30Aug
Nedávne zistenia o vládnom dohľade vyvolali otázku: Prečo služby cloud nezašifrujú vaše dáta? No, oni spravidla šifrujú vaše dáta, ale majú kľúč, aby ich mohli dešifrovať kedykoľvek sa im páči.
Skutočná otázka: Prečo webové služby šifrujú a dešifrujú vaše dáta lokálne, takže sú uložené v šifrovanej forme, ktorú nikto nemôže spať?LastPass to robí s vašou databázou hesiel.
Ako by end-to-end šifrovanie bolo iné
Ak chcete byť jasné, vaše dáta sú pravdepodobne šifrované.Vezmime napríklad Dropbox. Keď sa pripojíte k Dropboxu, Dropbox prenesie všetky dáta cez šifrované pripojenie, takže nikto nemôže na ňom prechádzať.Dropbox tiež sľubuje, že ukladajú vaše súbory na svojich serveroch v šifrovanej podobe.
Šifrovanie je však zámok a či je niečo zamknuté, je menej dôležité ako ten, kto má kľúč.Dropbox má šifrovací kľúč na prezeranie všetkých súborov na svojich serveroch, takže zatiaľ čo je pravda, že je šifrovaný, je tiež pravda, že Dropbox má k nim plný prístup a že môžu spolupracovať s vládnym dozorom, alebo by mohol neoprávnený zamestnanec prechádzať cez vaše súbory.
Myšlienka "end-to-end šifrovania" - na ktorú by ste sa mohli tiež odvolávať ako na "lokálne šifrovanie a dešifrovanie" - je odlišná.Pri šifrovaní typu end-to-end sú údaje dešifrované iba v koncových bodoch. Inými slovami, e-mail odoslaný s end-to-end šifrovaním by bol šifrovaný na zdroji, nečitateľný pre poskytovateľov služieb, ako je Gmail v režime tranzitu a potom dešifrovaný na svojom koncovom bode. Rozhodujúce by bolo, že e-mail bude dešifrovaný iba pre koncového používateľa na svojom počítači a zostane v šifrovanej, nečitateľnej podobe na e-mailovú službu, ako je Gmail, ktorá by nemala k dispozícii kľúč na jeho dešifrovanie. Je to oveľa zložitejšie.
Stiahnutie a lokálne dešifrovanie
Ako sme už spomenuli, LastPass používa lokálne šifrovanie a dešifrovanie prostredníctvom vášho webového prehliadača. Stiahne zašifrované šablóny obsahujúce vaše heslá, dešifruje ich pomocou hesla a umožní vám prístup k vašim heslám. Upozorňujeme, že LastPass musí načítať celú vaňu hesiel a ďalších údajov na dešifrovanie. V prípade LastPass to funguje dobre - je to dosť malý súbor.
Avšak by to nebolo tak blízko, aké by bolo ľahké to urobiť s inými webovými službami. Ak napríklad služba Gmail fungovala podobne, Gmail bude musieť do vášho počítača prevziať súbor reprezentujúci celú vašu 5-mailovú doručenú poštu. Možno by to mohlo použiť špecifikáciu LocalStorage vo formáte HTML5, ak by LocalStorage mohlo ukladať viac údajov. Tento súbor by potom musel byť dešifrovaný lokálne, aby vám poskytol prístup do vašej e-mailovej schránky, čo chvíľu trvá.
Je možné, že to môže Gmail urobiť inak, pričom samostatný súbor predstavuje každý nový šifrovaný e-mail. Ale v architektúre e-mailového klienta je tu oveľa viac zložitosti.
Toto by bolo v skutočnosti viac alebo menej nemožné - LocalStorage je často obmedzený na 5 MB alebo menej na jeden web v populárnych prehliadačoch.Špecifikácia hovorí, že používatelia by mali mať možnosť zvýšiť tento limit, ak sa im to páči, ale len málo prehliadačov to implementuje.
Žiadne zabezpečené webové aplikácie
Služby pre ukladanie dát v cloude, ako SpiderOak a Wuala, sa líšia od Dropbox - poskytujú úplné lokálne šifrovanie a dešifrovanie. Nainštalujte program pre stolné počítače pre aplikáciu SpiderOak alebo Wuala a pred nahratím súborov šifrujú vaše súbory, takže samotná služba nikdy nevie, čo ukladáte, a váš šifrovací kľúč je potrebný na prístup k nim.
Tieto služby sa však líšia od služby Dropbox aj inými spôsobmi - nepodporujú používanie webového rozhrania na jednoduchý prístup. Pre Dropbox je jednoduché poskytnúť webovú aplikáciu, ktorá vám umožní prístup k súborom, pretože vie, čo sú tieto súbory. SpiderOak a Wuala nerozumejú tomu, čo ukladáte, takže je pre nich oveľa jednoduchšie, aby vám umožnili prevziať všetky šifrované medzery so stolným programom a nechať desktopový program robiť náročnú prácu.
