30Aug

Miksi useimmat Web-palvelut eivät käytä End-to-End-salausta

Viimeaikaiset ilmoitukset valtion valvonnasta ovat herättäneet kysymyksen: miksi pilvipalvelut eivät salaa tietojasi? He yleensä salaavat tietosi, mutta heillä on avain, jotta he voivat purkaa sen milloin tahansa.

Todellinen kysymys on: Miksi web-palvelut eivät salaa ja salaa tietoja paikallisesti, jotta ne tallennetaan salattuun muotoon kukaan ei voi snoop? LastPass tekee sen salasanatietokannassasi.

Miten End-to-End salaus olisi erilainen

Jotta selkeä, tietosi luultavasti salataan. Otetaan esimerkiksi Dropbox. Kun muodostat yhteyden Dropboxiin, Dropbox siirtää kaikki tiedot salatun yhteyden välityksellä, jotta kukaan ei voi snoopata sen kautta. Dropbox lupaa myös tallentaa tiedostot palvelimissasi salatussa muodossa.

Salaus on kuitenkin lukko ja onko jotain lukittu vähemmän tärkeä kuin kenellä on avain. Dropboxilla on salausavain kaikkien tiedostojen katseluun niiden palvelimilla, joten vaikka onkin totta, että se on salattu, on myös totta, että Dropboxilla on täysi pääsy heihin ja että he voisivat tehdä yhteistyötä hallituksen valvonnan kanssa tai väärennetty työntekijä voisi snoopata tiedostojaan.

Ajatus "end-to-end-salauksesta" - voit myös viitata siihen "paikalliseksi salaukseksi ja salauksenpurkuksi" - on erilainen. Päästä päähän-salauksella tiedot puretaan vain loppupisteissä.Toisin sanoen, pääte-to-end-salauksella lähetetty sähköposti salataan lähteellä, jota ei voida lukea palveluntarjoajille, kuten Gmailin kautta, ja purkaa sitten sen päätepisteessä.Olennaista on, että sähköposti poistetaan vain tietokoneen loppukäyttäjälle, ja se pysyy salatussa, lukukelvottomassa muodossa sähköpostipalveluun, kuten Gmail, jolla ei olisi avaimia purkaa sitä.Tämä on paljon vaikeampaa.

Lataus ja paikallinen salauksen purku

Kuten yllä mainittiin, LastPass käyttää paikallista salausta ja salauksen purkamista verkkoselaimen kautta. Se lataa salatun blobin, joka sisältää salasanasi, purkaa sen salasanalla ja antaa sinun käyttää salasanoja. Huomaa, että LastPassin täytyy ladata koko salasanasi ja muut tiedot salauksen purkamiseksi. LastPassin tapauksessa tämä toimii hyvin - se on melko pieni tiedosto.

Se ei kuitenkaan olisi läheskään yhtä helppoa kuin muiden verkkopalvelujen kanssa. Jos Gmail esimerkiksi toimi samalla tavoin, Gmailin pitäisi ladata tiedosto, joka edustaa koko 5 Gt: n sähköpostiosoitetta tietokoneellesi. Se voisi ehkä käyttää HTML5: n LocalStorage-eritelmää, jos LocalStorage voisi tallentaa lisää tietoja. Tämä tiedosto olisi sitten purettava paikallisesti, jotta pääsy sähköpostisi saapuneeseen postilaatikkoon, joka kestää jonkin aikaa.

Gmail voi tehdä tämän eri tavoin erillisellä tiedostolla, joka edustaa jokaista uutta, salattua sähköpostia. Mutta sähköpostiasiakkaan arkkitehtuuriin liittyy niin paljon monimutkaisempaa tapaa.

Tämä olisi nykyään enemmän tai vähemmän mahdotonta - LocalStorage on usein rajoitettu 5 megatavua kohti vähemmän suosittujen selainten sivuilla. Speksissä sanotaan, että käyttäjien pitäisi pystyä lisäämään tätä rajaa, jos he pitävät, mutta harvat selaimet toteuttavat tämän.

Ei Secure Web Apps

Cloud Storage -palvelut kuten SpiderOak ja Wuala poikkeavat Dropboxista - ne tarjoavat täydellisen paikallisen salauksen ja salauksen. Asenna työpöytäohjelma SpiderOakille tai Wualalle, ja ne salaavat tiedostot ennen niiden lataamista, joten palvelu itse ei koskaan tiedä, mitä tallennat, ja : n -salausavaimesi tarvitaan niiden käyttämiseen.

Nämä palvelut eroavat kuitenkin muistakin tavoista kuin Dropbox - ne eivät kannusta web-käyttöliittymän käyttöä helpottamaan. Dropboxille on helppo tarjota web-sovellus, jonka avulla voit käyttää tiedostoja, koska se ymmärtää, mitä kyseisiä tiedostoja on. SpiderOak ja Wuala eivät ymmärrä, mitä olet tallentamassa, joten on paljon helpompaa ladata kaikki salatut blobit työpöytäohjelmallasi ja antaa työpöytäohjelmalle kovaa työtä.

