Phân tích Hạ tầng Máy chủ của GrapheneOS: Những Điểm Mâu thuẫn và Lưu ý

GrapheneOS có danh tiếng xứng đáng về các công việc bảo mật nghiêm túc. Cellebrite — công ty điều tra số mà cơ quan thực thi pháp luật trả tiền để bẻ khóa điện thoại — đã công khai liệt kê GrapheneOS là một trong số ít thiết bị Android mà họ không thể trích xuất dữ liệu. Việc cứng hóa nhân (kernel hardening), bộ cấp phát bộ nhớ, và sandboxing là có thật và chúng hoạt động hiệu quả. Nếu bạn đang sử dụng GrapheneOS, điện thoại của bạn thực sự an toàn hơn hầu hết mọi thiết bị khác trên thị trường.

Tuy nhiên, GrapheneOS không chỉ là một hệ điều hành điện thoại. Đó là một dự án có máy chủ, hạ tầng cơ sở và một tổ chức đứng sau. Và khi nhìn kỹ vào hạ tầng này — vốn được công khai trên GitHub — một bức tranh hiện ra khó có thể dung hòa với các giá trị mà dự án tuyên bố hơn là những gì người dùng nhận thức.

Đây không phải là một cuộc tấn công vào GrapheneOS. Đây là những gì bạn tìm thấy khi thực sự đọc mã nguồn.

Ai thực sự điều hành dự án này

GrapheneOS được thành lập bởi Daniel Micay, người sử dụng tên thestinger trên mạng. Vào năm 2023, sau một thời gian dài xung đột công khai với các thành viên khác trong cộng đồng quyền riêng tư — bao gồm cả việc buộc tội Louis Rossmann là "tiếp tay cho hành vi cố ý giết người" vì để lại một bình luận trên YouTube — Micay đã thông báo ông sẽ từ chức nhà phát triển chính và giám đốc của Quỹ GrapheneOS.

Tuy nhiên, hồ sơ doanh nghiệp liên bang của Canada vẫn liệt kê ông là giám đốc tính đến cuối năm 2025 — hai năm rưỡi sau thông báo đó. Tệp FUNDING.yml trong kho lưu trữ hạ tầng liệt kê tài khoản GitHub cá nhân của ông (thestinger) là người duy nhất nhận tài trợ. Các tệp cấu hình máy chủ chứa các tệp cấu hình cá nhân (dotfiles) của ông: chủ đề trình soạn thảo (gruvbox cho Neovim), tùy chọn shell, và phím tắt bàn phím. Máy chủ mail sản xuất thậm chí còn cài đặt mutt và s-nail — các ứng dụng email dòng lệnh mà bạn chỉ cài đặt khi bạn tự đọc mail trực tiếp trên máy chủ.

Chính GrapheneOS báo cáo có khoảng 400.000 người dùng hoạt động. Và tất cả họ đều được phục vụ bởi thiết lập cá nhân của một người duy nhất.

Các máy chủ: Chúng thực sự chạy cái gì

GrapheneOS công khai cấu hình máy chủ của họ dưới dạng mã nguồn mở — phần này thực sự đáng khen ngợi. Đọc nó tiết lộ những lựa chọn đáng ngạc nhiên.

Arch Linux ở khắp mọi nơi. Mọi máy chủ, từ các dedicated box khổng lồ đến các node DNS nhỏ nhất, đều chạy Arch Linux. Bạn có thể xác minh điều này trực tiếp: mọi danh sách gói trong kho đều bao gồm pacman-contrib và pacutils, các công cụ dành riêng cho Arch không tồn tại trên bất kỳ bản phân phối nào khác. Kịch bản deploy-initial-vps cũng kiểm tra rõ ràng ISO Arch trước khi làm bất cứ điều gì.

Arch là bản phân phối rolling-release — các bản cập nhật đến liên tục thay vì theo các lô ổn định, đã được kiểm tra. Hầu hết các nhà khai thác máy chủ chú trọng bảo mật đều sử dụng thứ gì đó như Debian (chậm, dự đoán được, được kiểm tra kỹ) hoặc Alpine (nhỏ gọn và được cứng hóa). Việc sử dụng Arch trên máy chủ là đủ bất thường để gây tranh cãi.

Công bằng mà nói: họ sử dụng nhân LTS trên mọi máy, là nhân ổn định di chuyển chậm hơn thay vì nhân mới nhất. Điều này giảm thiểu lo ngại lớn nhất. Nhưng phần còn lại của không gian người dùng vẫn tiếp tục cập nhật liên tục, không có tính bất biến và không có khởi động đã xác minh (verified boot) — điều này hoàn toàn trái ngược với cách tiếp cận của họ đối với hệ điều hành điện thoại.

