30Aug

Çoğu Web Hizmetleri Uçtan-uca Şifreleme Kullanmama Neden

Hükümet gözetimi ile ilgili son açıklamalar, şu soruyu gündeme getirdi: bulut hizmetleri neden verilerinizi şifrelemiyor? Genellikle verilerinizi şifrelerler, ancak anahtarları vardır, böylece istediğiniz zaman şifresini çözebilirler.

Asıl soru şuydu: Web hizmetleri kimseyi neden verilerinizi şifrelemiyor ve şifrelerini çözüyor, böylece hiç kimse gizlice şifrelenemeyecek bir şifrelenmiş formda saklanıyor mu? Sonuçta, LastPass bunu şifre veritabanı ile yapar.

Uçtan uca Şifreleme Nasıl Farklı Olabilir

Belirgin olmak gerekirse, verileriniz muhtemelen şifrelidir.Örneğin Dropbox'ı alalım. Dropbox'a bağlandığınızda, Dropbox şifrelenmiş bir bağlantı üzerinden tüm verileri aktarır, böylece kimse transit geçiş yapamaz. Dropbox, dosyalarınızı şifreli biçimde sunucularında sakladıklarını taahhüt eder.

Ancak, şifreleme bir kilittir ve bir şey kilitli olup olmadığı anahtardan kiminkinden daha az önemlidir. Dropbox, tüm dosyalarınızı sunucularında görüntülemek için şifreleme anahtarına sahiptir; bu nedenle, şifrelenmiş olduğu doğruysa, Dropbox'ın tam erişimi olduğu ve devlet gözetimiyle işbirliği yapabilecekleri veya sahte bir çalışanın dosyalarınıza erişebilecekleri doğrudur.

"Uçtan uca şifreleme" fikri - buna "yerel şifreleme ve şifre çözme" olarak da bakabilirsiniz - farklıdır. Uçtan uca şifreleme ile, veriler yalnızca bitiş noktalarında çözülür. Başka bir deyişle uçtan uca şifreleme ile gönderilen bir e-postada kaynak şifrelenir, iletilirken Gmail gibi servis sağlayıcıları okunamaz ve bitiş noktasında şifreli çözülür.Önemli olarak, e-posta yalnızca son kullanıcıları için bilgisayarlarında çözülecekti ve şifrelenmiş okunamayan biçimde Gmail gibi şifre çözmek için kullanılabilecek anahtarlara sahip olmayan bir e-posta hizmetinde kalacaktı.Bu çok daha zor.

İndirme ve Yerel Şifreleme

Yukarıda belirttiğimiz gibi LastPass, web tarayıcınız aracılığıyla yerel şifreleme ve şifre çözme yöntemlerini kullanmaktadır. Parolalarınızı içeren şifreli bir blob indirir, şifrenizle şifresini çözer ve parolalarınıza erişmenizi sağlar. LastPass'in şifresini çözmek için tüm kasası ve diğer verileri indirmesi gerektiğini unutmayın. LastPass durumunda, bu işe yarıyor - oldukça küçük bir dosya.

Bununla birlikte, diğer web servisleriyle bunu yapmak kadar kolay olmamıştı.Örneğin, Gmail benzer şekilde çalıştıysa, Gmail 5 GB'lık e-posta gelen kutusunun tamamını temsil eden bir dosyayı bilgisayarınıza indirmesi gerekecektir. LocalStorage daha fazla veri depolayabilirse belki de HTML5'in LocalStorage belirtimini kullanabilir. Bu dosyanın daha sonra, eposta gelen kutusuna erişmek için yerel olarak şifrelerinin çözülmesi gerekecek ve bu biraz zaman alacak.

Gmail'in bunu yeni, şifrelenmiş e-postaların her birini temsil eden ayrı bir dosya ile farklı şekilde yapması mümkündür. Ancak bir e-posta istemcisini bu şekilde tasarlamakla çok daha fazla karmaşıklık söz konusudur.

Bu, günümüzde neredeyse imkânsız ya da imkânsız olacaktır - LocalStorage, popüler tarayıcılarda genellikle web sitesi başına 5 MB veya daha azıyla sınırlıdır. Spesifikasyon, kullanıcıların istedikleri takdirde bu sınırı artırması gerektiğini, ancak bunu uygulayan çok az tarayıcı olduğunu söylüyor.

Güvenli Web Uygulamaları Yok

SpiderOak ve Wuala gibi bulut depolama hizmetleri, Dropbox'tan farklıdır - eksiksiz yerel şifreleme ve şifre çözme sağlarlar. SpiderOak veya Wuala için masaüstü programını yükleyin; dosyalarınızı yüklemeden önce şifreleyebilirler; böylece servisin kendisi ne depoladığınızı asla bilemez ve şifreleme anahtarınız bunlara erişmek için gereklidir.

Bununla birlikte, bu hizmetler diğer yollarla da Dropbox'dan farklıdır - kolay erişime yönelik bir web arayüzü kullanılmasını teşvik etmezler. Dropbox'ın dosyalarınıza erişmenizi sağlayan bir web uygulaması sunması kolay çünkü bu dosyaların ne olduğunu biliyor. SpiderOak ve Wuala ne depoladığınızı anlamıyor, bu nedenle masaüstü programıyla tüm şifrelenmiş blobları indirmenize ve masaüstü programın zor işi yapmasına izin vermek onlar için çok daha kolay.

