩu của bạn cho mỗi tài khoản.

    Để thiết lập một tài khoản, hãy vào menu Adium ở trên cùng của màn hình của bạn và bấm vào "Adium" và sau đó "Preferences" (Chọn lựa). Một cửa sổ mới sẽ hiện ra với một menu ở đầu trang. Chọn "Account" (Tài khoản), sau đó nhấp vào dấu "+" ở dưới cùng của cửa sổ. Bạn sẽ thấy một menu trông như thế này:

    Chọn chương trình mà bạn muốn đăng nhập vào. Từ đây, bạn sẽ được nhắc điền vào tên đăng nhập và mật khẩu của bạn, hoặc sử dụng công cụ thẩm quyền của Adium để đăng nhập vào tài khoản của bạn. Thực hiện cẩn thận các bước hướng dẫn của Adium.

    Làm thế nào để khởi động một cuộc trò chuyện OTR Anchor link

    Một khi bạn đã đăng nhập vào một hoặc nhiều tài khoản của bạn, bạn có thể bắt đầu sử dụng OTR.

    Ghi nhớ: Để có một cuộc trò chuyện bằng cách sử dụng OTR, cả hai người cần phải được sử dụng một chương trình trò chuyện mà nó hỗ trợ OTR.

    Bước 1: Khởi động một cuộc trò chuyện OTR

    Đầu tiên, xác định người đang sử dụng OTR, và bắt đầu một cuộc trò chuyện với họ trong Adium bằng cách nhấn đúp chuột vào tên của họ. Một khi bạn đã mở cửa sổ chat, bạn sẽ nhìn thấy một khóa mở nhỏ ở góc trên bên trái của cửa sổ chat. Nhấp chuột vào khóa và chọn "Initiate Encrypted OTR Chat" (Khởi động Chương trình chát mã hoá OTR).

    Bước 2: Kiểm tra kết nối của bạn

    Một khi bạn đã bắt đầu trò chuyện và người kia đã chấp nhận lời mời, bạn sẽ thấy biểu tượng khóa đóng; đây là cách bạn biết rằng cuộc trò chuyện của bạn bây giờ đã được mã hóa (xin chúc mừng!) - Nhưng chờ đợi, vẫn còn một bước nữa!

    Tại thời điểm này, bạn đã khởi động chát mã hoá chưa được xác minh. Điều này có nghĩa rằng trong khi liên lạc đã được mã hóa, bạn chưa xác định và xác minh danh tính của người bạn đang chat với mình. Trừ khi bạn đang ở trong cùng một phòng và có thể nhìn thấy màn hình của nhau, điều quan trọng là bạn xác minh danh tính của nhau. Để biết thêm thông tin, đọc tiết mục Kiểm Chứng Chìa Khóa.

    Để xác minh danh tính của người dùng khác sử dụng Adium, nhấp một lần nữa vào biểu tượng khóa, và chọn "Verify" (Xác nhận). Một cửa sổ hiển thị với hai chìa khóa của bạn và của người kia. Một số phiên bản của Adium chỉ hỗ trợ xác minh dấu vân tay một cách thủ công. Điều này có nghĩa rằng, sử dụng một số phương pháp, bạn và người chat cùng sẽ cần phải kiểm tra để chắc chắn rằng hai chìa khoá của hai người được hiển thị bằng Adium khớp nhau.

    Cách dễ nhất để làm điều này là hai người đọc to chúng lên cho nhau, nhưng đó không phải lúc nào cũng có thể. Có nhiều cách khác nhau để thực hiện việc này với mức độ tin cậy khác nhau. Ví dụ, bạn có thể đọc các chìa khoá của bạn với người kia trên điện thoại nếu bạn nhận ra giọng nói của người kia hoặc gửi cho họ qua một phương tiện liên lạc đã kiểm chứng khác như PGP. Một số người đưa chìa khoá lên trang web, tài khoản Twitter, hoặc danh thiếp của họ.

