Skip to main content

Kodėl dauguma žiniatinklio paslaugų nenaudoja galutinio šifravimo

Kodėl dauguma žiniatinklio paslaugų nenaudoja galutinio šifravimo

Geoffrey Carr

Neseniai atskleista vyriausybės priežiūra iškėlė klausimą: kodėl debesų paslaugos neapsaugo jūsų duomenų? Paprastai jie paprastai šifruoja jūsų duomenis, tačiau jie turi raktą, kad galėtumėte jo iššifruoti bet kuriuo metu.

Tikrasis klausimas yra toks: kodėl žiniatinklio paslaugos šifruoti ir iššifruoti duomenis jūsų vietoje, kad ji būtų saugoma šifruotoje formoje, niekas negalės šnipinėti? "LastPass" tai daro su slaptažodžių duomenų baze.

Kaip gali būti kitoks "End-to-End" šifravimas

Kad būtų aišku, jūsų duomenys tikriausiai yra užkoduoti. Paimkime, pavyzdžiui, Dropbox. Kai prisijungiate prie "Dropbox", "Dropbox" visus duomenis perduoda per užkoduotą ryšį, todėl niekas negali jį įkrauti tranzitu. Dropbox taip pat žada, kad jie saugo jūsų failus savo serveryje šifruota forma.

Tačiau šifravimas yra užraktas, o tai, ar kažkas yra užrakintas, yra mažiau svarbus nei tas, kuris turi raktą. Dropbox turi šifravimo raktą, kad galėtumėte peržiūrėti visus savo failus savo serveriuose, taigi, nors tiesa, kad jis yra užkoduotas, taip pat tiesa, kad "Dropbox" turi visišką prieigą prie jų ir kad jie galėtų bendradarbiauti su vyriausybės stebėjimu arba nesąžiningi darbuotojai galėtų peržiūrėti jūsų failus.

Idėja "ištisinis šifravimas" - jūs taip pat galite tai vadinti "vietiniu šifravimu ir iššifravimu" - yra kitokia. Naudojant ištisinį šifravimą, duomenys yra iššifruoti tik pabaigos taškuose. Kitaip tariant, el. Laiškas, siunčiamas su "end-to-end" šifravimu, bus užšifruotas šaltinyje, nesudėtingas paslaugų teikėjams, pvz., "Gmail" transliuojamas, tada iššifruoti iki galo. Svarbu, kad el. Laiškas būtų tik iššifruotas galutiniam vartotojui savo kompiuteryje ir liktų užšifruotoje, neįskaitomos formos el. Pašto tarnyboje, pvz., "Gmail", kuriam nebūtų raktų, kad būtų galima jį iššifruoti. Tai daug sunkiau.

Atsisiųsti ir vietinė atskyrimas

Kaip jau minėjome, "LastPass" naudoja vietinį šifravimą ir iššifravimą per savo naršyklę. Jis atsisiunčia šifruotą jutiklį, kuriame yra jūsų slaptažodžiai, iššifruoja jį slaptažodžiu ir leidžia pasiekti slaptažodžius. Atkreipkite dėmesį, kad "LastPass" turi atsisiųsti visą jūsų slaptažodžių ir kitų duomenų saugyklą, kad ją iššifruotų. "LastPass" atveju tai veikia puikiai - tai gana mažas failas.

Vis dėlto tai neturėtų būti taip paprasta padaryti su kitomis žiniatinklio paslaugomis. Pvz., Jei "Gmail" veiktų panašiai, "Gmail" turės atsisiųsti failą, kuriame būtų nurodyta visa jūsų 5 GB el. Pašto dėžutė su jūsų kompiuteriu. Galbūt tai galėtų naudoti HTML5 "LocalStorage" specifikaciją, jei "LocalStorage" galėtų saugoti daugiau duomenų. Tada šį failą reikės iššifruoti vietoje, kad suteiktų prieigą prie jūsų el. Pašto dėžutės, o tai užtruktų.

Gali būti, kad "Gmail" galėtų tai padaryti kitaip, atskirai kiekvieną naują, užšifruotą el. Laišką. Tačiau tokiu būdu el. Pašto kliento architektūra yra kur kas sudėtingesnė.

Tai iš tikrųjų būtų labiau ar beveik neįmanoma šiandien - "LocalStorage" populiariose naršyklėse dažnai yra 5 MB ar mažiau vienai interneto svetainei. Specifikacijoje sakoma, kad vartotojai turėtų galėti padidinti šią ribą, jei nori, tačiau mažai naršyklių ją įgyvendina.

Nėra saugių interneto programų

Debesis sandėliavimo paslaugos, tokios kaip "SpiderOak" ir "Wuala", skiriasi nuo "Dropbox" - jie užtikrina visišką vietinį šifravimą ir iššifravimą. Įdiekite "SpiderOak" arba "Wuala" darbalaukio programą ir prieš juos įkeldami užkoduojate savo failus, taigi ši paslauga niekada nežino, ką jūs saugote, ir tavo Šifravimo raktas reikalingas jiems prieiti.

Tačiau šios paslaugos skiriasi nuo "Dropbox" ir kitais būdais - jie nerekomenduoja naudoti internetinę sąsają, kad būtų lengviau juos pasiekti. "Dropbox" paprasta pateikti žiniatinklio programą, leidžiančią pasiekti failus, nes supranta, kokie yra šie failai. "SpiderOak" ir "Wuala" nesupranta, ką saugote, todėl jiems paprasčiau leisti atsisiųsti visus užkoduotus langelius naudodami darbalaukio programą ir leisti darbalaukio programai atlikti sunkaus darbo.

