30Aug

Kodėl dauguma žiniatinklio paslaugų nenaudoja galutinio šifravimo

Neseniai atskleidimai apie vyriausybės priežiūrą kelia klausimą: kodėl debesų paslaugos neapsaugo jūsų duomenų?Paprastai jie paprastai šifruoja jūsų duomenis, tačiau jie turi raktą, kad galėtumėte jo iššifruoti bet kuriuo metu.

Tikrasis klausimas yra toks: kodėl žiniatinklio paslaugos šifruoti ir iššifruoti duomenis jūsų vietoje, kad ji būtų saugoma šifruotoje formoje, niekas negalės šnipinėti?"LastPass" tai daro su slaptažodžių duomenų baze.

Kaip gali būti kitoks "End-to-End" šifravimas

Kad būtų aišku, jūsų duomenys tikriausiai yra užšifruoti. Paimkime, pavyzdžiui, Dropbox. Kai prisijungiate prie "Dropbox", "Dropbox" visus duomenis perduoda per užkoduotą ryšį, todėl niekas negali jį įkrauti tranzitu. Dropbox taip pat žada, kad jie saugo jūsų failus savo serveryje šifruota forma.

Tačiau šifravimas yra užraktas ir tai, ar kažkas yra užrakintas, yra mažiau svarbus nei tas, su kuo turi raktą.Dropbox turi šifravimo raktą, kad galėtumėte peržiūrėti visus savo failus savo serveriuose, taigi, nors tiesa, kad jis yra užkoduotas, taip pat tiesa, kad "Dropbox" turi visišką prieigą prie jų ir kad jie galėtų bendradarbiauti su vyriausybės stebėjimu arba nesąžiningi darbuotojai galėtų peržiūrėti jūsų failus.

"Galutinio šifravimo" idėja - jūs taip pat galite tai vadinti "vietiniu šifravimu ir iššifravimu" - yra kitokia. Naudojant ištisinį kodavimą, duomenys yra iššifruoti tik pabaigos taškuose. Kitaip tariant, el. Laiškas, siunčiamas su "end-to-end" šifravimu, bus užšifruotas šaltinyje, kurio negalima skaityti paslaugų teikėjams, pvz., "Gmail" tranzitu, ir tada iššifruoti iki galo. Svarbu, kad el. Laiškas būtų tik iššifruotas galutiniam vartotojui savo kompiuteryje ir liktų užšifruotoje, neįskaitomos formos el. Pašto tarnyboje, pvz., "Gmail", kuriam nebūtų raktų, kad būtų galima jį iššifruoti. Tai daug sunkiau.

Atsisiųsti ir vietinė atskyrimas

Kaip jau minėjome, "LastPass" per jūsų naršyklę naudoja vietinį šifravimą ir iššifravimą.Jis atsisiunčia šifruotą jutiklį, kuriame yra jūsų slaptažodžiai, iššifruoja jį savo slaptažodžiu ir leidžia pasiekti slaptažodžius. Atkreipkite dėmesį, kad LastPass turi atsisiųsti visą jūsų slaptažodžių ir kitų duomenų saugyklą, kad ją iššifruotų."LastPass" atveju tai veikia puikiai - tai gana mažas failas.

Vis dėlto tai neturėtų būti taip paprasta padaryti su kitomis žiniatinklio paslaugomis. Pvz., Jei "Gmail" dirbs panašiai, "Gmail" turės atsisiųsti failą, kuriame būtų nurodyta visa jūsų 5 GB el. Pašto dėžutė.Galbūt tai galėtų naudoti HTML5 "LocalStorage" specifikaciją, jei "LocalStorage" galėtų saugoti daugiau duomenų.Tada šį failą reikės iššifruoti vietoje, kad suteiktų prieigą prie jūsų el. Pašto dėžutės, o tai užtruktų.

Gali būti, kad "Gmail" galėtų tai padaryti kitaip, atskirai kiekvienam naujam, užšifruotam el. Laiškui. Tačiau tokiu būdu el. Pašto kliento architektūra yra kur kas sudėtingesnė.

Tai iš tikrųjų būtų labiau ar beveik neįmanoma šiandien - Vietos saugojimo dažnai yra 5 MB ar mažiau vienai svetainę populiariose naršyklėse. Specifikacijoje sakoma, kad vartotojai turėtų galėti padidinti šią ribą, jei nori, tačiau mažai naršyklių ją įgyvendina.

Nėra saugių interneto programų

Debesisinės atminties paslaugos, tokios kaip "SpiderOak" ir "Wuala", skiriasi nuo "Dropbox" - jie suteikia visišką vietinį šifravimą ir iššifravimą.Įdiekite "SpiderOak" arba "Wuala" darbalaukio programą ir prieš jas įkeldami užkoduojate failus, todėl paslauga niekada nežino, ką jūs saugote, o jūsų šifravimo raktas reikalingas jiems pasiekti.

Tačiau šios paslaugos skiriasi nuo "Dropbox" ir kitais būdais - jie nerekomenduoja lengvą prieigą naudoti žiniatinklio sąsają."Dropbox" paprasta pateikti žiniatinklio programą, leidžiančią pasiekti failus, nes supranta, kokie yra šie failai."SpiderOak" ir "Wuala" nesupranta, ką saugote, todėl jiems paprasčiau leisti atsisiųsti visus užkoduotus langelius naudodami darbalaukio programą ir leisti darbalaukio programai atlikti sunkaus darbo.