    Điều quan trọng nhất là bạn xác nhận rằng tất cả các chữ cái và chữ số hoàn toàn phù hợp.

    Bước 3: Tắt chức năng ghi chép

    Bây giờ tuy bạn đã bắt đầu một cuộc trò chuyện được mã hóa và xác minh danh tính đối tác trò chuyện của bạn, có một điều nữa bạn cần làm. Rất tiếc là Adium ghi lại chat OTR-mã hóa một cách mặc định, lưu chúng vào ổ cứng của bạn. Điều này có nghĩa rằng, mặc dù thực tế rằng chúng đã được mã hóa, nội dung chát được lưu lại dưới dạng bạch văn trên ổ cứng.

    Để vô hiệu hóa việc ghi lại nội dung chát, nhấn "Adium" trong menu ở phía trên cùng của màn hình của bạn, sau đó nhấn "Preferences". Trong cửa sổ mới, chọn "General" và sau đó tắt "Log Message" và "Log OTR-secured chats". Hãy nhớ rằng, mặc dù, rằng bạn không có quyền kiểm soát trên người với người mà bạn đang chat-cô có thể đăng nhập hoặc chụp ảnh màn hình của cuộc trò chuyện của bạn, ngay cả khi bản thân bạn phải tắt chức năng ghi chép.

    Thiết đặt của bạn nên trông như thế này:

    Ngoài ra, khi Adium hiển thị thông báo tin nhắn mới, các nội dung của những tin nhắn có thể được ghi lại bởi Trung tâm thông báo OS X. Điều này có nghĩa rằng trong khi Adium không lưu dấu vết của thông tin liên lạc trên máy tính của riêng bạn hoặc người kia, thì phiên bản OS X trong máy tính của bạn hoặc người kia lại có thể ghi lại nội dung chat. Để ngăn chặn điều này, bạn có thể muốn tắt thông báo đi.

    Để làm điều này, chọn "Events" (Sự kiện) trong cửa sổ Preferences, và tìm kiếm bất kỳ mục nào nói "Display a notification" (Hiển thị một thông báo). Đối với mỗi mục, mở rộng nó bằng cách nhấn vào hình tam giác màu xám, và sau đó nhấp vào dòng có hàng chữ "Display a notification", sau đó nhấp vào biểu tượng dấu trừ ("-") ở dưới bên trái để loại bỏ dòng đó. Nếu bạn lo lắng về các lưu trữ còn lại trên máy tính của bạn, bạn nên bật mã hóa toàn bộ ổ đĩa, điều này sẽ giúp bảo vệ dữ liệu này khỏi bị lấy bởi một bên thứ ba nếu không có mật khẩu của bạn.

    Cập nhật lần cuối: 
    2017-01-20
    Trang này được dịch từ tiếng Anh. Phiên bản tiếng Anh có lẻ đầy đủ và cập nhật hơn.
  • Làm thế nào: Sử dụng OTR cho Windows

    OTR (Off-the-record) là một giao thức cho phép người dùng gửi tin nhắn nhanh hay các công cụ chat một cách kín đáo, bảo mật. Trong hướng dẫn này, bạn sẽ học cách dùng OTR với Pidgin, một phần mềm tin nhắn nhanh mã nguồn mở và miễn phí trên hệ Windows.

    OTR là gì? Anchor link

    OTR (Off-the-record) là một giao thức cho phép mọi người trò chuyện kín đáo dùng với công cụ tin nhắn họ đã quen thuộc. OTR cung cấp bảo mật này bằng cách:

    • mã hóa những đoạn chat
    • cho phép bạn kiểm chứng người đang nói chuyện với mình là đúng người
    • không cho phép máy chủ đăng nhập hoặc truy cập nội dung trò chuyện của bạn.

    Điều này không nên nhầm lẫn với tính năng “Off the record” của Google, một tính năng chỉ tắt ghi chép, và mà không có khả năng mã hóa hoặc xác minh. Trong khi có một số cách để sử dụng OTR trên Microsoft Windows, chúng tôi thấy là cách dễ nhất là dùng phần mềm Pidgin với bổ trợ (plugin) pidgin-otr.

