ほとんどのWebサービスがエンドツーエンド暗号化を使用しない理由
政府による監視に関する最近の啓示は、クラウドサービスがあなたのデータを暗号化しないのはなぜかという疑問を投げかけています。まあ、彼らは一般的にあなたのデータを暗号化しますが、彼らは彼らが好きなときにそれを復号化できるように彼らは鍵を持っています.
本当の問題は、Webサービスがデータをローカルで暗号化および復号化し、暗号化された形式で保存されて誰かが盗聴できないようにすることです。 LastPassはパスワードデータベースでこれを行います。.
エンドツーエンドの暗号化はどう違うのか
明確にするために、あなたのデータはおそらく暗号化されています。 Dropboxを例に取りましょう。 Dropboxに接続すると、Dropboxはすべてのデータを暗号化された接続を介して転送するので、誰も転送中にスヌープすることはできません。 Dropboxはあなたのファイルを暗号化された形式でサーバーに保存することも約束します。.
ただし、暗号化はロックであり、何かがロックされているかどうかは、誰が鍵を持っているかよりも重要性が低くなります。 Dropboxには、サーバー上のすべてのファイルを表示するための暗号化キーがあります。暗号化されていることは間違いありませんが、Dropboxはそれらに完全にアクセスでき、政府の監視に協力できます。.
「エンドツーエンドの暗号化」という概念、つまり「ローカルの暗号化と復号化」という概念は異なります。エンドツーエンド暗号化では、データはエンドポイントでのみ復号化されます。つまり、エンドツーエンドの暗号化を使用して送信された電子メールは送信元で暗号化され、送信中のGmailなどのサービスプロバイダには読み取れず、エンドポイントで復号化されます。決定的に、電子メールは彼らのコンピュータのエンドユーザのために解読されるだけで、それを解読するのに利用可能な鍵を持っていないGmailのような電子メールサービスに暗号化された判読不能な形式で残るでしょう。これはもっとずっと難しい.
ダウンロードとローカル復号化
前述したように、LastPassはあなたのWebブラウザを介してローカルの暗号化と復号化を使用します。それはあなたのパスワードを含む暗号化されたBLOBをダウンロードし、あなたのパスワードでそれを復号化し、そしてあなたがあなたのパスワードにアクセスすることを可能にします。 LastPassはそれを復号化するためにパスワードやその他のデータのボールト全体をダウンロードしなければならないことに注意してください。 LastPassの場合、これはうまく機能します - かなり小さなファイルです。.
ただし、他のWebサービスでこれを行うのがそれほど簡単ではありません。たとえば、Gmailが同様に機能している場合、Gmailは5 GBのメールの受信トレイ全体を表すファイルをコンピュータにダウンロードする必要があります。 LocalStorageがより多くのデータを格納できるのであれば、おそらくHTML5のLocalStorage仕様を使用することができます。その後、このファイルをローカルで復号化してEメールの受信トレイへのアクセスを提供する必要があります。.
Gmailでは、暗号化されたそれぞれの新しいEメールを表す個別のファイルを使用して、これを別の方法で実行できる可能性があります。しかし、このようにEメールクライアントを設計することには、はるかに複雑なものがあります。.
これは実際にはほぼ不可能です - LocalStorageは、人気のあるブラウザではWebサイトあたり5 MB以下に制限されていることがよくあります。この仕様では、必要に応じてユーザーがこの制限を増やすことができるはずであると述べていますが、これを実装しているブラウザはほとんどありません。.
安全なWebアプリはありません
SpiderOakやWualaのようなクラウドストレージサービスはDropboxとは異なります - それらは完全なローカル暗号化と復号化を提供します。 SpiderOakまたはWuala用のデスクトッププログラムをインストールすると、アップロードする前にファイルが暗号化されるので、サービス自体は保存しているものを認識しません。 きみの アクセスするには暗号化キーが必要です.
ただし、これらのサービスは他の点でもDropboxとは異なります - 簡単にアクセスできるようにWebインターフェイスを使用することは推奨されていません。 Dropboxはあなたが自分のファイルにアクセスすることを可能にするウェブアプリを提供するのは簡単です。なぜならそれはそれらのファイルが何であるかを理解しているからです。 SpiderOakとWualaはあなたが何を格納しているのか理解していないので、デスクトッププログラムですべての暗号化されたBLOBをダウンロードしてデスクトッププログラムに大変な仕事をさせるのを許可する方がはるかに簡単です。.
