30Aug
Nedávné odhalení ohledně dozoru nad vládou vyvolalo otázku: proč služby cloud nezašifrují vaše data? Obvykle zpravidla šifrují vaše data, ale mají klíč, takže je mohou kdykoli dešifrovat.
Reálná otázka zní: Proč webové služby šifrovat a dešifrovat data místně, takže jsou uloženy v šifrované podobě, kterou nikdo nemůže slíbit? LastPass to dělá s vaší databází hesel.
Jak by bylo jiné šifrování typu end-to-end
Chcete-li být jasné, vaše data jsou pravděpodobně zašifrována. Vezměme si například Dropbox. Když se připojíte k Dropboxu, Dropbox přenese všechna data přes šifrované připojení, takže se nikdo nemůže snést na cestě.Dropbox také slibuje, že ukládají soubory na svých serverech v šifrované podobě.
Šifrování je však zámek a zda je něco zablokováno, je méně důležité, než kdo má klíč.Dropbox má šifrovací klíč pro zobrazení všech vašich souborů na svých serverech, takže když je pravda, že je šifrováno, je také pravda, že Dropbox má k nim plný přístup a že mohou spolupracovat s vládním dohledem, nebo by mohl nepoctivý zaměstnanec spatřit vaše soubory.
Myšlenka "end-to-end šifrování" - mohla byste se na ně odkazovat také jako "místní šifrování a dešifrování" - je odlišná.Při šifrování typu end-to-end jsou data dešifrována pouze v koncových bodech. Jinými slovy, e-mail odeslaný pomocí šifrování typu end-to-end bude zašifrován u zdroje, nečitelný pro poskytovatele služeb, jako je Gmail v tranzitu, a pak bude dešifrován na svém koncovém bodě.Zásadní význam bude, že e-mail bude pro koncového uživatele dešifrován na svém počítači a zůstane v šifrované, nečitelné podobě e-mailové službě, jako je Gmail, která by neměla k dispozici klíč k jeho dešifrování.To je mnohem obtížnější.
Stažení a lokální dešifrování
Jak jsme uvedli výše, LastPass využívá lokální šifrování a dešifrování prostřednictvím webového prohlížeče. Stahuje šifrované šablony s hesly, dešifruje je pomocí hesla a umožňuje přístup k vašim heslům. Všimněte si, že LastPass musí stáhnout celý vault hesel a dalších dat pro jeho dešifrování.V případě LastPass to funguje dobře - je to docela malý soubor.
Nicméně by to nikde jinde nebylo tak snadné udělat s jinými webovými službami. Pokud by například služba Gmail fungovala podobně, musel by si Gmail stáhnout do vašeho počítače soubor, který bude představovat celou vaši poštovní schránku o délce 5 GB.Mohlo by to pravděpodobně použít specifikaci LocalStorage HTML5, pokud by LocalStorage mohlo ukládat více dat. Tento soubor by pak musel být dešifrován místně, aby poskytl přístup k vaší e-mailové schránce, což by chvíli trvalo.
Je možné, že to může Gmail dělat jinak, přičemž samostatný soubor představuje každý nový šifrovaný e-mail. Ale architektura e-mailového klienta je tímto způsobem mnohem složitější.
To by ve skutečnosti bylo více nebo méně nemožné - LocalStorage je často omezena na 5 MB nebo méně na jeden web v populárních prohlížečích. Specifikace říká, že uživatelé by měli být schopni zvýšit tento limit, pokud se jim líbí, ale jen málo prohlížečů to implementuje.
Bez zabezpečených webových aplikací
Služby pro ukládání dat v cloudu, jako jsou SpiderOak a Wuala, se liší od služby Dropbox - poskytují kompletní lokální šifrování a dešifrování.Nainstalujte počítačový program pro aplikace SpiderOak nebo Wuala a před nahráním soubory šifrují, takže služba sama o sobě nikdy neví, co ukládáte, a je pro přístup k nim šifrovací klíč .
Tyto služby se však odlišují od Dropboxu i jinými způsoby - nepodporují používání webového rozhraní pro snadný přístup. Pro Dropbox je snadné poskytnout webovou aplikaci, která vám umožní přístup k vašim souborům, protože je srozumitelná, co jsou tyto soubory. SpiderOak a Wuala nerozumí tomu, co ukládáte, takže je mnohem jednodušší, aby vám umožnily stahovat všechny šifrované kousky s programem pro stolní počítače a nechat program pro stolní počítače udělat těžkou práci.
