Kodėl dauguma interneto paslaugų nenaudoja „End-to-end“ šifravimo
Paskutiniai atskleidimai apie vyriausybės priežiūrą iškėlė klausimą: kodėl debesų paslaugos nešifruoja jūsų duomenis? Na, jie paprastai užšifruoja jūsų duomenis, tačiau jie turi raktą, kad jie galėtų iššifruoti ją bet kuriuo metu.
Tikrasis klausimas yra toks: kodėl interneto paslaugos nešifruoja ir neiššifruoja jūsų duomenų vietoje, kad ji būtų saugoma šifruotu pavidalu? „LastPass“ tai daro su slaptažodžių duomenų baze.
Kaip būtų kitoks šifravimas nuo pabaigos iki galo
Kad būtų aišku, jūsų duomenys tikriausiai yra užšifruoti. Paimkime, pavyzdžiui, „Dropbox“. Kai prisijungiate prie „Dropbox“, „Dropbox“ perduoda visus duomenis užšifruotu ryšiu, kad niekas negalėtų jį užgniaužti tranzitu. „Dropbox“ taip pat žada, kad saugo jūsų failus savo serveriuose šifruotu pavidalu.
Tačiau šifravimas yra užraktas, ir tai, ar kažkas yra užrakinta, yra mažiau svarbus nei raktas. „Dropbox“ turi šifravimo raktą, kad galėtumėte peržiūrėti visus savo serveriuose esančius failus, taigi tiesa, kad ji yra užšifruota, taip pat tiesa, kad „Dropbox“ turi visišką prieigą prie jų ir kad jie galėtų bendradarbiauti su vyriausybės priežiūra arba nesąžiningas darbuotojas gali peršokti per failus.
„End-to-end šifravimo“ idėja - jūs taip pat galite vadinti jį kaip „vietinį šifravimą ir iššifravimą“. Naudojant šifravimą nuo pabaigos iki galo, duomenys iššifruojami tik galutiniuose taškuose. Kitaip tariant, el. Laiškas, siunčiamas su „end-to-end“ šifravimu, būtų užšifruotas šaltinyje, neskaitomas paslaugų teikėjams, pvz., „Gmail“ tranzitu, ir tada iššifruotas jo gale. Svarbiausia, kad el. Laiškas būtų iššifruotas tik galutiniam vartotojui savo kompiuteryje ir būtų užšifruotas, neskaitytina forma el. Pašto paslaugai, pvz., „Gmail“, kuri neturėtų raktų, kuriuos būtų galima iššifruoti. Tai yra daug sunkiau.
Atsisiųsti ir vietinį iššifravimą
Kaip jau minėjome, „LastPass“ naudoja vietinį šifravimą ir iššifravimą per savo interneto naršyklę. Jis atsisiunčia šifruotą pleistrą, kuriame yra jūsų slaptažodžiai, iššifruoja jį slaptažodžiu ir leidžia pasiekti slaptažodžius. Atkreipkite dėmesį, kad „LastPass“ turi atsisiųsti visą slaptažodžių ir kitų duomenų saugyklą, kad ją iššifruotų. „LastPass“ atveju tai veikia tik gerai - tai gana mažas failas.
Tačiau tai būtų ne taip lengva padaryti su kitomis interneto paslaugomis. Pvz., Jei „Gmail“ veikė panašiai, „Gmail“ savo kompiuteryje turėtų atsisiųsti failą, atstovaujančią visą jūsų 5 GB el. Pašto dėžutę. Tai galbūt galėtų naudoti HTML5 „LocalStorage“ specifikaciją, jei „LocalStorage“ galėtų išsaugoti daugiau duomenų. Tada šis failas turi būti iššifruotas vietoje, kad būtų galima pasiekti jūsų el. Pašto dėžutę, kuri užtruks šiek tiek laiko.
Gali būti, kad „Gmail“ tai gali padaryti kitaip, atskiro failo, kuriame yra kiekvienas naujas, užšifruotas el. Laiškas. Tačiau tokiu būdu el. Pašto kliento architektūra yra tiek daug sudėtingesnė.
Šiandien tai būtų mažiau ar mažiau įmanoma šiandien - „LocalStorage“ dažnai yra ribojama iki 5 MB ar mažiau svetainių populiariose naršyklėse. Specifikacijoje teigiama, kad vartotojai turėtų turėti galimybę padidinti šią ribą, jei jie nori, tačiau tik nedaugelis naršyklių ją įgyvendina.
Nėra saugių žiniatinklio programų
Debesų saugojimo paslaugos, tokios kaip „SpiderOak“ ir „Wuala“, skiriasi nuo „Dropbox“ - jos suteikia pilną vietinį šifravimą ir iššifravimą. Įdiekite „SpiderOak“ arba „Wuala“ darbalaukio programą ir prieš įkeldami juos užšifruos failus, todėl pati paslauga niekada nežino, ką saugote, ir tavo šifravimo raktas yra būtinas norint juos pasiekti.
Tačiau šios paslaugos taip pat skiriasi nuo „Dropbox“ kitų būdų - jos neskatina naudoti žiniatinklio sąsają, kad būtų lengviau pasiekti. „Dropbox“ paprasta pateikti žiniatinklio programą, kuri leidžia pasiekti jūsų failus, nes supranta, kokie yra šie failai. „SpiderOak“ ir „Wuala“ nesupranta, ką saugote, todėl jiems yra daug lengviau tiesiog atsisiųsti visus užšifruotus BLOB su darbalaukio programa ir leisti darbalaukio programai atlikti sunkų darbą.
