Neden Çoğu Web Hizmeti Uçtan Uca Şifreleme Kullanmıyor
Hükümet gözetimi ile ilgili son vahiyler şu soruyu gündeme getirdi: bulut hizmetleri neden verilerinizi şifrelemiyor? Genelde verilerinizi şifreliyorlar, ancak istedikleri zaman şifresini çözebilmeleri için anahtarı var.
Asıl soru şudur: Web servisleri neden verilerinizi yerel olarak şifrelemiyor ve şifresini çözmüyor, böylece hiç kimsenin erişemeyeceği şifreli bir biçimde saklanıyor? LastPass sonuçta bunu parola veritabanınızla yapıyor.
Uçtan Uca Şifreleme Nasıl Farklı Olabilir?
Açıkçası, verileriniz muhtemelen şifrelenmiştir. Örneğin Dropbox'ı alalım. Dropbox'a bağlandığınızda, Dropbox şifrelenmiş bir bağlantı üzerinden tüm verileri aktarır, böylece hiç kimse transit yolunda arama yapamaz. Dropbox ayrıca dosyalarınızı sunucularında şifreli olarak sakladıklarını vaat ediyor.
Bununla birlikte, şifreleme bir kilittir ve bir şeyin kilitli olup olmadığı, anahtarın sahibi olandan daha az önemlidir. Dropbox, sunucularındaki tüm dosyalarınızı görüntülemek için bir şifreleme anahtarına sahiptir, bu yüzden şifreli olduğu doğru olsa da, Dropbox'ın onlara tam erişimi olduğu ve devlet gözetimi ile işbirliği yapabileceği ya da hileli bir çalışanın dosyalarınız arasında arama yapabileceği de doğrudur..
“Uçtan uca şifreleme” fikri - buna “yerel şifreleme ve şifre çözme” de diyebilirsiniz - farklıdır. Uçtan uca şifreleme ile, veriler yalnızca son noktalarda deşifre edilir. Başka bir deyişle, uçtan uca şifreleme ile gönderilen bir e-posta kaynağında şifrelenmiş, Gmail gibi servis sağlayıcılar tarafından okunamayacak ve şifrelenmiş olacaktır. Önemli bir şekilde, e-postanın yalnızca bilgisayarındaki son kullanıcı için şifresi çözülür ve şifresini çözmek için Gmail gibi bir e-posta servisine şifrelenmiş, okunamaz durumda kalır ve şifresini çözecek anahtarlar bulunmaz. Bu çok daha zor.
İndirme ve Yerel Şifre Çözme
Yukarıda belirttiğimiz gibi, LastPass, web tarayıcınız üzerinden yerel şifreleme ve şifre çözme kullanır. Şifrelerinizi içeren şifreli bir bloğu indirir, şifrenizle şifresini çözer ve şifrelerinize erişmenizi sağlar. LastPass'in şifresini çözmek için tüm kasanızı ve diğer verileri indirmesi gerektiğini unutmayın. LastPass durumunda, bu iyi çalışıyor - oldukça küçük bir dosya.
Ancak, bunu diğer web servisleriyle yapmak kadar kolay bir yerde olmazdı. Örneğin, Gmail benzer şekilde çalışırsa, Gmail'in bilgisayarınıza 5 GB e-posta gelen kutunuzu temsil eden bir dosya indirmesi gerekir. LocalStorage daha fazla veri depolayabilirse, bunun için HTML5'in LocalStorage özelliğini kullanabilir. E-posta gelen kutunuza erişebilmeniz için bu dosyanın yerel olarak şifrelenmesi gerekir; bu işlem biraz zaman alabilir..
Gmail’in bunu her farklı şifreli e-postayı temsil eden ayrı bir dosyayla farklı şekilde yapabilmesi mümkündür. Ancak, bu şekilde bir e-posta istemcisinin mimarisiyle ilgili çok daha fazla karmaşıklık var..
Bu aslında bugün aşağı yukarı imkansız olurdu - LocalStorage, popüler tarayıcılarda web sitesi başına genellikle 5 MB veya daha az ile sınırlıdır. Spesifikasyon, kullanıcıların isterlerse bu sınırı arttırması gerektiğini söylüyor, ancak birkaç tarayıcı bunu kullanıyor.
Güvenli Web Uygulaması Yok
SpiderOak ve Wuala gibi bulut depolama hizmetleri, Dropbox'tan farklıdır - yerel şifreleme ve şifre çözme işlemlerinin tamamını sağlarlar. SpiderOak veya Wuala için masaüstü programını yükleyin; dosyalarınızı yüklemeden önce şifreleyecekler, böylece hizmetin ne sakladığınızı asla bilmeyeceği ve sizin onlara erişmek için şifreleme anahtarı gerekir.
Bununla birlikte, bu hizmetler Dropbox'tan başka şekillerde de farklıdır - kolay erişim için bir web arayüzünün kullanılmasını desteklemezler. Dropbox'ın dosyalarınıza erişmenizi sağlayan bir web uygulaması sağlaması kolaydır, çünkü bu dosyaların ne olduğunu anlar. SpiderOak ve Wuala, ne sakladığınızı anlamamaktadır, bu nedenle, tüm şifreli blob'ları masaüstü programınızla indirmenize ve masaüstü programının zor işleri yapmasına izin vermeleri çok daha kolaydır..
