Ghi Chú

Ghi chú nhanh, chia sẻ dễ dàng

Soạn thảo Đơn giản, dễ dàng. Hỗ trợ định dạng văn bản, danh sách, khối code.

Chia sẻ Chuyển sang Công khai để nhận link 5 ký tự. Có thể đặt mật khẩu bảo vệ.

Đính kèm Chèn ảnh hoặc đính kèm file từ thanh công cụ soạn thảo.

Tự động lưu Nội dung được lưu tự động sau 2 giây. Lịch sử chỉnh sửa lưu tối đa 100 phiên bản.

Nâng cao Tự xóa sau thời gian hoặc số lượt đọc. Ghim, khóa chỉ đọc từ sidebar.

Đọc trên Terminal Thêm .txt vào cuối link để xem nội dung dạng văn bản thuần trên terminal.

Phần 5: Tối ưu hiệu năng và kiểm thử bảo mật

Tác giả: dangmy02 — 21/03/2026

Đo lường độ trễ và phân tích hiệu năng Zero-Knowledge

Bước đầu tiên là thiết lập cơ sở dữ liệu (baseline) để so sánh độ trễ giữa truy vấn SQL thông thường và truy vấn đã được mã hóa bằng Zero-Knowledge Proof (ZKP).

Chúng ta cần sử dụng công cụ benchmarking để đo thời gian phản hồi (latency) khi thực hiện các phép toán mã hóa và giải mã trong quá trình truy vấn.

Tại sao: Để xác định overhead (chi phí hiệu năng) thực tế mà ZKP gây ra cho hệ thống, từ đó tìm điểm cân bằng giữa bảo mật và tốc độ.

Kết quả mong đợi: Báo cáo chi tiết về thời gian (ms) và throughput (query/sec) của cả hai chế độ.

Trước khi chạy benchmark, hãy đảm bảo bạn đã cài đặt sysbench hoặc pgbench tùy thuộc vào database engine đang dùng (giả định MySQL/MariaDB cho ví dụ).

sudo apt-get install -y sysbench

Cài đặt công cụ benchmark. Nếu hệ thống không báo lỗi, công cụ đã sẵn sàng.

Tạo script benchmark riêng cho ZKP để đo độ trễ của giao thức Zero-Knowledge.

cat > /root/benchmark_zkp.sh  /dev/null 2>&1
done
END_TIME=$(date +%s%N)
ELAPSED=$(( (END_TIME - START_TIME) / 1000000 ))
AVG_LATENCY=$(( ELAPSED / ITERATIONS ))
echo "Total time: ${ELAPSED}ms"
echo "Average latency per query: ${AVG_LATENCY}ms"
echo "Throughput: $(echo "scale=2; $ITERATIONS / ($ELAPSED/1000)" | bc) queries/sec"
EOF
chmod +x /root/benchmark_zkp.sh

Tạo script shell để lặp lại truy vấn ZKP 1000 lần. Script này sẽ tự động tính toán độ trễ trung bình và thông lượng.

Chạy script benchmark đã tạo.

export DB_PASS="your_secure_password"
/root/benchmark_zkp.sh

Thay thế biến môi trường bằng mật khẩu thực tế của DB. Sau khi chạy, bạn sẽ thấy số liệu độ trễ in ra màn hình.

Để có số liệu so sánh chính xác, chạy benchmark cho truy vấn SQL thường (không có ZKP).

sysbench --test=oltp --db-driver=mysql --mysql-host=localhost --mysql-user=root --mysql-password=${DB_PASS} --mysql-db=test_db --oltp-table-size=10000 --num-threads=4 --max-requests=10000 run

Chạy sysbench với cấu hình mặc định để lấy số liệu baseline của SQL thuần.

Verify kết quả: So sánh con số "Average latency" và "Throughput" giữa hai lần chạy. Nếu độ trễ ZKP tăng quá 200% so với SQL thường, bạn cần tối ưu hóa tham số CPU hoặc bộ nhớ đệm ở các bước sau.

Điều chỉnh tham số bộ nhớ đệm và CPU

Sau khi có số liệu độ trễ, bước tiếp theo là tinh chỉnh Linux Kernel và SQLcrypt để giảm thiểu overhead này mà không làm giảm tính bảo mật.

Chúng ta sẽ điều chỉnh tham số swappiness của Kernel để ưu tiên RAM cho các phép toán ZKP, đồng thời cấu hình bộ đệm (cache) của SQLcrypt.

Tại sao: Các phép toán ZKP tiêu tốn nhiều RAM. Nếu hệ thống bị swap (ghi ra disk), độ trễ sẽ tăng vọt. Cần giữ dữ liệu nhạy cảm nằm hoàn toàn trong RAM.

Kết quả mong đợi: Giảm độ trễ truy vấn ZKP xuống mức chấp nhận được và giảm sử dụng swap disk.

Đầu tiên, giảm mức độ ưu tiên của hệ thống khi sử dụng Swap (giữ dữ liệu ở RAM).

echo "vm.swappiness=10" >> /etc/sysctl.conf
sysctl -p

Viết tham số vào file cấu hình vĩnh viễn và áp dụng ngay lập tức. Giá trị 10 nghĩa là kernel chỉ swap khi RAM gần đầy.

