Lưu trữ tệp được mã hóa — Hướng dẫn lưu trữ đám mây riêng tư

Bạn có thể đã lưu trữ tệp trên đám mây — tài liệu, ảnh, sao lưu. Các dịch vụ như Google Drive, Dropbox và iCloud làm điều này dễ dàng. Nhưng bạn đã bao giờ tự hỏi ai khác có thể xem những tệp đó?

Lưu trữ tệp được mã hóa giải quyết vấn đề này. Nó đảm bảo rằng chỉ có bạn mới có thể đọc tệp của mình — không phải nhà cung cấp lưu trữ, không phải hacker và không phải các cơ quan chính phủ. Hướng dẫn này giải thích cách thức hoạt động, cách so sánh với lưu trữ đám mây truyền thống và những gì cần tìm khi chọn nhà cung cấp.

Lưu trữ tệp được mã hóa là gì?

Lưu trữ tệp được mã hóa là dịch vụ lưu trữ đám mây sử dụng mã hóa end-to-end (E2EE) để bảo vệ tệp của bạn. Dữ liệu của bạn được mã hóa trên thiết bị của bạn trước khi được tải lên, và chỉ có bạn giữ khóa giải mã.

Điều này có nghĩa là ngay cả nhà cung cấp lưu trữ cũng không thể truy cập tệp của bạn. Điều này đôi khi được gọi là mã hóa “zero-knowledge" — nhà cung cấp không có kiến thức về những gì bạn đang lưu trữ.

• Mã hóa End-to-End — Tệp được mã hóa trên thiết bị của bạn trước khi tải lên. Máy chủ chỉ thấy dữ liệu được mã hóa.
• Kiến trúc Zero-Knowledge — Nhà cung cấp không thể đọc, quét hoặc truy cập tệp của bạn — ngay cả khi bị buộc về mặt pháp lý.
• Quản lý khóa phía máy khách — Các khóa mã hóa được tạo và lưu trữ trên thiết bị của bạn, không bao giờ được chia sẻ với máy chủ.
• Chia sẻ tệp riêng tư — Chia sẻ tệp với người khác bằng các liên kết được mã hóa hoặc trao đổi khóa — mà không tiết lộ dữ liệu cho nhà cung cấp.

Lưu trữ đám mây được mã hóa vs. truyền thống

Đây là cách lưu trữ được mã hóa so sánh với các dịch vụ như Google Drive, Dropbox và OneDrive:

Tại sao Google Drive và Dropbox không riêng tư

Các nhà cung cấp lưu trữ đám mây truyền thống mã hóa tệp của bạn khi truyền và khi nghỉ — nhưng họ giữ các khóa mã hóa. Điều này có nghĩa là họ có thể giải mã và truy cập tệp của bạn bất cứ lúc nào. Đây là lý do tại sao điều đó quan trọng:

• Họ quét tệp của bạn. Google Drive quét tài liệu để tìm vi phạm Điều khoản dịch vụ. Dropbox đã làm điều tương tự. Các tệp “riêng tư" của bạn không riêng tư với họ.
• Họ tuân thủ các yêu cầu dữ liệu. Khi cơ quan thực thi pháp luật yêu cầu dữ liệu của bạn, các nhà cung cấp như Google và Microsoft có thể — và thực sự — bàn giao tệp, email và metadata của bạn.
• Nhân viên có thể truy cập dữ liệu của bạn. Trong các trường hợp hiếm nhưng được ghi nhận, nhân viên công ty đã truy cập tệp của người dùng. Mã hóa zero-knowledge làm cho điều này không thể về mặt kiến trúc.
• Vi phạm dữ liệu tiết lộ nội dung thực. Nếu một nhà cung cấp truyền thống bị xâm phạm, kẻ tấn công sẽ có được các tệp thực của bạn. Với E2EE, họ chỉ có được những khối được mã hóa vô dụng.