Bu hizmetler, şifreli dosya adlarını şifresini çözüp anlamanıza, şifrelenmiş dosyayı tarayıcınıza( belki de LocalStorage aracılığıyla) indirmeye, yerel olarak şifre çözmek için bir şifre çözme algoritması kullanmanıza, ardından bilgisayarınıza kaydetmenizi ister. LocalStorage'ın sınırlamaları nedeniyle, bu uygulamada imkansız olacaktır.

SpiderOak aslında bir web uygulaması sağlar, ancak dosyalarınıza erişirken SpiderOak şifreleme anahtarını kendi sunucularında belleğe kaydetmesi gerektiği için bunu kullanmamayı önerirler. Onu "ezici müşteri talebi" nün bir sonucu olarak sağladıklarını söylüyorlar; şifreleme ve güvenlik ile tanınan en iyi hizmeti bile, müşteriler ezici bir çoğunlukla daha rahat, güvensiz seçenekler talep ediyor.

Spam Filtreleme, Arama ve Diğer Akıllı Özellikleri Yok

Gmail gibi hizmetler, yalnızca e-postalarınızın tümünü taşıyan bir kutu olmak yerine ek hizmetler sunması bakımından özel bir konudur.Örneğin, Gmail, gelen e-postayı inceler ve önemsiz olup olmadığını belirlemek için ona karşı bir spam filtresi uygular. Gmail e-postanızı hızlı bir şekilde arayabilmeniz için dizine ekler. Gmail, bir e-postanın içeriğinin kısmen olup olmadığını belirlemek için önemsiz olup olmadığını belirler ve bir e-postanın içeriğine dayalı işlemleri otomatik olarak gerçekleştiren filtreler oluşturmanıza izin verir.

Bu özelliklerin tümü, e-postanızı anlamak ve erişebilmek için Gmail ve Google'a güveniyor. Erişim iznine sahip değillerse, spam filtreleme yapamaz, e-postaların içeriğine göre filtrelenmesini sağlayamaz veya gelen kutunuzu aramana izin veremezlerdi. Dolayısıyla, en önemli özelliklerin çoğu, dosyalarınıza erişimi olan hizmete bağlıdır.

Şifre Kurtarma Yok

Çoğu çevrimiçi hizmet şifre kurtarma mekanizmaları sunuyor. Bununla birlikte, gerçek anlamda güvenli yerel şifreleme için bir şifre kurtarma mekanizması olamaz. Dosyalarınızın şifresini çözen şifreleme anahtarınız var. Bu anahtara erişimi kaybederseniz dosyalarınızın şifresini çözemezsiniz.

Servisin verilerin içeriğini bilmediği sürece bir "şifre sıfırlama" mekanizması sunmak mümkün değildir. Hizmetler şimdi bunu yapabilir; çünkü şifreniz hesabınızla kimliğinizi doğrulamanın bir yoludur - verilerinizi erişilebilir hale getiren zorunlu bir kod değildir. Hizmetler, uçtan uca şifrelemeye kolayca geçebilseler de, bu onları durdurabilir - birçok ortalama kullanıcı şifreleme anahtarlarını unutur, veri kaybeder, şikayet eder ve şifrelenmemiş bir sağlayıcıya geçer. Hizmet, şifrelemeyi rahatlatmaya teşvik edilecekti.

SpiderOak, hesabı kurarken sağladıkları parola ipucunu göndermeyi teklif ederek kullanıcılarına yardımcı olmaya çalışıyor ancak şifreyi tamamen sıfırlayamıyor. Parolanızı unutun ve dosyalarınız kayboldu, yerel bir bilgisayarda saklanmadıklarını varsayarsak.

Verilerinizi Satmak İstiyorlar ya da Hedef Reklamları

Aksini taklit etmeyeceğiz: Çoğu hizmet kişisel verilerinizi analiz etmek ve para kazanmak için kullanmak istiyor. Google e-postalarınızı tarar ve hakkınızda sahip olduğunuz bilgilerin hedefli reklamlar sunması için kullanmasına karşın, en azından bu kişisel bilgileri diğer şirketlere satmaz. Facebook, kişisel bilgilerinizi doğrudan diğer şirketlere satmaktadır.

Hizmetleri verilerinize erişebilmeleri için bunu yapabilmeleri için ihtiyaç duyduklarından, güçlü uçtan uca şifreleme sağlamamaya teşvik edilmektedirler.

Kişisel verilerinizin yerel olarak şifrelenmesi ve şifresinin çözülmesinin neden bulut hizmetlerinin büyük çoğunluğu için başlangıç ​​olmaması için tek nedeni bu değildir. Umarız zorlu sorunlarla ilgili biraz ışık tutuyor ve verilerinizin neden bu kadarının teorik olarak diğer insanlar tarafından okunabilir olduğunu açıklıyor. Bazı şifreleme özelliklerini uygulamak için daha kolay yollar olabilir - örneğin, kullanıcıların Gmail yoluyla şifrelenmiş bir e-posta göndermelerine izin vererek - ancak her şeyin yakında yerel olarak şifrelenip şifrelenmesini beklemeyin.

Resim Kredisi: Andy Roberts, Flickr

'da