    Pidgin là phần mềm tin nhắn nhanh trên Windows, tự động ghi lại các cuộc hội thoại theo mặc định, tuy nhiên bạn có thể tắt tính năng này. Tuy thế, bạn không thể kiểm soát được người chat bên đầu kia, họ có thể ghi lại hoặc chụp hình một số đoạn chat với bạn cho dù bạn đã tắt ghi chép bên phía bạn.

    Tại sao tôi nên sử dụng Pidgin + OTR? Anchor link

    Khi bạn có một cuộc trò chuyện sử dụng Google Hangouts hay Facebook chat trên trang web Google hay Facebook, chat được mã hóa bằng cách sử dụng HTTPS, có nghĩa là nội dung trao đổi được bảo vệ chống lại các hacker và các bên thứ ba khác trong thời gian chuyển tải. Tuy nhiên, nó không được bảo mật từ Google hay Facebook, vì họ có các chìa khoá để xem nội dung trò chuyện của bạn và có thể giao nộp cho nhà chức trách hoặc sử dụng chúng cho các mục đích tiếp thị.

    Sau khi bạn đã cài đặt Pidgin, bạn có thể đăng nhập nhiều tài khoản cùng một lúc. Ví dụ, bạn có thể sử dụng Google Hangouts, Facebook, và XMPP cùng một lúc. Pidgin cũng cho phép bạn chat bằng những công cụ này mà không có OTR. Vì OTR chỉ hoạt động nếu cả đôi bên đang dùng nó, điều này có nghĩa là ngay cả khi người khác chưa cài đặt nó, bạn vẫn có thể trò chuyện với họ bằng Pidgin.

    Pidgin cũng cho phép bạn làm xác nhận ngoài luồng để đảm bảo rằng bạn đang nói chuyện với đúng người mà bạn nghĩ và bạn không phải là đối tượng của một cuộc tấn công MITM (kẻ trung gian). Đối với mỗi cuộc nói chuyện, có một tùy chọn cho thấy dấu vân tay của bạn và người mà bạn đang nói chuyện. Một "chìa khóa dấu vân tay" là một chuỗi các ký tự như "342e 2309 bd20 0912 ff10 6c63 2192 1928," được sử dụng để xác nhận một chìa khoá công khai dài hơn. Trao đổi dấu vân tay của bạn thông qua các kênh truyền thông khác, chẳng hạn như Twitter DM hoặc email, để đảm bảo rằng không ai được can thiệp vào cuộc trò chuyện của bạn.

    Giới hạn: Khi nào tôi không nên sử dụng Pidgin + OTR? Anchor link

    Các nhà công nghệ có khái niệm để mô tả khi một chương trình hay công nghệ có thể dễ bị tấn công từ bên ngoài: Họ nói nó có "bề mặt tấn công" rộng. Pidgin có một bề mặt tấn công lớn. Nó là một chương trình phức tạp, không được soạn thảo với ưu tiên an ninh hàng đầu. Nó gần như chắc chắn có lỗi, một số trong đó có thể được sử dụng bởi các chính phủ hoặc thậm chí các công ty lớn nhằm đột nhập vào những máy tính đang sử dụng nó. Sử dụng Pidgin để mã hóa các cuộc hội thoại của bạn là một sự phòng thủ tuyệt vời đối với các loại giám sát hàng loạt được sử dụng để theo dõi cuộc đàm thoại Internet của tất cả mọi người, nhưng nếu bạn nghĩ rằng bạn là mục tiêu của một lực lượng mạnh hơn ( ví dụ cơ quan an ninh quốc gia), bạn nên có biện pháp phòng ngừa mạnh hơn, chẳng hạn như email PGP mã hóa.

