Koduleht » kuidas » Miks enamik veebiteenuseid ei kasuta lõpp-lõpuni krüpteerimist

    Miks enamik veebiteenuseid ei kasuta lõpp-lõpuni krüpteerimist

    Hiljutised avaldused valitsuse järelevalve kohta on tekitanud küsimuse: miks ei tohi pilveteenused teie andmeid krüptida? Noh, nad tavaliselt krüpteerivad teie andmeid, kuid neil on võti, et nad saaksid seda igal ajal dekrüpteerida.

    Tegelik küsimus on: Miks veebiteenused krüpteerivad ja dekrüpteerivad teie andmeid kohapeal, nii et seda ei salvestata krüpteeritud kujul? LastPass teeb seda oma paroolide andmebaasiga.

    Kuidas End-to-End Encryption oleks erinev

    Et olla selge, on teie andmed tõenäoliselt krüpteeritud. Võtame näiteks Dropboxi. Kui ühendate Dropboxiga, edastab Dropbox kõik andmed krüpteeritud ühenduse kaudu, nii et keegi ei saaks seda transiidi ajal kohata. Dropbox lubab ka, et nad salvestavad failid oma serverites krüpteeritud kujul.

    Kuid krüpteerimine on lukk ja see, kas midagi on lukustatud, on vähem oluline kui see, kellel on võti. Dropboxil on krüpteerimisvõti, et vaadata kõiki oma faile oma serverites, nii et kuigi see on tõsi, et see on krüpteeritud, on tõsi ka see, et Dropboxil on neile täielik juurdepääs ja et nad saaksid teha koostööd valitsuse järelevalve või petturitega, kes teie faile suudaksid.

    Idee „end-to-end-krüpteerimisest“ - te võiksite seda nimetada ka „kohalikuks krüpteerimiseks ja dekrüpteerimiseks” - erinev. End-to-end krüpteerimisel dekrüpteeritakse andmed ainult lõpp-punktides. Teiste sõnadega krüpteeritakse end-to-end-krüpteerimisega saadetud e-posti allikas, mis on loetamatuks teenusepakkujatele, nagu Gmail, transiidis ja seejärel dekrüpteeritakse selle lõpp-punktis. Oluline on see, et e-kiri krüptitakse ainult lõppkasutaja jaoks oma arvutis ja see jääks krüpteeritud, loetamatuks vorminguks e-posti teenusele, nagu Gmail, mis ei oleks võtmed selle dekrüpteerimiseks. See on palju raskem.

    Allalaadimine ja kohalik dekrüpteerimine

    Nagu eespool mainitud, kasutab LastPass veebibrauseri kaudu kohalikku krüpteerimist ja dekrüpteerimist. See laadib alla paroole sisaldava krüptitud pleki, dekrüpteerib selle parooliga ja võimaldab teil paroole juurde pääseda. Pange tähele, et LastPass peab oma paroolide ja muude andmete alla laadima, et see dekrüpteerida. LastPassi puhul toimib see lihtsalt - see on üsna väike fail.

    Samas ei oleks see teiste veebiteenustega sama lihtne teha. Näiteks, kui Gmail töötas sarnaselt, peaks Gmail alla laadima teie arvutisse kogu teie 5 GB e-posti postkasti esindava faili. See võib kasutada HTML5 LocalStorage'i spetsifikatsiooni, kui LocalStorage võiks salvestada rohkem andmeid. See fail tuleb seejärel krüptida lokaalselt, et võimaldada juurdepääs teie e-posti postkasti, mis võtab aega.

    On võimalik, et Gmail võiks seda teha erinevalt, eraldi fail, mis esindab iga uut krüpteeritud e-posti. Sellisel moel on meilikliendi arhitekteerimises nii palju keerulisem.

    See oleks täna enam-vähem võimatu - LocalStorage on populaarsetes brauserites sageli ühe veebisaidi kohta 5 MB või vähem. Spekter ütleb, et kasutajad peaksid saama seda piirmäära soovi korral suurendada, kuid vähesed brauserid seda rakendavad.

    Turvalisi veebirakendusi pole

    Pilvesalvestusteenused nagu SpiderOak ja Wuala erinevad Dropboxist - nad pakuvad täielikku lokaalset krüpteerimist ja dekrüpteerimist. Paigaldage töölaua programm SpiderOakile või Wualale ja nad krüpteerivad teie failid enne nende üleslaadimist, nii et teenus ise ei tea kunagi, mida salvestate, ja teie neile pääsemiseks on vaja krüpteerimisvõtit.

    Kuid need teenused erinevad Dropboxist ka muul viisil - need ei soodusta veebiliidese kasutamist lihtsaks juurdepääsuks. Dropboxil on lihtne pakkuda veebirakendust, mis võimaldab teil juurdepääsu oma failidele, sest see mõistab, millised need failid on. SpiderOak ja Wuala ei saa aru, mida te salvestate, nii et neil on palju lihtsam lihtsalt laadida kõik krüpteeritud plekid töölaua programmiga ja laske töölaua programmil teha rasket tööd.