Šios paslaugos turėtų leisti jums iššifruoti ir suprasti užšifruotus failų pavadinimus, atsisiųsti šifruotą failą į naršyklę (galbūt per „LocalStorage“), naudoti iššifravimo algoritmą, kad jį būtų iššifruotas vietoje, ir paraginkite jį išsaugoti savo kompiuteryje. Dėl „LocalStorage“ apribojimų praktiškai tai būtų neįmanoma.
„SpiderOak“ iš tikrųjų teikia žiniatinklio programą, nors rekomenduoja jį naudoti, nes ji turi saugoti „SpiderOak“ šifravimo raktą į savo serverių atmintį, kai pasiekiate savo failus. Jie sako, kad jie tai suteikia „didžioji klientų paklausa“ - net ir paslauga, geriausiai žinoma dėl savo šifravimo ir saugumo, klientai iš esmės reikalauja patogesnių, nesaugių galimybių.
Nėra šlamšto filtravimo, paieškos ir kitų pažangių funkcijų
Tokios paslaugos, kaip „Gmail“, yra ypatingos, nes jos teikia papildomas paslaugas, o ne tik kaip langelį, kuriame yra visi jūsų el. Pvz., „Gmail“ tikrina gaunamus el. Laiškus ir palaiko šlamšto filtrą, kad nustatytų, ar tai yra šiukšlių. „Gmail“ indeksuoja el. Paštą, kad galėtumėte greitai ieškoti. „Gmail“ iš dalies tikrina el. Laiško turinį, kad nustatytų, ar tai svarbu, ir leidžia nustatyti filtrus, kurie automatiškai atlieka veiksmus, paremtus el. Laiško turiniu.
Visos šios funkcijos priklauso nuo „Gmail“ ir „Google“, kad galėtų suprasti jūsų el. Paštą ir turėti prieigą. Jei jie neturėjo prieigos, jie negalėjo atlikti šlamšto filtravimo, leisti filtruoti el. Laiškus pagal jų turinį arba leisti ieškoti el. Pašto dėžutės. Taigi daugelis svarbiausių funkcijų priklauso nuo paslaugos prieigos prie jūsų failų.
Nėra slaptažodžio atkūrimo
Dauguma interneto paslaugų siūlo slaptažodžio atkūrimo mechanizmus. Tačiau, norint užtikrinti saugų vietinį šifravimą, negali būti slaptažodžio atkūrimo mechanizmo. Turite šifravimo raktą, kuris iššifruoja failus. Jei prarandate prieigą prie šio klavišo, negalėsite iššifruoti failų.
Nebūtų įmanoma pasiūlyti „slaptažodžio nustatymo“ mechanizmo, nebent paslauga žinotų duomenų turinį. Paslaugos gali tai padaryti dabar, nes jūsų slaptažodis yra tik būdas autentifikuoti su jūsų paskyra - tai nėra privalomas kodas, leidžiantis pasiekti jūsų duomenis. Net jei paslaugos galėtų lengvai pereiti prie šifravimo iki galo, tai suteiktų jiems pristabdymą - daugelis vidutinių vartotojų pamirštų savo šifravimo raktus, praranda savo duomenis, skundžiasi, o tada pereis prie nešifruoto teikėjo. Paslauga būtų skatinama atsipalaiduoti šifravimą.
„SpiderOak“ bando padėti naudotojams siūlyti jiems atsiųsti slaptažodžio užuominą, kurią jie pateikė nustatydami paskyrą, tačiau jis negali visiškai iš naujo nustatyti slaptažodžio. Pamirškite savo slaptažodį ir failai dingo, darant prielaidą, kad jie nėra saugomi vietiniame kompiuteryje.
Jie nori parduoti jūsų duomenis ar taikinius
Mes nenorime apsimesti kitaip: daugelis paslaugų taip pat nori išanalizuoti jūsų asmeninius duomenis ir naudoti pinigus. „Google“ nuskaito jūsų el. Laiškus ir naudoja informaciją apie juos, kad pristatytų taikomus skelbimus, tačiau bent jau jie neparduoda šios asmeninės informacijos kitoms įmonėms. „Facebook“ tiesiogiai parduoda jūsų asmeninę informaciją kitoms įmonėms.
Paslaugoms reikia prieigos prie jūsų duomenų, kad jie galėtų tai padaryti, todėl jie skatinami nesuteikti stipraus, galutinio šifravimo.
Tai yra toli gražu ne vienintelė priežastis, kodėl vietinis jūsų asmens duomenų šifravimas ir iššifravimas yra nepradedamas daugeliui debesų paslaugų. Tikimės, kad ji apžvelgs sudėtingas problemas ir paaiškino, kodėl tiek daug jūsų duomenų teoriškai suprantami kitiems žmonėms. Gali būti lengviau įdiegti kai kurias šifravimo funkcijas - pvz., Leidžiant vartotojams siųsti užšifruotą el. Paštą per „Gmail“ - bet nesitikėkite, kad viskas greitai taps užkoduota ir iššifruota bet kuriuo metu.
Vaizdo kreditas: Andy Roberts dėl „Flickr“