Šioms paslaugoms turėtų būti suteikta galimybė iššifruoti ir suprasti šifruotus failų pavadinimus, atsisiųsti šifruotą failą į naršyklę( galbūt per LocalStorage), dekodavimo algoritmą iššifruoti vietoje, tada paraginti jį išsaugoti savo kompiuteryje. Dėl "LocalStorage" apribojimų praktiškai tai neįmanoma.

"SpiderOak" iš tikrųjų teikia žiniatinklio programą, nors jos rekomenduoja nenaudoti jos, nes ji turi saugoti savo "SpiderOak" šifravimo raktą savo serverių atmintyje, kai jūs turite prieigą prie savo failų.Jie sako, kad jie teikia tai "didžioji klientų paklausa" - netgi paslaugai, geriausiai žinomai dėl jos šifravimo ir saugumo, klientai daugiausiai reikalauja patogesnių ir nesaugių galimybių.

Nėra šlamšto filtravimo, paieškos ir kitų protingų funkcijų.

paslaugos, pvz., "Gmail", yra ypatingos, nes jos teikia papildomų paslaugų, o ne tiesiog yra dėžutė, kurioje saugomas visas jūsų el. Pašto adresas. Pavyzdžiui, "Gmail" nagrinėja gaunamus el. Laiškus ir naudoja šiukšlių filtrą, kad nustatytų, ar tai yra šlamštas."Gmail" indeksuoja jūsų el. Laišką, kad galėtumėte greitai jį peržiūrėti. Iš tikrųjų "Gmail" iš dalies vertina el. Laiško turinį, kad nustatytų, ar tai svarbu, ir leidžia jums nustatyti filtrus, kurie automatiškai vykdo veiksmus pagal el. Laiško turinį.

Visos šios funkcijos priklauso nuo "Gmail" ir "Google" - kad galėtumėte suprasti jūsų el. Laišką ir turėti prieigą.Jei jie neturėjo prieigos, jie negalėjo atlikti šlamšto filtravimo, įgalinti filtravimą el. Laiškus pagal jų turinį arba leisti ieškoti gautuosiuose. Tiek daug svarbiausių funkcijų priklauso nuo paslaugos, prieigos prie jūsų failų.

Nėra slaptažodžio atkūrimo

Daugelis internetinių paslaugų siūlo slaptažodžio atkūrimo mechanizmus. Tačiau tikrai saugiam vietiniam šifravimui negali būti slaptažodžio atkūrimo mechanizmo. Turite savo šifravimo raktą, kuris iššifruoja failus. Jei prarasite prieigą prie šio raktų, negalėsite iššifruoti savo failus.

Būtų neįmanoma pasiūlyti "slaptažodžio atstatymo" mechanizmo, nebent paslauga žinotų duomenų turinį.Paslaugos gali tai padaryti dabar, nes jūsų slaptažodis yra tik būdas patvirtinti jūsų sąskaitą - tai nėra privalomas kodas, kuris leidžia jūsų duomenis pasiekti. Net jei paslaugos galėtų lengvai pereiti prie visiško šifravimo, tai jiems suteiktų pauzę - daugelis vidutinių vartotojų pamirštų savo šifravimo raktus, praranda duomenis, skundžiasi, o tada perkelia į nešifruotą teikėją.Paslauga bus paskatinta atsipalaiduoti šifravimo.

"SpiderOak" stengiasi padėti savo vartotojams, siūlydamas išsiųsti jiems slaptažodžio užuominą, kurį jie pateikė nustatydami paskyrą, bet jis negali visiškai iš naujo nustatyti slaptažodžio. Pamiršk savo slaptažodį, o jūsų failai nustojo veikti, darant prielaidą, kad jie nėra saugomi vietiniame kompiuteryje.

jie nori parduoti savo duomenis arba tikslinius skelbimus

Mes nesikišame kitaip: daugelis paslaugų taip pat nori analizuoti jūsų asmeninius duomenis ir naudoti jas uždirbti."Google" nuskaito jūsų el. Laiškus ir naudoja informaciją, kurią jie turi apie jus, pateikti tikslius skelbimus, bet bent jau jie nesiųsti šios asmeninės informacijos kitoms įmonėms."Facebook" parduoda jūsų asmeninę informaciją tiesiogiai kitoms įmonėms.

tarnyboms reikalinga prieiga prie jūsų duomenų, kad jie galėtų tai padaryti, taigi jie skatinami nesuteikti tvirto, ištisinio kodavimo.

Tai yra toli nuo vienintelių priežasčių, kodėl jūsų asmeninių duomenų šifravimas ir iššifravimas didžiojoje debesų paslaugų daugumoje nėra starteris. Tikimės, kad ji išsiaiškino sudėtingas problemas ir paaiškino, kodėl tiek daug jūsų duomenų teoriškai gali skaityti kiti žmonės. Gali būti paprastesnių būdų, kaip įgyvendinti kai kurias šifravimo funkcijas: pvz., Leisdami vartotojams siųsti šifruotą el. Laišką per "Gmail", bet nesitikėkite, kad bet kuriuo metu greičiausiai viskas bus užkoduota ir iššifruojama.

Image Credit: Andy Roberts dėl "Flickr

"