Šios paslaugos turėtų leisti jums iššifruoti ir suprasti šifruotus failų pavadinimus, atsisiųsti šifruotą failą į naršyklę (galbūt per LocalStorage), iššifruoti algoritmą iššifruoti vietoje, tada raginti jį išsaugoti savo kompiuteryje. Dėl "LocalStorage" apribojimų praktiškai tai neįmanoma.

"SpiderOak" iš tikrųjų teikia žiniatinklio programą, nors jos rekomenduoja nenaudoti jos, nes ji turi saugoti savo "SpiderOak" šifravimo raktą savo serverių atmintyje, kai jūs turite prieigą prie savo failų. Jie sako, kad jie teikia tai "didžioji klientų paklausa" - netgi paslaugai, geriausiai žinomai dėl jos šifravimo ir saugumo, klientai daugiausia reikalauja patogesnių ir nesaugių galimybių.

Nėra šlamšto filtravimo, paieškos ir kitų protingų funkcijų

Paslaugos, pvz., "Gmail", yra ypatingos, nes jos teikia papildomų paslaugų, o ne tiesiog yra dėžutė, kurioje saugomas visas jūsų el. Pašto adresas. Pavyzdžiui, "Gmail" nagrinėja gaunamus el. Laiškus ir naudoja šiukšlių filtrą, kad nustatytų, ar tai yra šlamštas. "Gmail" indeksuoja jūsų el. Laišką, kad galėtumėte greitai jį surasti. Iš tikrųjų "Gmail" iš dalies vertina el. Laiško turinį, kad nustatytų, ar tai svarbu, ir leidžia nustatyti filtrus, kurie automatiškai atlieka veiksmus pagal el. Laiško turinį.

Visos šios funkcijos priklauso nuo "Gmail" ir "Google" - gali suprasti jūsų el. Laišką ir jo prieigą. Jei jie neturėjo prieigos, jie negalėjo atlikti šlamšto filtravimo, įgalinti filtravimą el. Laiškus pagal jų turinį arba leisti ieškoti gautuosiuose. Tiek daug svarbiausių funkcijų priklauso nuo paslaugos, prieigos prie jūsų failų.

Nėra slaptažodžio atkūrimo

Dauguma internetinių paslaugų siūlo slaptažodžių atkūrimo mechanizmus. Tačiau tikrai saugiam vietiniam šifravimui negali būti slaptažodžio atkūrimo mechanizmo. Turite savo šifravimo raktą, kuris iššifruoja failus. Jei prarasite prieigą prie šio raktų, negalėsite iššifruoti savo failus.

Būtų neįmanoma pasiūlyti "slaptažodžio atstatymo" mechanizmo, nebent paslauga žinotų duomenų turinį. Paslaugos gali tai padaryti dabar, nes jūsų slaptažodis yra tik būdas patvirtinti jūsų sąskaitą - tai nėra privalomas kodas, kuris leidžia jūsų duomenis pasiekti. Net jei paslaugos galėtų lengvai pereiti prie "ištisinio kodo" šifravimo, tai padėtų jiems pristabdyti - dauguma vidutinių vartotojų pamirštų savo šifravimo raktus, praranda duomenis, skundžiasi, o tada perkelia į nešifruotą teikėją. Paslauga bus paskatinta atsipalaiduoti šifravimo.

"SpiderOak" stengiasi padėti savo vartotojams, siūlydamas išsiųsti jiems slaptažodžio užuominą, kurį jie pateikė nustatydami paskyrą, bet jis negali visiškai iš naujo nustatyti slaptažodžio. Pamiršk savo slaptažodį, o jūsų failai nustojo veikti, darant prielaidą, kad jie nėra saugomi vietiniame kompiuteryje.

Jie nori parduoti savo duomenis ar tikslinius skelbimus

Mes neketiname apsimesti kitaip: daugelis paslaugų taip pat nori analizuoti jūsų asmeninius duomenis ir naudoti jas uždirbti. "Google" nuskaito jūsų el. Laiškus ir naudoja informaciją, kurią jie turi apie jus, pateikti tikslius skelbimus, bet bent jau jie nesiųsti šios asmeninės informacijos kitoms įmonėms. "Facebook" parduoda jūsų asmeninę informaciją tiesiogiai kitoms įmonėms.

Paslaugoms reikia prieigos prie jūsų duomenų, kad jie galėtų tai padaryti, taigi jie skatinami neteikti stipraus, ištisinio kodo šifravimo.


Tai yra toli nuo vienintelių priežasčių, kodėl jūsų asmeninių duomenų šifravimas ir iššifravimas didžioji dauguma debesų paslaugų nėra pradinė. Tikimės, kad ji išsiaiškino sudėtingas problemas ir paaiškino, kodėl tiek daug jūsų duomenų teoriškai gali skaityti kiti žmonės. Gali būti paprastesnių būdų, kaip įgyvendinti kai kurias šifravimo funkcijas: pvz., Leisdami vartotojams siųsti šifruotą el. Laišką per "Gmail", bet nesitikėkite, kad bet kuriuo metu greičiausiai viskas bus užkoduota ir iššifruojama.

Link
Plus
Send
Send
Pin