30Aug

Miks enamik veebiteenuseid ei kasuta end-to-end krüpteerimist

Hiljutised ilmutused valitsuse järelevalve kohta tõstatasid küsimuse: miks mitte pilveteenuseid krüptida teie andmed? Noh, nad tavaliselt teie andmeid krüpteerivad, kuid neil on võti, nii et nad saaksid selle mis tahes ajal soovi korral dekrüpteerida.

Tõeline küsimus on järgmine: miks veebiteenused krüpteerivad ja ei krüpteerivad teie andmeid kohapeal, nii et see oleks krüptitud vormis salvestatud, keegi ei saa seda ära uurida? LastPass teeb seda teie parooli andmebaasiga.

Kuidas lõppeesmärkide krüptimine erineks

Et oleks selge, on teie andmed tõenäoliselt krüptitud. Võtame näiteks Dropboxi. Kui ühendate Dropboxi, teisaldab Dropbox kõik andmed krüptitud ühenduse kaudu, nii et keegi ei saa seda transiidi kaudu üle vaadata. Dropbox lubab, et nad salvestavad failid oma serverites krüptitud kujul.

Kuid krüptimine on lukk ja kas midagi on lukustatud on vähem oluline kui see, kellel on võti. Dropboxil on krüpteerimisvõtme, et kõiki oma serveris olevaid faile vaadata, nii et kui see on tõsi, et see on krüpteeritud, on ka tõsi, et Dropboxil on neile täielik juurdepääs ja et nad saaksid teha koostööd valitsuse järelevalvega või petturitest töötajad võivad teie failid läbi vaadata.

Idee "lõpp-to-end krüpteerimine" - võite ka viidata sellele kui "kohalik krüpteerimine ja dekrüptimine" - on erinev. End-to-end krüpteerimisega on andmed dekrüpteeritud ainult lõpp-punktides. Teisisõnu krüpteeritakse all-to-end krüpteerimisega saadetud e-kirjad allikast, lugemata teenusepakkujatele, nagu Gmaili transiit, ja seejärel selle lõpp-punkti abil dekrüpteerida.Äärmiselt oluline, et e-kiri kustutaks ainult oma arvuti lõpptarbijale ja jääks krüptitud ja loetamatuks kujul e-posti teenusesse nagu Gmail, kellel ei oleks võtmeid selle dekrüpteerimiseks. See on palju raskem.

Allalaadimine ja kohalik dekrüpteerimine

Nagu eespool mainitud, kasutab LastPass veebibrauseris kohalikku krüptimist ja dekrüpteerimist. See laadib alla teie paroolid sisaldava krüptitud liba, dekrüpteerib selle teie parooliga ja võimaldab teil oma paroolid juurde pääseda. Pange tähele, et LastPass peab teie paroolide ja muude andmete varjestuse allalaadimiseks selle lahti krüptima. LastPassi puhul töötab see lihtsalt hästi - see on suhteliselt väike fail.

Kuid see ei oleks ükskõik kusgi nii lihtne, kui seda teha teiste veebiteenustega. Näiteks kui Gmail töötab samamoodi, peab Gmail laadima alla kogu teie 5 GB elektronposti postkasti sisaldava faili teie arvutisse. Selle jaoks võiks ehk kasutada HTML5-i LocalStorage'i spetsifikatsiooni, kui LocalStorage saaks rohkem andmeid säilitada. See fail peaks seejärel dekrüpteerima kohapeal, et anda juurdepääs oma e-posti postkastile, mis võtab mõne aja pärast aega.

Võimalik, et Gmail saaks seda teha erinevalt, eraldi fail, mis esindab iga uue krüptitud e-posti. Kuid meilikliendi arhitektuuri sellisel viisil on nii palju keerulisem.

See oleks tegelikult enam-vähem võimatu täna - LocalStorage on sageli piiratud 5 MB või vähem ühe veebisaidi populaarne brauserid. Spetsifikatsioon ütleb, et kasutajatel peaks olema võimalus seda piiri suurendada, kui nad seda soovivad, kuid vähesed brauserid seda rakendavad.

Ei turvatud veebirakendusi

Pilvmäluseadmed nagu SpiderOak ja Wuala erinevad Dropboxist - need pakuvad täielikku kohalikku krüptimist ja dekrüpteerimist. Paigaldage SpiderOakile või Wualale töölauarakendus ja nad laadivad enne nende üleslaadimist oma faile krüptida, nii et teenus ise ei teata, mida te oma salvestate, ja -l on nende juurdepääsuks vajalik teie krüpteerimisvõti.

Kuid need teenused erinevad Dropboxist ka muul viisil - nad ei julgusta veebiliidese kasutamist lihtsaks juurdepääsuks. Dropboxil on lihtne veebiprofiil, mis võimaldab teil oma faile juurde pääseda, sest see mõistab, millised on need failid. SpiderOak ja Wuala ei saa aru, mida saate salvestada, nii et neile on lihtsam lihtsalt alla laadida kõik krüptitud pleidid oma töölauarakendusega ja lasta töölaual programmil kõvasti tööd teha.