Cài đặt đầy đủ cho mọi thứ, kể cả DNS. Máy chủ DNS chỉ có một nhiệm vụ: trả lời câu hỏi "địa chỉ IP của tên miền này là gì?". Nó hầu như không cần gì để làm điều đó. Các node DNS của GrapheneOS đi kèm với Neovim, Fish shell, htop, mtr, nmap, strace, iperf và trình quản lý gói Arch đầy đủ. Danh sách gói cho một node DNS cơ bản có 42 mục. Triết lý của hệ điều hành điện thoại là loại bỏ mọi thứ không cần thiết để giảm bề mặt tấn công. Triết lý của máy chủ là cài đặt bộ công cụ đầy đủ ở khắp mọi nơi vì sự tiện lợi. Đây là những vị trí mâu thuẫn.

Các container không thực sự là container. Một số dịch vụ — các node DNS phụ và máy chủ mail — chạy bên trong các container, vốn được cho là các môi trường cô lập, tối giản. Các container của GrapheneOS chứa một cài đặt Arch Linux hoàn chỉnh, bao gồm cả trình quản lý gói. Chúng được khởi tạo bằng pacstrap, cùng công cụ dùng để cài đặt Arch từ đầu lên bare metal. Sự khác biệt duy nhất so với một máy chủ độc lập là container không có nhân và bootloader — mọi thứ khác đều giống hệt nhau.

Mâu thuẫn DNS Cloudflare

Điểm này thực sự khó để giải thích.

GrapheneOS vận hành hơn 40 máy chủ DNS tại 16 địa điểm trên toàn thế giới. DNS là danh bạ của internet — khi điện thoại của bạn kiểm tra cập nhật, trước tiên nó hỏi máy chủ DNS "địa chỉ IP của releases.grapheneos.org là gì?". Thay vì thuê ngoài việc đó cho Cloudflare hay Amazon, GrapheneOS đã xây dựng mạng DNS toàn cầu của riêng mình, hoàn chỉnh với định tuyến anycast và hệ thống định tuyến địa lý tùy chỉnh. Đây là hạ tầng nghiêm túc, đắt đỏ, và lý do ngầm để xây dựng nó là sự độc lập khỏi các bên thứ ba có thể thấy mẫu truy vấn của bạn hoặc thao túng phản hồi.

Nhưng hãy nhìn vào tệp etc/unbound/unbound.conf trong cùng một kho lưu trữ:

forward-zone:
name: "."
forward-tls-upstream: yes
forward-addr: 1.1.1.1@853#cloudflare-dns.com
forward-addr: 1.0.0.1@853#cloudflare-dns.com

Mọi máy chủ GrapheneOS đều có trình phân giải DNS cục bộ (Unbound) được cấu hình không tự giải quyết truy vấn, mà chuyển tiếp chúng đến máy chủ của Cloudflare qua kết nối được mã hóa. Điều này có nghĩa là Cloudflare thấy mẫu truy vấn DNS của mọi máy chủ GrapheneOS — chúng tra cứu tên miền nào, khi nào và bao nhiêu lần.

Đây là cùng một dự án đã rời bỏ nhà cung cấp lưu trữ tại Pháp vào cuối năm 2025 vì lo ngại về giám sát, và đã xây dựng toàn bộ mạng DNS toàn cầu để tránh phụ thuộc vào bên thứ ba. Không có lời giải thích nào cho việc chuyển tiếp Cloudflare xuất hiện trong bất kỳ tài liệu công khai nào của họ.

Câu hỏi về thẩm quyền

Sự kiện rời khỏi OVH đã được đưa tin khá rộng rãi. GrapheneOS thông báo họ đang rời bỏ nhà cung cấp lưu trữ Pháp vì Pháp ủng hộ "Chat Control" — luật pháp được đề xuất của EU sẽ yêu cầu quét các tin nhắn riêng tư. Khung hình này mang tính nguyên tắc: Pháp không an toàn cho một dự án quyền riêng tư.

Điều nhận được ít sự chú ý hơn là nơi các máy chủ chuyển đến. Diễn đàn, máy chủ Matrix chat, instance Mastodon và dịch vụ chứng thực hiện được lưu trữ trên các máy chủ của netcup tại Manassas, Virginia. Netcup là công ty Đức, nghe có ý nghĩa, nhưng các máy chủ cụ thể này lại nằm tại Hoa Kỳ.

Tư pháp pháp lý của Mỹ đi kèm với các Thư báo cáo An ninh Quốc gia (National Security Letters - có thể yêu cầu dữ liệu và cấm người nhận tiết lộ cho bất kỳ ai), tòa án FISA, và một bộ máy giám sát mà theo hầu hết các biện pháp thì rộng lớn hơn nhiều so với luật pháp của Pháp mà họ phản đối. Dù đây là sự cần thiết thực tế khi di chuyển nhanh hay đơn giản là không được suy nghĩ kỹ, nó ngồi khá khó chịu bên cạnh câu chuyện được trình bày vào thời điểm đó.

Yếu tố rủi ro cá nhân (Bus Factor)

"Bus factor" là một cách nói hơi macabre để hỏi bao nhiêu người cần phải không có sẵn trước khi một dự án thất bại. Đối với GrapheneOS, câu trả lời trung thực dựa trên bằng chứng có sẵn là: một người.