    Lấy Pidgin Anchor link

    Bạn có thể lấy Pidgin phiên bản Windows bằng cách tải trình cài đặt về từ trang tải Pidgin.

    Nhấp vào trang DOWNLOAD màu tím. Đừng nhấp vào nút Download Now màu xanh bởi vì bạn muốn chọn một tập tin cài đặt khác. Bạn sẽ được đưa đến trang tải.

    Đừng nhấp vào nút Download Now màu xanh vì chúng ta muốn chọn một tập tin cài đặt khác. Trình cài đặt mặc định cho Pidgin có khổ nhỏ vì nó không chứa tất cả các dữ liệu và nó sẽ tải các tập tin về cho bạn. Đôi khi điều này không thành, do đó bạn sẽ có một trải nghiệm tốt hơn với "offline installer" (trình cài đặt ngoài mạng) mà có tất cả các tài liệu cài đặt cần thiết. Nhấp vào liên kết "offline installer" . Bạn sẽ được đưa tới một trang mới với tên gọi "Sourceforge" và sau vài giây, một khung nhỏ hiện ra hỏi xem bạn có muốn lưu một tập tin hay không.

    Lưu ý trong khi trang tải Pidgin sử dụng "HTTPS" và do đó là tương đối an toàn không bị giả mạo, thì trang web nó điều hướng bạn đến để tải phiên bản Windows của Pidgin là trang Sourceforge lại sử dụng "HTTP" không được mã hóa và do đó không có bảo vệ. Điều đó có nghĩa là phần mềm bạn tải về có thể bị giả mạo trước khi bạn tải nó về.

    Rủi ro này chủ yếu đến từ một người nào đó với quyền truy cập vào cơ sở hạ tầng Internet địa phương với mục đích giám sát cá nhân bạn (ví dụ như một nhà cung cấp hotspot độc hại), hay một chính phủ phát tán phần mềm gián điệp đến nhiều người sử dụng. Phần mở rộng HTTPS Everywhere có thể thay liên kết Sourceforge thành HTTPS, vì vậy bạn được khuyến nghị cài đặt HTTPS Everywhere trước khi tải bất kỳ phần mềm nào khác. Ngoài ra, theo kinh nghiệm của chúng tôi, Sourceforge thường có nhiều quảng cáo rối rắm và có thể lừa người ta tải một thứ gì đó mà họ không muốn. Bạn có thể cài đặt một phần mềm chặn quảng cáo trước khi tải bất kỳ phần mềm khác để tránh nhầm lẫn với quảng cáo. Cần nhớ lại mô thức đe dọa của bạn là gì trước khi tải các tập tin từ những trang web không được bảo vệ.

    Nhiều trình duyệt sẽ hỏi bạn để xác nhận liệu bạn có muốn tải tập tin này không. Internet Explorer 11 có một thanh ở dưới cùng của cửa sổ trình duyệt với một đường viền màu cam.

    Đối với bất kỳ trình duyệt nào, cách tốt nhất là đầu tiên lưu các tập tin trước khi tiến hành, do đó, bấm vào nút "Save" (Lưu). Theo mặc định, hầu hết các trình duyệt lưu tập tin đã tải về vào thư mục Downloads.

    Lấy OTR Anchor link

    Bạn có thể lấy pidgin-OTR, OTR plugin cho Pidgin, bằng cách tải trình cài đặt từ trang tải về OTR.

    Nhấp vào trang "Downloads" để vào trang tải xuống. Nhấp vào liên kết "Win32 installer for pidgin".

    Nhiều trình duyệt sẽ hỏi bạn để xác nhận liệu bạn có muốn tải về tập tin này. Internet Explorer 11 cho thấy một thanh ở dưới cùng của cửa sổ trình duyệt với một đường viền màu cam.

    Đối với bất kỳ trình duyệt nào, cách tốt nhất lưu các tập tin trước khi tiến hành, do đó, bấm vào nút "Save". Theo mặc định, hầu hết là các trình duyệt lưu các tập tin đã tải về vào thư mục Downloads.

