DropLock: Ứng dụng web chia sẻ bí mật E2EE không cần máy chủ backend

DropLock là một công cụ web mới nổi bật trên cộng đồng công nghệ, cung cấp giải pháp chia sẻ thông tin mật với tính bảo mật cao mà hoàn toàn không phụ thuộc vào bất kỳ máy chủ backend nào. Điểm đặc biệt của ứng dụng này là toàn bộ quá trình mã hóa và giải mã đều diễn ra trực tiếp trên trình duyệt của người dùng (client-side), giúp loại bỏ rủi ro lộ dữ liệu từ phía máy chủ.

Cơ chế hoạt động

Nguyên lý hoạt động của DropLock được ví von như một chiếc hộp khóa kỹ thuật số. Khi bạn tạo một "hộp khóa" mới, trình duyệt sẽ tự động tạo ra một cặp khóa công khai (public key) và khóa riêng tư (private key).

• Khóa công khai được nhúng vào liên kết (link) mà bạn chia sẻ với người khác. Bất kỳ ai sở hữu link này đều có thể đặt bí mật vào bên trong.
• Khóa riêng tư được lưu trữ cục bộ trong trình duyệt của bạn ở dạng không thể trích xuất (non-extractable key). Điều này đảm bảo rằng chỉ trình duyệt đã tạo ra link đó mới có khả năng mở khóa và đọc nội dung.

Khi người gửi muốn chia sẻ một bí mật, trình duyệt của họ sẽ sử dụng khóa công khai của bạn kết hợp với một khóa dùng một lần (one-time key) để tạo ra khóa mã hóa AES-GCM thông qua thuật toán HKDF-SHA-256. Quá trình mã hóa diễn ra hoàn toàn ở máy địa phương (locally). Kết quả mã hóa sau đó được đặt vào phần phân đoạn của liên kết (URL fragment - phần sau dấu #), phần này không bao giờ được gửi tới máy chủ web.

Bảo mật và các đánh đổi

Mặc dù DropLock cung cấp một lớp bảo mật mạnh mẽ bằng cách loại bỏ máy chủ trung gian, tác giả cũng cảnh báo người dùng về một số đánh đổi cần lưu ý:

Cảnh báo: DropLock chưa được một chuyên gia bảo mật nào thẩm định.

Một trong những hạn chế lớn nhất là ứng dụng không sử dụng tính năng kiểm tra vân tay (fingerprint checking). Nếu kẻ tấn công có khả năng thay thế liên kết hộp khóa trong quá trình truyền tải (tấn công Man-in-the-Middle), họ có thể đánh lừa người gửi để mã hóa bí mật cho kẻ tấn công thay vì người nhận thực.

Để đảm bảo an toàn hơn, người dùng nên yêu cầu người nhận gửi liên kết hộp khóa qua hai kênh khác nhau và so sánh xem chúng có giống hệt nhau hay không, hoặc chỉ sử dụng một kênh truyền thông mà bạn hoàn toàn tin tưởng.

Với những người cần trao đổi mật khẩu, mã thông báo hoặc thông tin nhạy cảm tạm thời mà không muốn lưu trữ trên đám mây, DropLock là một công cụ thú vị tận dụng sức mạnh của mật mã học hiện đại.