Tieto služby by mali umožniť dešifrovanie a pochopenie šifrovaných názvov súborov, prevzatie šifrovaného súboru do vášho prehliadača( možno cez LocalStorage), použitie dešifrovacieho algoritmu na jeho dešifrovanie lokálne a následné vyžiadanie uloženia do počítača. Kvôli obmedzeniu LocalStorage by to v praxi nebolo možné.
SpiderOak vlastne poskytuje webovú aplikáciu, hoci odporučí, aby ju nepoužívala, pretože musí uchovávať šifrovací kľúč SpiderOak v pamäti na svojich serveroch počas prístupu k súborom. Hovorí sa, že to poskytujú ako výsledok "ohromného dopytu zákazníkov" - dokonca aj na službe, ktorá je najlepšie známa svojim šifrovaním a bezpečnosťou, zákazníci prevažne vyžadujú pohodlnejšie a neisté možnosti.
Žiadne filtrovanie spamu, vyhľadávanie a ďalšie inteligentné funkcie
Služby, ako je služba Gmail, sú špeciálne, pretože poskytujú dodatočné služby namiesto toho, aby boli len schránkou, ktorá obsahuje všetky vaše e-maily. Služba Gmail napríklad skúma prichádzajúce e-maily a spustí proti nemu filter nevyžiadanej pošty, aby zistila, či je to nevyžiadané.Služba Gmail indexuje váš e-mail, aby ste ho mohli rýchlo vyhľadať.Gmail sa pozrie na obsah e-mailu čiastočne, aby určil, či je to dôležité, a umožňuje vám nastaviť filtre, ktoré automaticky vykonávajú akcie založené na obsahu e-mailu.
Všetky tieto funkcie sa spoliehajú na Gmail - a Google - sú schopní pochopiť váš e-mail a mať prístup. Ak nemali prístup, nemohli filtrovať nevyžiadanú poštu, umožňovať filtrovanie e-mailov na základe ich obsahu alebo vám umožňujú vyhľadávať vo vašej doručenej pošte. Toľko najdôležitejších funkcií závisí od služby, ktorá má prístup k vašim súborom.
Bez obnovenia hesla
Väčšina online služieb ponúka mechanizmy obnovenia hesla. Avšak pre skutočne bezpečné lokálne šifrovanie nemôže existovať mechanizmus obnovenia hesla. Máte šifrovací kľúč, ktorý dešifruje vaše súbory. Ak stratíte prístup k tomuto kľúču, nebudete môcť dešifrovať súbory.
Bolo by nemožné ponúknuť mechanizmus "resetovania hesla", pokiaľ služba nevedela obsah dát. Služby to môžu urobiť teraz, pretože vaše heslo je len spôsob, ako sa overiť pomocou vášho účtu - nie je to povinný kód, ktorý sprístupňuje vaše dáta. Aj keď by sa služby mohli ľahko presunúť do šifrovania koncového bodu, dával by im to pauzu - veľa priemerných používateľov zabudlo na svoje šifrovacie kľúče, stratilo ich údaje, sťažovalo sa a potom sa presunulo na nešifrovaného poskytovateľa. Služba by bola povzbudená k uvoľneniu šifrovania.
Spoločnosť SpiderOak sa snaží svojim používateľom pomôcť tým, že im pri nastavovaní účtu poslali informácie o heslách, ktoré poskytli, ale nemôžu úplne obnoviť heslo. Zabudnite svoje heslo a vaše súbory sú preč, za predpokladu, že nie sú uložené v lokálnom počítači.
Chcú predávať vaše údaje alebo cielené reklamy
Nebudeme predstierať inak: mnohé služby tiež chcú analyzovať vaše osobné údaje a použiť ich na zarábanie peňazí.Spoločnosť Google skenuje e-maily a používa informácie, ktoré majú o vás, aby prezentovali zacielené reklamy, ale prinajmenšom tieto osobné údaje nepredávajú iným spoločnostiam. Spoločnosť Facebook predáva vaše osobné údaje priamo iným spoločnostiam. Služby
potrebujú prístup k vašim údajom, aby tak mohli urobiť, a preto nie sú motivovaní poskytovať silné šifrovanie typu end-to-end.
Tieto sú ďaleko od jediných dôvodov, prečo miestne šifrovanie a dešifrovanie vašich osobných údajov nie je pre väčšinu cloudových služieb základom pre štart. Dúfame, že vysvetli ťažké problémy a vysvetlil, prečo toľko vašich údajov je teoreticky čitateľné inými ľuďmi. Môžu existovať jednoduchšie spôsoby, ako implementovať niektoré funkcie šifrovania - napríklad tým, že používateľom umožníte posielať zašifrovaný e-mail prostredníctvom Gmailu - ale nečakajte, že všetko sa čoskoro stane miestnym šifrovaním a dešifrovaním.
Image Credit: Andy Roberts na Flickr