Các khóa ký cập nhật hệ điều hành — thông tin đăng nhập mật mã chứng minh một bản cập nhật thực sự đến từ GrapheneOS và không bị giả mạo — được lưu trữ trên các máy cục bộ ngắt kết nối mạng (air-gapped) bên ngoài hạ tầng máy chủ của họ. Đó là thực hành tốt. Nhưng những máy đó được kiểm soát bởi cùng một người có các tệp cấu hình chạy máy chủ, có tài khoản GitHub cá nhân là người nhận tài trợ, và người mà hồ sơ doanh nghiệp Canada cho thấy vẫn là giám đốc Quỹ mặc dù đã từ chức.

Khi Micay từ chức vào năm 2023, ông nói rằng hạ tầng ký sẽ được "sao chép ở nhiều địa điểm và xác minh lẫn nhau". Không có bằng chứng công khai nào cho thấy điều này đã xảy ra. Kho lưu trữ hạ tầng vẫn phản ánh các kịch bản triển khai của một người duy nhất đẩy lên các máy chủ mà họ kiểm soát.

Hệ điều hành本身 sẽ tồn tại. Khởi động đã xác minh (verified boot) có nghĩa là các cài đặt hiện tại không thể bị âm thầm thỏa hiệp ngay cả khi mọi máy chủ bị chiếm control. Nhưng khả năng gửi các bản vá bảo mật mới — điều mà GrapheneOS thực hiện thường xuyên và là lý do trung tâm khiến việc chạy nó đáng giá — phụ thuộc vào hạ tầng và các khóa dường như sống cùng với một người.

Điều này thực sự có nghĩa là gì

Không điều nào trong số này có nghĩa là ngừng sử dụng GrapheneOS. Bảo mật điện thoại là có thật và phần lớn độc lập với tất cả những điều này. Khởi động đã xác minh, chip Titan, bộ cấp phát bộ nhớ được cứng hóa — những thứ này hoạt động bất kể điều gì đang xảy ra trên các máy chủ.

Các mối quan tâm thực tế cụ thể hơn:

Hạ tầng cộng đồng — diễn đàn, Matrix, những nơi người dùng đến để tìm trợ giúp và thảo luận — nằm trong thẩm quyền của Mỹ trên hạ tầng không có tính dự phòng hoặc kế hoạch kế thừa được chứng minh. Một yêu cầu pháp lý, khủng hoảng sức khỏe, hoặc đơn giản là Micay rời đi có thể tạo ra sự gián đoạn nghiêm trọng.

Việc chuyển tiếp DNS Cloudflare là một sự không nhất quán về quyền riêng tư thực sự đối với một dự án đã xây dựng hạ tầng một cách rõ ràng để tránh chính xác loại tầm nhìn của bên thứ ba này. Nó không bị ẩn — nó nằm trong một tệp cấu hình công khai — nhưng nó chưa được giải thích.

Khung quản trị "Quỹ GrapheneOS với hội đồng quản trị" ngụ ý sự giám sát tập thể nhiều hơn những gì bằng chứng hỗ trợ. Dựa trên những gì công khai nhìn thấy, đây gần hơn là dự án của một người tình cờ phục vụ 400.000 người dùng hơn là một tổ chức phân phối có ý nghĩa.

Khoảng trống kỳ lạ

Điều làm cho GrapheneOS bất thường là sự tương phản sắc nét giữa cách họ suy nghĩ nghiêm ngặt về hệ điều hành điện thoại và cách họ thực dụng xây dựng mọi thứ xung quanh nó. Trên điện thoại: tư duy đối kháng, bề mặt tối thiểu, giả định mọi thứ đều thù địch. Trên máy chủ: các công cụ ưa thích của một người, cài đặt đầy đủ ở khắp mọi nơi, những lựa chọn đôi khi hoạt động chống lại các nguyên tắc đã nêu.

Micay là một nhà nghiên cứu bảo mật di động đã thực hiện những công việc thực sự quan trọng. Hạ tầng trông giống như những gì bạn nhận được khi một người rất giỏi một thứ xây dựng các hệ thống hỗ trợ xung quanh nó một mình, mà không áp dụng sự nghiêm ngặt đối kháng tương tự cho giàn giáo.

GrapheneOS vẫn là lựa chọn tốt nhất cho điện thoại Android ý thức về bảo mật và quyền riêng tư — điều đó thực sự không bị nghi ngờ. Nhưng "tốt nhất hiện có" và "không có lưu ý có ý nghĩa" là những điều khác nhau, và cộng đồng quyền riêng tư có xu hướng coi GrapheneOS là cái sau trong khi nó thực sự là cái trước. Hệ điều hành xứng đáng với danh tiếng của nó. Dự án xung quanh nó phức tạp hơn.

Tất cả các tuyên bố trong bài viết này dựa trên các kho lưu trữ công khai, tài liệu chính thức và tuyên bố công khai của GrapheneOS. Các nguồn chính được liên kết trong bài viết.