Näiden palveluiden avulla voit purkaa ja ymmärtää salatut tiedostonimet, ladata salatun tiedoston selaimellesi( ehkä LocalStoragein kautta), käyttää salauksen purkualgoritmia purkamaan sen paikallisesti ja kehottaa sinua tallentamaan sen tietokoneeseesi. LocalStorage: n rajoitusten vuoksi tämä käytännössä olisi mahdotonta.

SpiderOak tosiasiallisesti tarjoaa web-sovelluksen, vaikka ne suosittelevat sitä, koska sen on tallennettava SpiderOak-salausavain muistiin niiden palvelimilla, kun käytät tiedostoja. He sanovat, että ne tarjoavat sen "ylivoimaisen asiakkaiden kysynnän" ansiosta - jopa sen salauksen ja turvallisuuden tunnetuimmassa palvelussa, asiakkaat ylivoimaisesti vaativat käteviä, epävarmoja vaihtoehtoja.

Ei roskapostisuodatusta, hakuja ja muita älykkäitä ominaisuuksia

Gmailin palvelut ovat erityisiä, koska ne tarjoavat lisäpalveluja sen sijaan, että ne olisivat laatikko, joka pitää kaikki sähköpostisi. Esimerkiksi Gmail tutkii saapuvan sähköpostin ja suorittaa roskapostisuodattimen sitä vastaan ​​sen selvittämiseksi, onko se roskakori. Gmail indeksoi sähköpostisi, jotta voit nopeasti hakea sen kautta. Gmail tarkastelee sähköpostin sisältöä osittain sen selvittämiseksi, onko se tärkeä ja jonka avulla voit määrittää suodattimet, jotka automaattisesti suorittavat toimia sähköpostin sisällön perusteella.

Kaikki nämä ominaisuudet tukevat Gmailia - ja Googleia - pystyvät ymmärtämään sähköpostisi ja pääsevät käyttämään. Jos heillä ei ole pääsyä, he eivät voineet suorittaa roskapostisuodatusta, sallii niiden sisällön perusteella sähköpostiviestien suodattamisen tai voit hakea postilaatikkoasi. Niin monet tärkeimmistä ominaisuuksista riippuvat palvelusta, jolla on pääsy tiedostoihisi.

Ei salasanan palautus

Useimmat online-palvelut tarjoavat salasanan palautusmekanismeja. Todella turvallinen paikallinen salaus ei kuitenkaan voi olla salasanan palautusmekanismi. Sinulla on salausavain, joka purkaa tiedostot. Jos menetät tämän avaimen, et voi purkaa tiedostoja.

On mahdotonta tarjota "salasanan nollaus" -mekanismia, ellei palvelu tunne tietosisältöä.Palvelut voivat tehdä tämän nyt, koska salasanasi on vain tapa todentaa tililläsi - se ei ole pakollinen koodi, joka tekee tiedoista käyttöoikeuden. Vaikka palvelut voisivat helposti siirtyä päästä päähän-salaukseen, se antaisi niiden keskeyttämisen - monet keskimääräiset käyttäjät saisivat unohtaa salausavainta, menettää tietonsa, valittaa ja sitten siirtyä salaamattomaan palveluntarjoajaan. Palvelua rohkaistaan ​​rentouttamaan salausta.

SpiderOak yrittää auttaa käyttäjiään tarjoamalla heille salasanat, joita he ovat toimittaneet tilin asettamista varten, mutta salasanaa ei voi palauttaa kokonaan. Unohda salasanasi ja tiedostot ovat poissa, olettaen, että niitä ei ole tallennettu paikalliseen tietokoneeseen.

He haluavat myydä tietojasi tai kohdemainostasi

Emme aio esittää muuta: monet palvelut haluavat myös analysoida henkilötietojasi ja käyttää sitä rahan saamiseen. Google etsii sähköpostiviestejäsi ja käyttää niihin liittyviä tietoja kohdistettujen mainosten näyttämisestä, mutta ainakin he eivät myy näitä henkilötietoja muille yrityksille. Facebook myy henkilökohtaisia ​​tietojasi suoraan muihin yrityksiin.

-palvelut tarvitsevat pääsyn tietoihisi, jotta he voivat tehdä tämän, joten he kannustavat olemaan tarjoamatta vahvaa, päästä päähän-salausta.

Nämä ovat kaukana vain niistä syistä, joiden takia henkilökohtaisten tietojen paikallinen salaus ja salauksen purku on valtaosa pilvipalveluista lähtevää.Toivomme, että se on valaistu vaikeisiin ongelmiin ja selittänyt, miksi niin monet tietosi ovat teoriassa muiden ihmisten luettavissa. Joidenkin salausominaisuuksien käyttöönotto voi olla helpompaa esimerkiksi antamalla käyttäjille mahdollisuuden lähettää salattua sähköpostia Gmailin välityksellä, mutta älä odota, että kaikki salataan ja salaus puretaan.

Kuvauskenttä: Andy Roberts Flickr

: ssä