لماذا لا تستخدم معظم خدمات الويب التشفير من النهاية إلى النهاية
أثار الكشف الأخير عن مراقبة الحكومة السؤال التالي: لماذا لا تقوم خدمات السحابة بتشفير بياناتك؟ حسنًا ، عادةً ما يقومون بتشفير البيانات الخاصة بك ، لكن لديهم المفتاح حتى يتمكنوا من فك تشفيرها في أي وقت يرغبون فيه.
السؤال الحقيقي هو: لماذا لا تقوم خدمات الويب بتشفير وفك تشفير بياناتك محليًا ، بحيث يتم تخزينها في نموذج مشفر لا يمكن لأحد أن يتطفل عليه؟ LastPass يفعل ذلك مع قاعدة بيانات كلمة المرور الخاصة بك ، بعد كل شيء.
كيف سيكون تشفير نهاية إلى نهاية مختلفة
لتوضيح ذلك ، من المحتمل أن تكون بياناتك مشفرة. لنأخذ دروب بوكس على سبيل المثال. عند الاتصال بـ Dropbox ، يقوم Dropbox بنقل كافة البيانات عبر اتصال مشفر بحيث لا يمكن لأحد أن يتجسس عليها أثناء النقل. كما يعد Dropbox أيضًا بتخزين ملفاتك على خوادمها بشكل مشفر.
ومع ذلك ، التشفير هو قفل ، وما إذا كان هناك شيء مقفل أقل أهمية من الذي لديه المفتاح. يحتوي Dropbox على مفتاح التشفير لعرض جميع ملفاتك على الخوادم الخاصة به ، في حين أنه صحيح أنه مشفر ، صحيح أيضًا أن Dropbox لديه حق الوصول الكامل إليها وأنه يمكن أن تتعاون مع المراقبة الحكومية أو موظف خادع يمكنه التجسس عبر ملفاتك.
إن فكرة "التشفير من طرف إلى طرف" - يمكنك أيضًا الإشارة إليه على أنه "التشفير المحلي وفك التشفير" - تختلف. مع التشفير من طرف إلى طرف ، يتم فك البيانات فقط عند نقاط النهاية. بعبارة أخرى ، سيتم تشفير رسالة بريد إلكتروني يتم إرسالها مع تشفير من طرف إلى طرف في المصدر ، غير قابل للقراءة لمقدمي الخدمات مثل Gmail أثناء النقل ، ثم فك تشفيرها عند نقطة النهاية الخاصة بها. بشكل حاسم ، لن يتم فك تشفير البريد الإلكتروني إلا للمستخدم النهائي على جهاز الكمبيوتر الخاص به وسيبقى في شكل مشفر وغير قابل للقراءة إلى خدمة بريد إلكتروني مثل Gmail ، والتي لن تتوفر المفاتيح لفك تشفيرها. هذا أكثر صعوبة.
تحميل وفك التشفير المحلي
كما ذكرنا أعلاه ، تستخدم LastPass التشفير المحلي وفك التشفير عبر متصفح الويب الخاص بك. يقوم بتنزيل حزمة مشفرة تحتوي على كلمات المرور الخاصة بك ، ويفك شفرة كلمة المرور الخاصة بك ، ويسمح لك بالوصول إلى كلمات المرور الخاصة بك. لاحظ أنه يجب على LastPass تنزيل قاعدتك الكاملة من كلمات المرور والبيانات الأخرى لفك تشفيرها. في حالة LastPass ، يعمل هذا بشكل جيد - إنه ملف صغير إلى حد ما.
ومع ذلك ، لن يكون من السهل جدًا إجراء ذلك مع خدمات الويب الأخرى. على سبيل المثال ، إذا كان Gmail يعمل بطريقة مماثلة ، فسيتعين على Gmail تنزيل ملف يمثل صندوق بريد إلكتروني كامل بسعة 5 غيغابايت على جهاز الكمبيوتر. ربما يمكن استخدام مواصفات LocalStorage الخاصة بـ HTML5 لهذا ، إذا كان LocalStorage يمكنه تخزين المزيد من البيانات. عندئذٍ يجب فك تشفير هذا الملف محليًا لتوفير الوصول إلى صندوق البريد الإلكتروني الخاص بك ، والذي قد يستغرق بعض الوقت.
من المحتمل أن يتمكن Gmail من إجراء ذلك بشكل مختلف ، مع ملف منفصل يمثل كل بريد إلكتروني جديد ومشفّر. ولكن هناك الكثير من التعقيد الذي ينطوي عليه تصميم عميل البريد الإلكتروني بهذه الطريقة.
سيكون هذا مستحيلاً أكثر أو أقل اليوم - غالبًا ما يقتصر LocalStorage على 5 ميغابايت أو أقل لكل موقع ويب في المتصفحات الشائعة. توضح المواصفات أنه يجب أن يتمكن المستخدمون من زيادة هذا الحد إذا رغبوا في ذلك ، لكن القليل من المتصفحات تقوم بتنفيذ هذا.
لا تطبيقات الويب الآمنة
تختلف خدمات التخزين السحابية مثل SpiderOak و Wuala عن Dropbox - فهي توفر التشفير المحلي الكامل وفك التشفير. قم بتثبيت برنامج سطح المكتب لـ SpiderOak أو Wuala ويقوم بتشفير ملفاتك قبل تحميلها ، بحيث لا تعرف الخدمة نفسها ما تقوم بتخزينه ، ك مطلوب مفتاح التشفير للوصول إليها.