    Sau khi tải về và Pidgin-OTR pidgin bạn sẽ có hai tập tin mới trong thư mục Downloads của bạn:

    Cài đặt Pidgin Anchor link

    Giữ cửa sổ Windows Explorer mở và nhấn đúp chuột vào pidgin-2.10.9-offline.exe. Các tên tập tin được sử dụng trong mô-đun này có thể không nhất thiết phải phù hợp với những gì bạn thấy trên máy tính của riêng bạn. Bạn sẽ được hỏi có cho phép cài đặt chương trình này. Nhấp vào nút "Yes".

    Một cửa sổ nhỏ sẽ mở và yêu cầu bạn chọn một ngôn ngữ. Nhấp vào nút "OK".

    Một cửa sổ mở ra, cho bạn một cái nhìn sơ tổng quan của của quá trình cài đặt. Nhấp vào nút "Next" (Tiếp theo).

    Bây giờ bạn sẽ có được một cái nhìn tổng quan về bản quyền. Nhấp vào nút "Next".

    Bây giờ bạn có thể thấy những thành phần khác nhau được cài đặt. Đừng thay đổi các thiết đặt. Nhấp vào nút "Next".

    Bây giờ bạn có thể nhìn thấy nơi Pidgin được cài đặt. Đừng thay đổi thông tin này. Nhấp vào nút "Next".

    Bây giờ bạn sẽ thấy một cửa sổ văn bản di chuyển cho đến khi nó nói "Install Complete" (Cài đặt đã kết thúc). Nhấp vào nút "Next".

    Cuối cùng, bạn sẽ thấy cửa sổ cuối cùng của cài đặt Pidgin. Nhấp vào nút "Finish" (Kết thúc).

    Cài đặt pidgin-otr Anchor link

    Quay trở lại cửa sổ Windows Explorer và nhấn đúp chuột vào pidgin-OTR-4.0.0-1.exe. Bạn sẽ được hỏi có muốn cho phép cài đặt chương trình này. Nhấp vào nút "Yes".

    Một cửa sổ mở ra cho bạn một cái nhìn sơ tổng quan của quá trình cài đặt. Nhấp vào nút "Next".

     

    Bây giờ bạn sẽ có được một cái nhìn tổng quan về bản quyền. Nhấp vào nút "I Agree" (Tôi đồng ý).

    Bạn sẽ thấy nơi mà pidgin-OTR sẽ được cài đặt. Đừng thay đổi thông tin này. Nhấp vào nút "Install" (Cài đặt).

    Cuối cùng, bạn sẽ thấy cửa sổ cuối cùng của cài đặt pidgin-OTR. Nhấp vào nút "Finish".

    Cấu hình Pidgin Anchor link

    Từ menu Start, nhấp vào biểu tượng Windows, và chọn Pidgin từ menu.

    Thêm một tài khoản Anchor link

    Khi Pidgin khởi động lần đầu tiên, bạn sẽ thấy cửa sổ chào mừng cho phép bạn một tùy chọn để thêm một tài khoản. Vì bạn chưa có tài khoản được cấu hình, nhấp vào nút "Add".

    Bây giờ bạn sẽ thấy cửa sổ "Add Account" (Thêm tài khoản). Pidgin có khả năng chạy với nhiều hệ thống chat, nhưng chúng ta sẽ tập trung vào XMPP, trước đây được biết đến với tên Jabber.

    Tại mục Protocol, chọn "XMPP".

    Tại mục Username, nhập tên tài khoản XMPP của bạn .

    Tại mục Domain, nhập tên miền của tài khoản XMPP của bạn.

    Tại mục Password, nhập mật khẩu XMPP của bạn.