Bu hizmetler, şifreli dosya adlarının şifresini çözmenize ve anlamanıza, şifreli dosyayı tarayıcınıza (belki de LocalStorage aracılığıyla) indirmenize, yerel olarak şifresini çözmek için bir şifre çözme algoritması kullanmanıza ve ardından onu bilgisayarınıza kaydetmenizi ister. LocalStorage sınırlamaları nedeniyle, bu pratikte imkansız olurdu..
SpiderOak aslında bir web uygulaması sağlıyor, ancak kullanmamalarını tavsiye etseler de, dosyalarınıza erişirken SpiderOak şifreleme anahtarınızı sunucularında bellekte depolaması gerekiyor. “Ezici müşteri talebi” nin bir sonucu olarak sağladıklarını - şifreleme ve güvenliği ile tanınan bir hizmette bile, müşteriler ezici bir şekilde daha uygun, güvensiz seçenekler talep ediyorlar.
Spam Filtresi, Arama ve Diğer Akıllı Özellikler Yok
Gmail gibi hizmetler, yalnızca tüm e-postanızı tutan bir kutu olmak yerine ek hizmetler sunduğundan özeldir. Örneğin, Gmail gelen e-postayı inceler ve önemsiz olup olmadığını belirlemek için karşı bir spam filtresi çalıştırır. Gmail e-postanızı endeksler, böylece kolayca arama yapabilirsiniz. Gmail, önemli olup olmadığını belirlemek için kısmen bir e-postanın içeriğine bakar ve bir e-postanın içeriğine göre otomatik olarak eylemler gerçekleştiren filtreler ayarlamanıza izin verir.
Bu özelliklerin tümü, e-postalarınızı anlayabilmeniz ve erişebilmeniz için Gmail'e ve Google'a dayanmaktadır. Erişimleri yoksa, spam filtrelemesi yapamazlar, içeriğine göre e-posta filtrelemeyi etkinleştiremezler veya gelen kutunuzu aramanıza izin veremezler. Bu yüzden, en önemli özelliklerin çoğu, dosyalarınıza erişebilen hizmete bağlıdır.
Şifre Kurtarma Yok
Çoğu çevrimiçi hizmet parola kurtarma mekanizmaları sunar. Ancak, gerçekten güvenli yerel şifreleme için, bir şifre kurtarma mekanizması olamaz. Dosyalarınızın şifresini çözen şifreleme anahtarınız var. Bu anahtara erişiminizi kaybederseniz, dosyalarınızın şifresini çözemezsiniz.
Servis verinin içeriğini bilmediği sürece bir "şifre sıfırlama" mekanizması önermek imkansız olurdu. Servisler bunu yapabilir çünkü şifreniz sadece hesabınızla kimlik doğrulaması yapmanın bir yoludur - verilerinizi erişilebilir kılan zorunlu bir kod değildir. Servisler kolayca uçtan uca şifrelemeye başlasalar bile, bu onları duraklatır - çoğu ortalama kullanıcı şifreleme anahtarlarını unutur, verilerini kaybeder, şikayet eder ve şifrelenmemiş bir sağlayıcıya taşınır. Hizmet şifrelemeyi gevşetmeye teşvik edilir.
SpiderOak, hesap oluştururken sağladıkları şifre ipucunu göndermeyi önererek kullanıcılarına yardım etmeye çalışır, ancak şifreyi tamamen sıfırlayamaz. Yerel bir bilgisayarda depolanmadıklarını varsayarak şifrenizi ve dosyalarınızın silindiğini unutun.
Verilerinizi Satmak veya Reklamları Hedeflemek İstiyorlar
Aksi gibi davranmayacağız: Birçok servis kişisel verilerinizi analiz etmek ve para kazanmak için kullanmak istiyor. Google e-postalarınızı tarar ve hedeflediğiniz reklamları sunmak için hakkınızdaki bilgileri kullanır, ancak en azından bu kişisel bilgileri diğer şirketlere satmazlar. Facebook kişisel bilgilerinizi doğrudan diğer şirketlere satıyor.
Hizmetlerin verilerinize erişmesi gerekir, böylece bunu yapabilmeleri için güçlü, uçtan uca şifreleme sağlamaya teşvik edilirler..
Bunlar, kişisel şifrenizin yerel şifrelemesinin ve şifresinin çözülmesinin, bulut hizmetlerinin büyük çoğunluğu için başlatıcı olmamalarının tek nedeni değildir. Umarız bu zor problemlere biraz ışık tuttu ve verilerinizin neden bu kadarının diğer insanlar tarafından teorik olarak okunabileceğini açıkladı. Bazı şifreleme özelliklerini (örneğin, kullanıcıların Gmail üzerinden şifreli bir e-posta göndermelerine izin vererek) uygulamak için daha kolay yollar olabilir, ancak yakında her şeyin yerel olarak şifrelenmesini ve şifresini çözmesini beklemeyin.
Resim Kredisi: Flickr'da Andy Roberts