    Need teenused peaksid võimaldama krüpteeritud failinimede dekrüpteerimist ja mõistmist, krüpteeritud faili allalaadimist brauserisse (võib-olla LocalStorage'i kaudu), dekrüpteerimisalgoritmi abil lokaalselt dekrüpteerida, seejärel paluge teil see arvutisse salvestada. LocalStorage'i piirangute tõttu oleks see praktikas võimatu.

    SpiderOak pakub tegelikult veebirakendust, kuigi nad soovitavad seda kasutada, sest see peab salvestama oma SpiderOaki krüpteerimisvõtme oma serverite mällu, kui kasutate oma faile. Nad ütlevad, et nad pakuvad seda „valdava kliendinõudluse” tulemusena - isegi krüpteerimise ja turvalisuse poolest kõige paremini tuntud teenuse puhul nõuavad kliendid valdavalt mugavamat, ebakindlat valikut.

    Rämpsposti filtreerimine, otsing ja muud nutikas funktsioonid puuduvad

    Sellised teenused nagu Gmail on erilised, sest nad pakuvad lisateenuseid, mitte lihtsalt kasti, millel on kogu teie e-post. Näiteks uurib Gmail sissetulevaid e-kirju ja käivitab selle vastu rämpsposti filtri, et teha kindlaks, kas see on rämpspost. Gmail indekseerib teie e-posti, et saaksite selle kaudu kiiresti otsida. Gmail vaatab e-posti sisu osaliselt kindlaks, kas see on oluline ja võimaldab teil seadistada filtreid, mis täidavad automaatselt e-posti sisu alusel toiminguid.

    Kõik need funktsioonid tuginevad Gmailile ja Google'ile, et nad saaksid teie e-kirju mõista ja juurdepääsu. Kui neil pole juurdepääsu, ei suutnud nad rämpsposti filtreerimist teostada, võimaldada meilide filtreerimist nende sisu alusel või lubada teil oma postkasti otsida. Paljud kõige olulisemad funktsioonid sõltuvad teenusest, millel on juurdepääs teie failidele.

    Parooli taastamine puudub

    Enamik veebiteenuseid pakuvad parooli taastamise mehhanisme. Kuid tõeliselt turvalise kohaliku krüpteerimise jaoks ei saa olla parooli taastamise mehhanismi. Sul on teie krüpteerimisvõti, mis dekrüpteerib teie failid. Kui kaotate juurdepääsu sellele võtmele, ei saa te oma faile dekrüpteerida.

    „Parooli lähtestamise” mehhanismi oleks võimatu pakkuda, kui teenus ei teadnud andmete sisu. Teenused saavad seda teha nüüd, sest teie parool on teie kontoga autentimise viis - see ei ole kohustuslik kood, mis muudab teie andmed ligipääsetavaks. Isegi kui teenused saaksid kergesti liigutada end-to-end krüpteerimisse, annaks see neile pausi - paljud keskmised kasutajad unustaksid oma krüpteerimisvõtmed, kaotavad oma andmed, kaebavad ja siirduvad seejärel krüpteerimata pakkujale. Teenust julgustatakse krüpteerimist lõdvestama.

    SpiderOak püüab oma kasutajaid aidata, pakkudes neile parooli vihjeid, mida nad konto loomisel pakkusid, kuid ei saa parooli täielikult taastada. Unusta oma parool ja failid on kadunud, eeldusel, et neid ei salvestata kohalikus arvutis.

    Nad tahavad oma andmeid või sihtreklaame müüa

    Me ei teeskle teisiti: paljud teenused soovivad ka teie isikuandmeid analüüsida ja raha teenida. Google skaneerib teie e-kirju ja kasutab teie kohta teavet, mida soovite sihtreklaamide esitamiseks, kuid vähemalt nad ei müü seda isiklikku teavet teistele ettevõtetele. Facebook müüb teie isiklikke andmeid otse teistele ettevõtetele.

    Teenused vajavad juurdepääsu teie andmetele, et nad saaksid seda teha, nii et nad on motiveeritud mitte andma tugevat, otsast krüpteerimist.


    Need ei ole kaugeltki ainsad põhjused, miks teie isikuandmete lokaalne krüpteerimine ja dekrüpteerimine on enamiku pilveteenuste jaoks alguseta. Loodame, et see on valgustanud keerulisi probleeme ja selgitanud, miks nii paljud teie andmed on teistel inimestel teoreetiliselt loetavad. Mõnede krüpteerimisfunktsioonide rakendamine võib olla lihtsam - näiteks lubades kasutajatel saata krüpteeritud e-posti Gmaili kaudu - kuid ei oota, et kõik muutuks kohapeal krüpteeritud ja dekrüpteeritakse igal ajal.

    Pildi krediit: Andy Roberts Flickril