これらのサービスでは、暗号化されたファイル名を復号化して理解し、(おそらくLocalStorage経由で)ブラウザに暗号化ファイルをダウンロードし、復号化アルゴリズムを使用してローカルで復号化してからコンピュータに保存するように指示する必要があります。 LocalStorageの制限により、これは実際には不可能です。.
SpiderOakは実際にはWebアプリケーションを提供していますが、ファイルへのアクセス中はSpiderOak暗号化キーをサーバのメモリに保存する必要があるため、使用はお勧めしません。彼らは「圧倒的な顧客の要求」の結果としてそれを提供すると言います - 暗号化とセキュリティで最もよく知られているサービスでさえ、顧客は圧倒的にもっと便利で安全でないオプションを要求します.
スパムのフィルタリング、検索、その他のスマート機能はありません
Gmailのようなサービスは特別なものです。これは、すべてのEメールを入れる箱ではなく、追加のサービスを提供するためです。たとえば、Gmailは受信メールを調べ、それに対して迷惑メールフィルタを実行して、迷惑メールかどうかを判断します。 GmailはあなたのEメールを索引付けするので、すぐに検索することができます。 Gmailはメールの内容を部分的に調べて重要かどうかを判断し、メールの内容に基づいて自動的にアクションを実行するフィルタを設定できるようにします。.
これらの機能はすべてGmail(およびGoogle)があなたのEメールを理解してアクセスできることに依存しています。アクセスできない場合は、スパムフィルタリングを実行したり、コンテンツに基づいて電子メールをフィルタリングしたり、受信トレイを検索したりすることができなくなります。とても重要な機能の多くはあなたのファイルにアクセスできるサービスに依存しています.
パスワード回復なし
ほとんどのオンラインサービスはパスワード回復メカニズムを提供します。しかし、本当に安全なローカル暗号化のために、パスワード回復メカニズムはあり得ません。あなたはあなたのファイルを復号化するあなたの暗号化キーを持っています。このキーにアクセスできない場合は、ファイルを復号化することはできません。.
サービスがデータの内容を知らない限り、「パスワードリセット」メカニズムを提供することは不可能です。あなたのパスワードはあなたのアカウントで認証するための単なる手段であるので、サービスは今これをすることができます - それはあなたのデータをアクセス可能にする必須のコードではありません。たとえサービスがエンドツーエンドの暗号化に簡単に移行できたとしても、一時停止することになります。多くの平均的なユーザーは暗号化キーを忘れ、データを失い、不平を言い、そして暗号化されていないプロバイダに移動します。サービスは暗号化を緩和するために奨励されるでしょう.
SpiderOakは、アカウント設定時に提供されたパスワードのヒントをユーザーに送信するよう提供することで、ユーザーを支援しようとしますが、パスワードを完全にリセットすることはできません。ローカルコンピュータに保存されていないと仮定すると、パスワードを忘れてファイルは消えてしまいます.
彼らはあなたのデータを売りたいまたは広告をターゲットにしたい
他のふりをするつもりはありません。多くのサービスはまたあなたの個人データを分析し、それを使ってお金を稼ごうとします。 GoogleはあなたのEメールをスキャンし、あなたが持っている情報をターゲット広告の提示に使用しますが、少なくともそれらは他の企業にその個人情報を販売することはありません。 Facebookはあなたの個人情報を他の会社に直接販売しません.
サービスはこれを実行するためにあなたのデータにアクセスする必要があるので、強力でエンドツーエンドの暗号化を提供しないように奨励されています。.
これらは、大部分のクラウドサービスにとって、あなたの個人データのローカル暗号化および復号化が非スターターである理由だけではありません。複雑な問題を明らかにし、あなたのデータの多くが理論的に他の人に読まれる理由を説明したことを願っています。たとえば、ユーザーがGmail経由で暗号化された電子メールを送信できるようにするなど、一部の暗号化機能を実装するより簡単な方法があるかもしれませんが、すぐにすべてがローカルで暗号化および復号化されるとは思わないでください。.
画像のクレジット:FlickrのAndy Roberts