Need teenused peaksid võimaldama teil krüptitud failinimedest krüptitud faili dekrüpteerida ja arusaadavalt aru saada( näiteks LocalStorage kaudu), kasutada dekrüpteerimisalgoritmi selle kohapeal dekrüpteerimiseks, seejärel paluda teil seda oma arvutisse salvestada. LocalStorage'i piirangute tõttu oleks see praktikas võimatu.

SpiderOak pakub tegelikult veebirakendust, kuigi nad soovitavad seda mitte kasutada, sest see peab salvestama SpiderOaki krüpteerimisvõtme oma serverite mällu, kui te oma failidele pääsete juurde. Nad ütlevad, et nad pakuvad seda "tohutu tarbijate nõudluse" tõttu - isegi kõige paremini selle krüpteerimise ja turvalisuse jaoks pakutava teenuse puhul nõuavad tarbijad üha enam mugavamatest ja ebakindlatest valikuvõimalustest.

Ei sisalda rämpsposti filtreerimist, otsingut ja muid nutikasid funktsioone.

-teenused, nagu Gmail, on erilised, kuna pakuvad lisateenuseid, mitte lihtsalt kasti, mis hoiab teie e-posti. Näiteks uurib Gmail sissetulevaid e-kirju ja käitab rämpspostifilti selle vastu, et määrata, kas see on rämps. Gmail indekseerib teie e-posti, et saaksite selle kiiresti otsida. Gmail vaatab osaliselt läbi e-posti sisu, et määrata, kas see on oluline, ja võimaldab teil seada filtrid, mis toimivad automaatselt e-kirja sisu põhjal.

Kõik need funktsioonid sõltuvad Gmaili ja Google'i suutlikkusest mõista teie e-kirju ja juurdepääsu neile. Kui neil ei olnud juurdepääsu, ei saanud nad rämpsposti filtreerida, lubaksid nende sisu sisu põhjal filtreerida e-kirju või lubaksite otsida oma postkasti. Paljud kõige olulisemad funktsioonid sõltuvad teenusest, millel on juurdepääs teie failidele.

Nr parooli taastamine

Enamik võrguteenuseid pakuvad paroolide taastamise mehhanisme. Tõeliselt turvalise kohaliku krüptimise saamiseks ei saa aga parooli taastamise mehhanismi kasutada. Teil on oma krüpteerimisvõti, mis dekrüpteerib teie faile. Kui kaotate juurdepääsu sellele võtmele, ei saa te oma faile dekrüpteerida.

Oleks võimatu pakkuda parooli lähtestamise mehhanismi, kui teenus ei teaks andmete sisu. Teenused saavad seda teha kohe, kuna teie parool on teie konto autentimine - see ei ole kohustuslik kood, mis muudab teie andmed kättesaadavaks. Isegi kui teenused võiksid kergesti liikuda lõpptähisega krüpteerimiseks, aitaksid need pausi - paljud keskmised kasutajad unustavad oma krüpteerimisvõtmeid, kaotavad oma andmed, kurdavad ja seejärel liiguvad krüpteerimata pakkujalt. Teenust julgustatakse krüpteeringut lõdvestuma.

SpiderOak üritab oma kasutajatele aidata, pakkudes neile parooli vihjet, mida nad konto loomise ajal pakkusid, kuid ta ei saa parooli täielikult taastada. Unusta oma parool ja teie failid on kadunud, eeldades, et neid pole kohalikus arvutis salvestatud.

nad tahavad müüa teie andmeid või sihitud reklaame

Me ei kavatse ekselda teisiti: Paljud teenused soovivad ka teie isikuandmeid analüüsida ja raha teenida. Google skaneerib teie e-kirju ja kasutab teie kohta teavet, mille abil saate sihitud reklaame esitada, kuid vähemalt nad ei müü seda isiklikku teavet teistele ettevõtetele. Facebook müüb teie isikuandmeid otse teistele ettevõtetele. Teenused

vajavad teie andmetele juurdepääsu, et nad saaksid seda teha, nii et neil oleks motiveeritud mitte pakkuma tugevalt, otseülekandena krüptimist.

Need on kaugel ainukestest põhjustest, miks teie isikuandmete kohalik krüpteerimine ja dekrüpteerimine enamiku pilvteenuste jaoks ei käivitu. Loodame, et see on selgitanud keerukaid probleeme ja selgitas, miks nii palju teie andmeid teiste inimeste jaoks teoreetiliselt loetavad. Võib olla lihtsam viis mõnede krüpteerimisfunktsioonide rakendamiseks - näiteks lubades kasutajatel saata krüptitud e-kirju Gmaili kaudu, kuid ei looda, et kõik muutuks varsti kohapeal krüpteeritud ja dekrüpteeritud.

Image Credit: Andy Roberts Flickr

-st