Signal vs Telegram vs Zalo: Ứng dụng nhắn tin nào thực sự an toàn?

Zalo là ứng dụng nhắn tin phổ biến nhất Việt Nam với hơn 75 triệu người dùng. Từ chat bạn bè, liên lạc công việc đến thanh toán và dịch vụ công — Zalo đã trở thành phần không thể thiếu trong cuộc sống hàng ngày.

Nhưng Zalo có thực sự an toàn? Telegram được cho là bảo mật hơn, còn Signal được Edward Snowden khuyên dùng. Sự thật kỹ thuật đằng sau những tuyên bố này là gì?

"Mã hóa" không có nghĩa là "an toàn"

Hầu hết ứng dụng nhắn tin đều quảng cáo mã hóa. Nhưng mã hóa chỉ là một phần của bảo mật. Điều thực sự quan trọng là:

• Thu thập những metadata nào? (Nhắn với ai, khi nào, bao lâu)
• Tin nhắn lưu ở đâu? (Chỉ trên thiết bị hay cả trên server?)
• Mã nguồn có mở không? (Có thể kiểm chứng độc lập?)
• Ai đứng sau ứng dụng? (Mô hình kinh doanh là gì?)

Signal: Tiêu chuẩn vàng về bảo mật

Signal do Signal Foundation — tổ chức phi lợi nhuận — phát triển và vận hành.

Mã hóa

Signal sử dụng Signal Protocol — được đánh giá là giao thức mã hóa tin nhắn an toàn nhất hiện nay:

• Thuật toán Double Ratchet: Mỗi tin nhắn có khóa mã hóa riêng
• X3DH: Trao đổi khóa ban đầu an toàn
• Perfect Forward Secrecy: Một khóa bị lộ không ảnh hưởng tin nhắn trước đó

WhatsApp và Google Messages đều sử dụng Signal Protocol theo giấy phép.

Thu thập metadata

Dữ liệu	Signal
Số điện thoại	Cần khi đăng ký (Sealed Sender ẩn người gửi)
Danh bạ	Không upload
Nội dung tin nhắn	Không lưu trên server
Thời gian	Không lưu
Địa chỉ IP	Không ghi nhận

Năm 2021, khi FBI yêu cầu dữ liệu từ Signal, họ chỉ có thể cung cấp ngày tạo tài khoản và lần kết nối cuối.

Mã nguồn mở

Client và server đều hoàn toàn mã nguồn mở.

Telegram: Phức tạp hơn bạn nghĩ

Telegram nổi tiếng về bảo mật, nhưng thực tế kỹ thuật khác với marketing.

Mã hóa

Sự thật mà nhiều người không biết:

• Chat thường: Chỉ mã hóa server-client. Server Telegram đọc được tin nhắn
• Chat bí mật: Mã hóa đầu cuối với MTProto 2.0

Chat thường của Telegram KHÔNG có mã hóa đầu cuối. Đây là thiết kế có chủ đích để hỗ trợ đồng bộ cloud và đa thiết bị.

Tính năng	Chat thường	Chat bí mật
Mã hóa E2E	❌ Không	✅ Có
Đa thiết bị	✅ Có	❌ Một thiết bị
Đồng bộ cloud	✅ Có	❌ Không
Tự hủy	❌ Không	✅ Có

Lo ngại về MTProto

• Do đội ngũ nội bộ thiết kế, không phải nhà mật mã học
• Phiên bản cũ có lỗ hổng (đã sửa trong MTProto 2.0)
• Ít kiểm toán độc lập hơn Signal Protocol

Mã nguồn server không công khai.

Zalo: Ứng dụng quốc dân của Việt Nam

Zalo do VNG phát triển, là ứng dụng nhắn tin phổ biến nhất tại Việt Nam.

Mã hóa

• Zalo sử dụng mã hóa khi truyền tải (TLS) cho tin nhắn
• Tính năng "Tin nhắn bảo mật" cung cấp mã hóa đầu cuối cho chat 1-1
• Chat nhóm thông thường không có mã hóa đầu cuối

Thu thập dữ liệu

Dữ liệu thu thập
Số điện thoại
Danh bạ (nếu đồng bộ)
Nội dung tin nhắn (chat thường)
Thời gian sử dụng, tần suất
Thông tin thiết bị
Vị trí (khi cho phép)

Mã nguồn mở

Zalo không phải mã nguồn mở. Không thể kiểm chứng độc lập cách mã hóa hoạt động.

So sánh tổng quan

Tính năng	Signal	Telegram	Zalo
Mã hóa E2E mặc định	✅ Tất cả	❌ Chỉ chat bí mật	❌ Chỉ tin nhắn bảo mật
Giao thức	Signal Protocol	MTProto 2.0	TLS + riêng
Thu thập metadata	Tối thiểu	Trung bình	Nhiều
Lưu trên server	Không	Chat thường có	Chat thường có
Client mã nguồn mở	✅	✅	❌
Server mã nguồn mở	✅	❌	❌
Tin nhắn tự hủy	✅	✅ (chat bí mật)	❌
Đơn vị vận hành	Phi lợi nhuận	Công ty tư nhân	VNG (niêm yết)
Kiểm toán bảo mật	✅ Định kỳ	Hạn chế	Hạn chế

Nên chọn ứng dụng nào?

Dùng Signal nếu:

• Quyền riêng tư là ưu tiên hàng đầu
• Cần chia sẻ thông tin nhạy cảm (y tế, pháp lý, tài chính)
• Nhà báo, nhà hoạt động, người cần bảo mật cao
• Muốn bảo mật đã được kiểm chứng

Dùng Telegram nếu:

• Cần nhóm lớn/kênh
• Đồng bộ đa thiết bị quan trọng
• Hiểu giới hạn và sử dụng chat bí mật

Dùng Zalo khi:

• Giao tiếp hàng ngày ở Việt Nam (gần như bắt buộc)
• Tận dụng tính năng "Tin nhắn bảo mật" cho nội dung nhạy cảm
• Thông tin quan trọng nên gửi qua kênh khác

Vượt ra ngoài tin nhắn: Chia sẻ thông tin nhạy cảm

Dù dùng ứng dụng nào, việc gửi mật khẩu hay thông tin mật qua tin nhắn đều có rủi ro:

• Tin nhắn tồn tại mãi trong lịch sử chat
• Không kiểm soát được người nhận (chụp màn hình, chuyển tiếp)
• Không thể ép hết hạn — thông tin gửi đi là mất kiểm soát
• Không theo dõi được ai đã xem

Với thông tin cần chia sẻ tạm thời và an toàn, LOCK.PUB cung cấp link được bảo vệ bằng mật khẩu và tự hủy. Gửi link qua Zalo, mật khẩu qua SMS hoặc gọi điện. Link LOCK.PUB tự động xóa sau thời gian đặt trước, đảm bảo lịch sử chat không lưu thông tin nhạy cảm.

Kết luận

Signal là ứng dụng nhắn tin an toàn nhất hiện nay. Signal Protocol, metadata tối thiểu, phi lợi nhuận, hoàn toàn mã nguồn mở.

Telegram không an toàn như mọi người nghĩ. Chat thường không có mã hóa đầu cuối, server không mã nguồn mở.

Zalo tiện lợi nhưng bảo mật có giới hạn. Chat hàng ngày dùng Zalo, thông tin nhạy cảm nên dùng Signal hoặc công cụ chuyên dụng.

Dù dùng ứng dụng nào, hãy nhớ: Ứng dụng nhắn tin được thiết kế để trò chuyện, không phải để lưu trữ bí mật.

Chia sẻ thông tin nhạy cảm an toàn →