    Đánh dấu vào hộp "Remember password" (nhớ mật khẩu) sẽ giúp vào tài khoản dễ dàng hơn. Nhưng lưu ý là nếu để nhớ mật khẩu thì mật khẩu sẽ được lưu lại trên máy tính, làm cho ai cũng có thể truy cập nó nếu vào được máy tính của bạn. Nếu đây là một mối lo, thì đừng đánh dấu vào hộp này. Bạn sẽ được yêu cầu nhập vào mật khẩu tài khoản XMPP của bạn mỗi khi bạn cho chạy Pidgin.

    Thêm một Buddy (bạn) Anchor link

    Bây giờ bạn cần thêm người nào đó để trò chuyện với. Nhấp vào menu "Buddies" và chọn "Add Buddy" (thêm bạn). Một cửa sổ "Add Buddy" sẽ mở ra.

    Trong khung "Add Buddy” bạn có thể nhập tên người dùng của người mà bạn muốn trò chuyện. Người này không cần cùng một máy chủ, nhưng phải sử dụng cùng giao thức, ví dụ như XMPP.

    Tại hàng "Buddy's username", nhập tên tài khoản của người bạn cùng với tên miền. Điều này sẽ trông giống như một địa chỉ email.

    Tại hàng “(Optional) Alias", bạn có thể đặt tên tùy ý cho người bạn chat. Điều này không bắt buộc, nhưng có thể giúp ích nếu tài khoản XMPP của người bạn đang chat khó nhớ.

    Nhấn vào nút "Add".

    Một khi bạn-đã nhấp vào nút "Add", Boris sẽ nhận một tin nhắn hỏi hỏi liệu ông ấy có cho phép bạn thêm ông ta. Khi Boris đồng ý, ông ta cũng thêm tài khoản của bạn và bạn sẽ nhận được yêu cầu như thế. Nhấn vào nút "Authorize” (Cho phép).

    Cấu hình OTR plugin Anchor link

    Bây giờ bạn sẽ cấu hình OTR plugin để bạn có thể trò chuyện một cách an toàn. Bấm vào "Tools" và chọn "Plugins".

    Di chuyển xuống tới lựa chọn "Off-the-Record Messaging", và đánh dấu vào đó. Nhấn vào "Off-the-Record Messaging" và bấm vào nút "Configure Plugin".

    Bây giờ bạn sẽ thấy cửa sổ cấu hình "Off-the-Record Messaging". Chú ý nó nói "No key present" (không có chìa khóa) và bấm vào nút "Generate" (Tạo ra).

    Bây giờ một cửa sổ nhỏ mở ra và sẽ tạo ra một chìa khóa. Khi xong, bấm vào nút "OK".

    Bạn sẽ thấy thông tin mới: một chuỗi 40 ký tự của văn bản, chia thành 5 nhóm với tám ký tự mỗi nhóm. Đây là dấu vân tay OTR của bạn. Bấm vào nút "Close".

    Bây giờ bấm vào nút "Close" trên cửa sổ Plugins.

    Trò chuyện một cách an toàn Anchor link

    Bây giờ bạn có thể chát với Boris. Hai người có thể gửi tin nhắn qua lại. Tuy nhiên, nội dung chat chưa được bảo mật. Thậm chí nếu bạn đang kết nối đến máy chủ XMPP, đường kết nối giữa bạn và Boris chưa được an toàn. Nếu bạn nhìn vào cửa sổ chat, lưu ý thấy "Not private" (chưa kín) màu đỏ ở góc dưới bên. Nhấp vào nút "Not private".

    Một menu sẽ mở ra menu, chọn "Authenticate buddy" (Xác thực bạn chat)

    Một cửa sổ sẽ mở ra. Bạn được hỏi "How would you like to authenticate your buddy?” (Bạn muốn xác thực người bạn chát như thế nào?)

    Ở phía dưới có ba lựa chọn:

    Chia sẻ bí mật Anchor link

    Một bí mật chia sẻ là một dòng văn bản bạn và người mà bạn muốn chat đã thống nhất trước đó. Bạn nên chia sẻ điều này với người kia và không bao giờ trao đổi nó qua các kênh không an toàn, chẳng hạn như email hoặc Skype.