Cấu hình SQLcrypt để tăng kích thước bộ đệm cache cho các khóa mã hóa và chứng minh ZKP.

Chỉnh sửa file cấu hình của SQLcrypt (giả định đường dẫn mặc định).

cat > /etc/sqlcrypt/sqlcrypt.conf

Viết nội dung cấu hình hoàn chỉnh vào file. Tham số zk_proof_cache_size giúp lưu trữ các proof đã tính toán để tránh tính lại, giảm độ trễ đáng kể.

Khởi động lại dịch vụ SQLcrypt để áp dụng thay đổi.

systemctl restart sqlcrypt

Dịch vụ sẽ khởi động lại. Kiểm tra trạng thái để đảm bảo không có lỗi khởi động do cấu hình sai.

systemctl status sqlcrypt | grep -i "active"

Verify kết quả: Chạy lại script benchmark /root/benchmark_zkp.sh. Nếu cấu hình đúng, thời gian "Average latency" phải giảm đáng kể so với lần chạy trước khi điều chỉnh, và sử dụng RAM tăng lên nhưng Swap gần như bằng 0.

Kiểm thử bảo mật và kịch bản tấn công giả lập

Phần cuối cùng là kiểm tra tính toàn vẹn của dữ liệu và khả năng chống lại các cuộc tấn công phổ biến trong môi trường Zero-Knowledge.

Chúng ta sẽ thực hiện các kịch bản: Tấn công Replay (chơi lại chứng minh cũ), Tấn công Brute-force (dự đoán khóa), và kiểm tra rò rỉ dữ liệu qua bộ nhớ đệm.

Tại sao: Để đảm bảo rằng cơ chế ZKP không chỉ nhanh mà còn an toàn trước các vector tấn công thực tế.

Kết quả mong đợi: Hệ thống từ chối các chứng minh giả mạo, không rò rỉ dữ liệu gốc, và khóa mã hóa không bị suy yếu.

Thiết lập kịch bản tấn công Replay: cố gắng sử dụng một "proof" đã được sinh ra từ trước đó cho một phiên làm việc mới.

cat > /root/test_replay_attack.sh /dev/null)

if [ -z "$OLD_PROOF" ]; then
    echo "No previous proof found. Generating one first..."
    # Sinh một proof mẫu (giả định công cụ sqlcrypt-cli có sẵn)
    sqlcrypt-cli generate-proof --user test_user --output /tmp/current_proof.bin
    OLD_PROOF=$(cat /tmp/current_proof.bin)
fi

echo "Attempting to reuse proof from previous session..."
# Cố gắng dùng proof cũ cho session mới (timestamp đã thay đổi)
RESULT=$(sqlcrypt-cli verify-proof --proof="$OLD_PROOF" --user test_user 2>&1)

if echo "$RESULT" | grep -q "INVALID_TIMESTAMP\|REPLAY_DETECTED\|FAILED"; then
    echo "[PASS] Replay attack blocked: $RESULT"
else
    echo "[FAIL] Replay attack succeeded: $RESULT"
fi
EOF
chmod +x /root/test_replay_attack.sh

Tạo script để bắt chước hành vi của hacker cố gắng dùng lại chứng minh cũ. Script này kiểm tra xem hệ thống có phát hiện ra việc reuse proof không.

Chạy kịch bản tấn công Replay.

/root/test_replay_attack.sh

Chạy script. Nếu kết quả hiển thị "[PASS]", hệ thống đã chặn thành công cuộc tấn công.

Thực hiện kiểm tra rò rỉ dữ liệu qua bộ nhớ đệm (Memory Cache Leak) bằng cách kiểm tra log audit của SQLcrypt.

grep -i "plaintext\|raw_key" /var/log/sqlcrypt/audit.log | head -n 5

Lệnh này tìm kiếm các từ khóa nhạy cảm trong log. Trong hệ thống ZKP chuẩn, log không được chứa plaintext hoặc raw key.

Verify kết quả: Nếu lệnh grep trả về không có dòng nào (hoặc chỉ trả về các dòng đã được mã hóa hash), hệ thống an toàn. Nếu thấy dữ liệu thô, cần kiểm tra lại cấu hình logging trong /etc/sqlcrypt/sqlcrypt.conf và tắt chế độ debug.

Thực hiện kiểm tra Brute-force nhanh bằng công cụ hashcat (nếu có) hoặc mô phỏng bằng script Python để thử đoán khóa từ proof đã biết.

python3

Script Python này mô phỏng thời gian cần thiết để brute-force. Trong thực tế ZKP, thời gian này phải là hàng triệu năm, không phải vài giây.

Verify kết quả: Nếu hệ thống ZKP được cấu hình đúng, thời gian để "đoán" thành công phải cực kỳ lớn hoặc không thể thực hiện được. Kết quả của bước này là xác nhận tính an toàn của thuật toán mã hóa đang sử dụng.

Điều hướng series:

Mục lục: Series: Triển khai Zero-Knowledge Database với SQLcrypt và Linux Kernel

« Phần 4: Tích hợp Zero-Knowledge Proof vào cơ sở dữ liệu SQL

Phần 6: Xử lý sự cố và các mẹo nâng cao »