Cách lưu trữ được mã hóa end-to-end hoạt động

Quá trình được thiết kế để các tệp của bạn không bao giờ được hiển thị dưới dạng văn bản thuần túy bên ngoài thiết bị của bạn:

1. Tạo khóa — Khi bạn tạo tài khoản, một cặp khóa mã hóa duy nhất được tạo trên thiết bị của bạn. Khóa riêng của bạn không bao giờ rời khỏi thiết bị của bạn.
2. Mã hóa phía máy khách — Trước khi một tệp được tải lên, nó được mã hóa bằng khóa của bạn. Nhà cung cấp lưu trữ chỉ nhận được phiên bản được mã hóa.
3. Lưu trữ an toàn — Tệp được mã hóa được lưu trữ trên máy chủ của nhà cung cấp. Không có khóa riêng của bạn, nó chỉ là dữ liệu vô nghĩa.
4. Giải mã phía máy khách — Khi bạn tải xuống một tệp, nó được giải mã cục bộ trên thiết bị của bạn bằng khóa riêng của bạn. Nhà cung cấp không bao giờ nhìn thấy bản gốc.

Hãy nghĩ về nó giống như đặt các tệp của bạn vào một két sắt trước khi gửi chúng đến một kho hàng. Kho hàng lưu trữ két sắt, nhưng họ không có mã — chỉ có bạn mới có.

Cần tìm gì trong lưu trữ được mã hóa

Không phải tất cả lưu trữ “được mã hóa" đều thực sự riêng tư. Đây là những tính năng chính cần kiểm tra:

• Mã hóa End-to-End thực sự — Mã hóa phải xảy ra trên thiết bị của bạn, không phải trên máy chủ. Nếu nhà cung cấp mã hóa cho bạn, họ cũng có khóa.
• Máy khách mã nguồn mở — Các ứng dụng mã nguồn mở có thể được kiểm tra độc lập. Các ứng dụng độc quyền yêu cầu bạn tin tưởng các tuyên bố của công ty một cách mù quáng.
• Kiến trúc Zero-Knowledge — Nhà cung cấp không nên có khả năng truy cập dữ liệu của bạn — ngay cả với lệnh tòa.
• Kiểm toán bảo mật độc lập — Tìm các nhà cung cấp đã được kiểm toán bởi các công ty bảo mật bên thứ ba như Cure53 hoặc Trail of Bits.
• Khu vực pháp lý và luật riêng tư — Công ty có trụ sở ở đâu? Các nhà cung cấp ở Thụy Sĩ hoặc EU nói chung được hưởng lợi từ các quy định riêng tư mạnh mẽ hơn.
• Không ghi nhật ký metadata — Một số nhà cung cấp mã hóa nội dung tệp nhưng vẫn ghi nhật ký tên tệp, kích thước và thời gian truy cập. Quyền riêng tư thực sự nghĩa là metadata tối thiểu.

TL;DR

• ✅ Lưu trữ đám mây truyền thống (Google Drive, Dropbox) mã hóa tệp của bạn — nhưng họ giữ các khóa và có thể truy cập dữ liệu của bạn.
• ✅ Lưu trữ tệp được mã hóa sử dụng mã hóa end-to-end để chỉ bạn mới có thể đọc tệp của mình.
• ✅ Tìm kiến trúc zero-knowledge, máy khách mã nguồn mở và kiểm toán độc lập.
• ✅ Đánh đổi: không có tìm kiếm phía máy chủ, không có khôi phục mật khẩu và chi phí cao hơn một chút.
• ⛔ Tránh các nhà cung cấp tuyên bố “mã hóa" nhưng quản lý các khóa trên máy chủ của họ — đó không phải là quyền riêng tư thực sự.

Bảo vệ tệp của bạn với Proton Drive

Proton Drive cung cấp lưu trữ đám mây được mã hóa end-to-end. Các tệp được mã hóa trên thiết bị của bạn trước khi tải lên — Proton không có quyền truy cập. Dùng thử Proton Drive.

Tiết lộ liên kết: Trang này chứa các liên kết liên kết. Nếu bạn đăng ký thông qua các liên kết của chúng tôi, chúng tôi có thể kiếm được hoa hồng mà không tốn thêm chi phí cho bạn. Xem Điều khoản dịch vụ.