OneKey Transfer là một tính năng trong Ứng dụng OneKey, giúp chuyển khóa riêng tư của ví phần mềm của bạn một cách an toàn giữa các thiết bị của bạn. Hướng dẫn này giải thích các lớp bảo mật nhiều lớp bảo vệ dữ liệu của bạn.
Lưu ý về Ví: Tính năng này hiện chỉ dành cho ví phần mềm. Hỗ trợ cho ví phần cứng phức tạp hơn và sẽ được thêm vào trong phiên bản tương lai.
Các Nguyên tắc Cốt lõi
Bảo mật của chúng tôi được xây dựng dựa trên ba lời hứa chính:
Mã nguồn mở & Đáng tin cậy
Mã cho ứng dụng và máy chủ của chúng tôi là công khai. Bất kỳ ai cũng có thể xem xét nó để xác minh các tuyên bố bảo mật của chúng tôi.
Mã hóa đầu cuối (E2EE)
Dữ liệu của bạn được mã hóa trên thiết bị của bạn và chỉ được giải mã trên thiết bị đích. Không ai ở giữa—ngay cả OneKey—cũng có thể đọc được nó.
Máy chủ Không có kiến thức (Zero-Knowledge)
Máy chủ của chúng tôi chỉ đóng vai trò là bộ điều phối để kết nối các thiết bị của bạn. Nó không có quyền truy cập hoặc kiến thức về dữ liệu đang được chuyển.
Cách xây dựng Khóa mã hóa
Dữ liệu của bạn được khóa bằng một khóa được tạo từ nhiều phần độc lập. Kẻ tấn công sẽ cần đánh cắp tất cả các phần từ các nơi khác nhau cùng một lúc để cố gắng phá vỡ mã hóa.
1. Khóa chia sẻ động (ECDHE)
Nó là gì: Một khóa chia sẻ tạm thời, chỉ sử dụng một lần, được tạo trực tiếp giữa hai thiết bị của bạn khi bắt đầu phiên.
Điểm chính: Khóa này không bao giờ được truyền hoặc nhìn thấy bởi máy chủ. Nó làm cho kết nối an toàn ngay cả khi Mã ghép nối của bạn bị chặn (ví dụ: qua quay màn hình).
2. Mã ghép nối
10 ký tự đầu tiên: Được gửi đến máy chủ để xác định thiết bị nào muốn kết nối.
40 ký tự cuối: Được sử dụng làm thành phần bí mật cho khóa mã hóa cuối cùng. Phần này không bao giờ được gửi đến máy chủ.
3. Các thành phần bí mật bổ sung
Từ thiết bị của bạn (Cục bộ): Mật khẩu khóa thiết bị của bạn, một số ngẫu nhiên cho lần truyền, ID duy nhất cho phiên ứng dụng của bạn và một bí mật ứng dụng tích hợp (salt).
Từ Đám mây (Máy chủ): Một ID kết nối tạm thời và một số ngẫu nhiên khác do máy chủ tạo cho phiên.
Nói tóm lại, việc kết hợp khóa đa nguồn này tạo ra một rào cản bảo mật cực kỳ cao. Để có cơ hội giải mã dữ liệu của bạn, kẻ tấn công sẽ phải đồng thời xâm phạm máy chủ (để chiếm quyền điều khiển dữ liệu, lấy các phần khóa phía đám mây và can thiệp vào khóa ECDHE thông qua tấn công trung gian) VÀ quay màn hình ứng dụng của bạn (để đánh cắp mã ghép nối và các phần khóa cục bộ khác).
Các Biện pháp Phòng vệ & Xác minh
Chúng tôi sử dụng nhiều biện pháp chủ động để ngăn chặn các cuộc tấn công và đảm bảo bạn có quyền kiểm soát.
Bảo vệ phía Máy chủ
Chống tấn công Brute-Force:
Giới hạn tốc độ: Một thiết bị chỉ có thể thực hiện một yêu cầu sau mỗi 3 giây, ngăn chặn các cuộc tấn công dò mật khẩu nhanh chóng.
Giới hạn số lần thử: Mã ghép nối chỉ có thể được thử 10 lần. Sau 10 lần thất bại, phiên sẽ bị chấm dứt.
Xác minh do Người dùng Kiểm soát
Kiểm tra Mật khẩu Màn hình khóa
Bạn làm gì: Bạn phải nhập mật khẩu điện thoại của mình để ủy quyền truyền dữ liệu.
Tại sao lại quan trọng: Đảm bảo rằng người nhặt được điện thoại đã mở khóa của bạn không thể đánh cắp khóa của bạn.
Xác minh Vật lý 6 Chữ số
Bạn làm gì: Sau khi ghép nối, bạn phải xác nhận bằng tay rằng mã 6 chữ số khớp trên màn hình của cả hai thiết bị.
Tại sao lại quan trọng: Điều này ngăn chặn tấn công trung gian. Tin tặc không thể hoàn thành việc truyền dữ liệu vì chúng không thể nhìn thấy mã trên thiết bị thứ hai của bạn.
Mã ghép nối Chỉ sử dụng Một lần
Nó là gì: Mã ghép nối hết hạn sau một lần sử dụng thành công.
Tại sao lại quan trọng: Tính năng này có biện pháp phòng thủ "kết nối sớm". Nếu tin tặc đánh cắp mã của bạn và kết nối trước, nỗ lực kết nối hợp pháp của bạn sẽ buộc ngắt kết nối tin tặc, đảm bảo chỉ bạn mới có thể tiếp tục.
Các Tùy chọn Nâng cao
Nhờ mã nguồn mở của chúng tôi, bạn có thể tăng cường hơn nữa bảo mật và quyền riêng tư cho các lần truyền dữ liệu của mình:
Tự lưu trữ Máy chủ của bạn: Triển khai mã máy chủ của chúng tôi trên máy chủ của riêng bạn, sau đó kết nối với nó bằng cách chọn tùy chọn "Máy chủ tùy chỉnh" trong ứng dụng. Điều này mang lại cho bạn toàn quyền kiểm soát dữ liệu của mình.
Truyền dữ liệu qua LAN (Sắp ra mắt): Trong một phiên bản tương lai, ứng dụng máy tính OneKey sẽ có thể hoạt động như một bộ chuyển tiếp Mạng cục bộ (LAN). Điều này sẽ cho phép các thiết bị của bạn truyền dữ liệu mà không cần kết nối với internet công cộng, đạt được sự cô lập vật lý thực sự.