    Bạn và người bạn cần phải nhập dòng văn bản này. Nhấp vào nút "Authenticate” (Xác thực).

    Việc xác minh bằng bí mật chia sẻ rất hữu ích nếu bạn và người kia đã thu xếp để trò chuyện trong tương lai nhưng chưa tạo ra dấu vân tay OTR trên máy tính bạn đang sử dụng. Điều này chỉ hoạt động nếu cả hai bạn đang sử dụng Pidgin.

    Xác nhận dấu vân tay một cách thủ công Anchor link

    Xác nhận dấu vân tay sẽ hữu ích nếu bạn đã đưa dấu vân tay của bạn và bây giờ đang kết nối với Pidgin. Điều này sẽ không hữu ích nếu người bạn đã đổi máy tính hoặc phải tạo ra dấu vân tay mới.

    Nếu dấu vân tay mà bạn được đưa trùng với dấu vân tay trên màn hình, chọn "I have" và nhấp vào nút "Authenticate".

    Câu hỏi và câu trả lời Anchor link

    Câu hỏi và câu trả lời xác minh là hữu ích nếu bạn và người kia chưa chưa có bí mật sẻ chia hoặc cũng chưa trao đổi dấu vân tay. Phương pháp này là hữu ích dựa vào một điều gì đó mà cả hai người đều biết, như sự kiện hoặc kỷ niệm. Điều này chỉ hoạt động nếu cả hai bạn đang sử dụng Pidgin.

    Nhập câu hỏi mà bạn muốn hỏi. Đừng hỏi những câu dễ mà ai cũng có thể đoán được, nhưng cũng đừng làm nó trở nên không khả thi. Một ví dụ về một câu hỏi khó là "Chúng ta đã đi ăn tối ở nơi nào tại Minneapolis?" Và ví dụ về một câu hỏi tồi là "Bạn có thể mua táo ở Tokyo không?"

    Những câu trả lời phải chính xác, do đó cần phải có những câu trả lời thích hợp cho câu hỏi. Chữ thường và HOA có khác biệt, do đó bạn có thể dặn dò trong ngoặc đơn (ví dụ: sử dụng chữ Hoa, chữ thường).

    Nhập câu hỏi và câu trả lời sau đó nhấp vào nút "Authenticate".

    Người bạn chát sẽ có một cửa sổ mở với câu hỏi hiển thị và yêu cầu trả lời. Họ sẽ-phải trả lời và nhấn vào nút "Authenticate”. Sau đó, họ sẽ nhận được một tin nhắn nếu việc thẩm định thành công.

    Một khi bạn bè của bạn đã hoàn thành các thủ tục thẩm định, bạn sẽ thấy một cửa sổ cho bạn biết xác thực thành công.

    Người bạn chát có thể xác minh tài khoản của bạn để cả hai đều yên tâm rằng việc chát là an toàn. Dưới đây là tình huống của Akiko và Boris. Chú ý các biểu tượng màu xanh lá cây "Private" ở phía dưới bên phải của cửa sổ chat.

    Sử dụng với phần mềm khác Anchor link

    Cơ chế để xác nhận tính xác thực nên chạy được với các phần mềm chat khác nhau như Jitsi, Pidgin, Adium và Kopete. Bạn không cần phải sử dụng cùng phần mềm chat để sử dụng chat XMPP và OTR, nhưng đôi khi có những sai sót trong phần mềm. Adium, một phần mềm chat cho OS X, có một lỗi nhận các câu hỏi và câu trả lời xác minh. Nếu bạn không thể kiểm tra người kia bằng câu hỏi và câu trả lời, hãy kiểm tra xem liệu người ấy có sử dụng Adium và xem nếu bạn có thể sử dụng phương pháp xác minh khác.

    Cập nhật lần cuối: 
    2015-02-10
    Trang này được dịch từ tiếng Anh. Phiên bản tiếng Anh có lẻ đầy đủ và cập nhật hơn.
JavaScript license information