Tyto služby by vám měly umožnit dešifrování a pochopení šifrovaných názvů souborů, stahování šifrovaného souboru do vašeho prohlížeče( možná přes LocalStorage), použití dešifrovacího algoritmu pro jeho dešifrování místně a vyzvání k uložení do vašeho počítače. Z důvodu omezení LocalStorage by to v praxi bylo nemožné.
SpiderOak ve skutečnosti poskytuje webovou aplikaci, ačkoli doporučuje, aby ji nepoužívala, protože musí ukládat šifrovací klíč SpiderOak do paměti na svých serverech, zatímco budete mít přístup k vašim souborům. Oni říkají, že to poskytují jako výsledek "ohromující poptávky zákazníků" - dokonce i na službě, která je nejlépe známá svým šifrováním a bezpečností, zákazníci většinou vyžadují pohodlnější a nejisté možnosti.
Žádné filtrování nevyžádané pošty, vyhledávání a další inteligentní funkce
Služby jako Gmail jsou zvláštní, protože nabízejí doplňkové služby namísto toho, že jsou pouze schránkou, která obsahuje všechny vaše e-maily. Například služba Gmail zkoumá příchozí e-maily a spustí filtr proti spamu, aby zjistil, zda je to nevyžádané.Služba Gmail indexuje váš e-mail, takže můžete rychle prohledat. Gmail se podívá na obsah e-mailu částečně, aby zjistil, zda je důležitý, a umožňuje vám nastavit filtry, které automaticky provádějí akce založené na obsahu e-mailu.
Všechny tyto funkce se opírají o Gmail - a Google - o schopnost pochopit váš e-mail a mít přístup. Pokud neměli přístup, nemohli provést filtrování nevyžádané pošty, povolit filtrování e-mailů na základě jejich obsahu nebo vám umožňují vyhledávat ve vaší doručené poště.Takže mnoho z nejdůležitějších funkcí závisí na službě, která má přístup k vašim souborům.
Žádné obnovení hesla
Většina online služeb nabízí mechanismy obnovení hesla. Pro skutečně zabezpečené lokální šifrování však nemůže existovat mechanismus obnovení hesla. Máte šifrovací klíč, který dešifruje vaše soubory. Pokud ztratíte přístup k tomuto klíči, nebudete moci soubory dešifrovat.
Bylo by nemožné nabídnout mechanizmus "obnovení hesla", pokud služba neznal obsah těchto dat. Služby to mohou udělat nyní, protože vaše heslo je jen způsob, jak se ověřit pomocí účtu - to není povinný kód, který zpřístupňuje vaše data. Dokonce i kdyby se služby mohly jednoduše přesunout do šifrování koncového bodu, přineslo by jim to pauzu - mnoho průměrných uživatelů zapomnělo na šifrovací klíče, ztratilo své údaje, stěžovalo si a pak se přestěhovalo do nešifrovaného poskytovatele. Služba by měla být povzbuzována k uvolnění šifrování.
SpiderOak se snaží svým uživatelům pomoci tím, že jim při nastavování účtu posílá heslo, které jim poskytli, ale nemůže zcela obnovit heslo. Zapomeňte na heslo a soubory jsou pryč, za předpokladu, že nejsou uloženy v místním počítači.
Chtějí prodat vaše data nebo cílovou reklamu
Nebudeme se předstírat jinak: Mnoho služeb také chce analyzovat vaše osobní údaje a použít je k vydělávání peněz. Společnost Google skenuje vaše e-maily a používá informace, které o vás mají, aby zobrazovaly cílené reklamy, ale přinejmenším neprodávají tyto osobní údaje jiným společnostem. Společnost Facebook prodává vaše osobní údaje přímo jiným společnostem. Služby
potřebují přístup k vašim datům, aby tak mohli udělat, takže jsou motivováni k tomu, aby neposkytovali silné šifrování typu end-to-end.
Jedná se zdaleka jen o důvody, proč místní šifrování a dešifrování vašich osobních údajů není pro většinu cloudových služeb spouštěno. Doufáme, že vysvětlil obtížné problémy a vysvětlil, proč tolik vašich dat je teoreticky čitelné ostatními lidmi. Mohou existovat jednodušší způsoby, jak implementovat některé funkce šifrování - například tím, že uživatelům umožníte posílat šifrovaný e-mail prostřednictvím Gmailu, ale neočekávejte, že by se vše brzy mohlo šifrovat a dešifrovat. Obrázek
: Andy Roberts na Flickr
