Liệu rằng BBM có bảo mật kém hơn iMessage (Apple) như EFF đã công bố?

​

Theo Electronic Frontier Foundation (EFF), BBM không phải là ứng dụng thật sự an toàn. Lý do đưa ra là BBM không cho phép người dùng check thông tin của một liên hệ (chỉ quản lý thông qua mã pin), cũng như không đưa ra đầy đủ những tài liệu về thiết kế bảo mật. Bạn có thể xem chi tiết so sánh của EFF ở đây.

Qua bài viết này sẽ chứng minh cho bạn thấy, BBM bảo mật hơn hẳn iMessage rất nhiều. Hãy bắt đầu ngắn gọn và tổng quan về mô hình bảo mật của hệ thống này :

BBM Protected sử dụng mô hình bảo mật 3 lớp mã hóa​

• Standard TLS encryption
• BBM normal Triple DES encryption
• 521 bit ECC generated for each message which based on the out-of-band shared passphrase.

Các thông điệp được mã hóa nhiều lần, và đảm bảo rằng tất cả các key phải khớp với nhau. Bạn có thể đọc thông tin chi tiết về cách nó hoạt động tại đây.

Phần quan trọng nhất: private key được chỉ được lưu trữ trên thiết bị và không thể được lấy ra từ nó. Ngoài ra, các key duy nhất cho mỗi tin nhắn đảm bảo rằng ngay cả khi các key mã hóa bị phá hủy thì cũng chỉ có một thông điệp có thể được đọc, không phải là toàn bộ cuộc trò chuyện. Thêm vào đó, nó còn sử dụng thư viện mật mã an ninh FIPS140-2 - được mệnh danh “unmatched security”.

iMessage cũng được sử dụng một hệ thống bảo mật khá tốt, nó cũng cung cấp một mô hình bảo mật khá đáng tin cậy, trong đó bao gồm các key mã hóa dựa trên thiết bị. Ngoài ra, tương tự như BBM, nó chuyển tin nhắn thông qua TLS. Bạn có thể tham khảo chi tiết trong tài liệu này (trang 30).

Vấn đề bắt đầu với Apple - cho phép nhiều thiết bị kết nối với cùng một tài khoản. Mỗi thiết bị sẽ có một key locally riêng và một key public gửi đến các máy chủ của Apple. Khi ai đó gửi một thông điệp, nó sẽ mã hóa riêng cho từng thiết bị và người gửi có key public. Điều này dẫn đến một lỗ hổng: Khi Apple xử lý hầu hết các mã hóa và trao đổi thông tin quan trọng, họ có thể dễ dàng bổ sung thêm một hoặc nhiều key public đến danh sách các thiết bị mà điều này có thể sẽ cho phép các hacker đánh hơi thông tin.

So sánh với BBM, điều này rõ ràng không thể được thực hiện với BBM, vì nó đòi hỏi một BlackBerry ID hoạt động và chỉ có thể được sử dụng trên một PIN tại một thời điểm.

Trở lại các cáo buộc ban đầu: iMessage tốt hơn BBM và cho rằng một trong những điểm mà BBM Protected thua kém là các thông tin liên lạc trong quá khứ có thể được giải mã! Phản biện: Trên BBM, mỗi tin nhắn được mã hóa duy nhất và key mã hóa sinh ra được dựa trên mật khẩu trao đổi. Mô hình này an toàn hơn những gì Apple sử dụng (AES-128 ở chế độ CTR), và chúng ta có thể chắc chắn rằng các key private trên iMessage không thể có được như trên BBM.

Cáo buộc thứ 2: BBM khá tệ và nó không được chứng nhận! Phản biện: BBM đã có chứng chỉ bảo mật FIPS140-2 và tất cả Bộ Quốc Phòng các nước thừa nhận và được thử nghiệm kỹ lưỡng khắp các thị trường khác.

Tóm lại, EFF so sánh như vậy chưa chuyên sâu tận nguồn gốc bảo mật của từng ứng dụng, họ đã sử dụng một số tiêu chí so sánh cơ bản quá dễ dãi và khập khiễng. Ai ai cũng đều biết rằng khi nói đến bảo mật di động - BlackBerry là vô địch!

...Và đừng quên iMessage toàn spam!

​

Nguồn: Dhabkirk BBM channel​