ومع ذلك ، تختلف هذه الخدمات عن Dropbox بطرق أخرى أيضًا - فهي لا تشجع استخدام واجهة الويب لسهولة الوصول إليها. من السهل على Dropbox تقديم تطبيق ويب يتيح لك الوصول إلى ملفاتك ، لأنه يفهم ما هي هذه الملفات. لا يفهم SpiderOak و Wuala ما تقوم بتخزينه ، لذلك يسهل عليك فقط تنزيل كافة النقط المشفرة باستخدام برنامج سطح المكتب لديك والسماح لبرنامج سطح المكتب بعمل العمل الشاق.
يجب أن تسمح لك هذه الخدمات بفك تشفير أسماء الملفات المشفرة وفهمها ، وتنزيل الملف المشفر إلى متصفحك (ربما عبر LocalStorage) ، واستخدام خوارزمية فك التشفير لفك تشفيرها محليًا ، ثم مطالبتك بحفظها على جهاز الكمبيوتر الخاص بك. بسبب قيود LocalStorage ، هذا سيكون مستحيلاً في الممارسة.
في الواقع يوفر SpiderOak تطبيق ويب ، على الرغم من أنه ينصح بعدم استخدامه لأنه يجب تخزين مفتاح التشفير SpiderOak في الذاكرة على الخوادم الخاصة بهم أثناء الوصول إلى الملفات الخاصة بك. ويقولون إنهم يقدمونها نتيجة "طلب العملاء الزائد" - حتى على الخدمة المشهورة بتشفيرها وأمانها ، حيث يطالب العملاء بشكل كبير بخيارات أكثر راحة وغير آمنة..
لا تصفية الرسائل غير المرغوب فيها والبحث وميزات ذكية أخرى
تُعد الخدمات مثل Gmail خاصة لأنها تقدم خدمات إضافية بدلاً من كونها مجرد صندوق يحمل جميع رسائلك الإلكترونية. على سبيل المثال ، يفحص Gmail البريد الإلكتروني الوارد ويدير فلتر الرسائل غير المرغوب فيها ضده لتحديد ما إذا كان غير مرغوب فيه. يفهرس Gmail بريدك الإلكتروني حتى تتمكن من البحث فيه بسرعة. ينظر Gmail إلى محتويات البريد الإلكتروني بشكل جزئي لتحديد مدى أهميتها ويسمح لك بإعداد الفلاتر التي تنفذ الإجراءات تلقائيًا استنادًا إلى محتوى البريد الإلكتروني.
تعتمد كل هذه الميزات على Gmail - و Google - على قدرتك على فهم بريدك الإلكتروني والوصول إليه. إذا لم يكن لديهم إمكانية الوصول ، فلا يمكنهم إجراء تصفية الرسائل غير المرغوب فيها ، أو تمكين تصفية رسائل البريد الإلكتروني استنادًا إلى محتوياتها ، أو السماح لك بالبحث في بريدك الوارد. يعتمد الكثير من أهم الميزات على الخدمة التي يمكنها الوصول إلى ملفاتك.
لا استعادة كلمة المرور
تقدم معظم الخدمات عبر الإنترنت آليات استرداد كلمة المرور. ومع ذلك ، للتشفير المحلي الآمن حقًا ، لا يمكن أن تكون هناك آلية لاستعادة كلمة المرور. لديك مفتاح التشفير الخاص بك ، والذي يفك تشفير الملفات الخاصة بك. إذا فقدت الوصول إلى هذا المفتاح ، فلن تتمكن من فك تشفير الملفات.
سيكون من المستحيل تقديم آلية "إعادة تعيين كلمة المرور" ما لم تكن الخدمة على علم بمحتويات البيانات. يمكن للخدمات القيام بذلك الآن لأن كلمة المرور الخاصة بك هي مجرد طريقة للمصادقة مع حسابك - فهي ليست رمزًا إلزاميًا يجعل الوصول إلى بياناتك متاحًا. حتى إذا كان من السهل على الخدمات الانتقال إلى التشفير من البداية إلى النهاية ، فإن هذا سيعطيها وقفة - حيث ينسى العديد من المستخدمين العاديين مفاتيح التشفير الخاصة بهم ويفقدون بياناتهم ويشكون ثم ينتقلون إلى مزود غير مشفر. سيتم تشجيع الخدمة على الاسترخاء التشفير.
يحاول SpiderOak مساعدة مستخدميه من خلال عرض إرسال تلميحات كلمة مرور لهم عند إعداد الحساب ، ولكن لا يمكنه إعادة تعيين كلمة المرور تمامًا. نسيان كلمة المرور الخاصة بك وذهبت ملفاتك ، على افتراض أنها غير مخزنة على جهاز كمبيوتر محلي.
انهم يريدون بيع البيانات الخاصة بك أو الإعلانات المستهدفة
لن نتظاهر بغير ذلك: العديد من الخدمات تريد أيضًا تحليل بياناتك الشخصية واستخدامها لكسب المال. تفحص Google رسائلك الإلكترونية وتستخدم المعلومات التي تمتلكها عنك لتقديم إعلانات مستهدفة ، ولكنها على الأقل لا تبيع هذه المعلومات الشخصية لشركات أخرى. يقوم Facebook ببيع معلوماتك الشخصية مباشرة إلى الشركات الأخرى.
تحتاج الخدمات إلى الوصول إلى بياناتك حتى تتمكن من القيام بذلك ، لذلك يتم تحفيزها لعدم توفير تشفير قوي من البداية إلى النهاية.
هذه هي أبعد ما تكون عن الأسباب الوحيدة التي تجعل التشفير المحلي وفك تشفير البيانات الشخصية الخاصة بك غير بداية بالنسبة للغالبية العظمى من الخدمات السحابية. نأمل أن يكون قد ألقى بعض الضوء على المشاكل الصعبة التي ينطوي عليها وشرح السبب في أن الكثير من بياناتك يمكن قراءتها نظريًا من قبل أشخاص آخرين. قد تكون هناك طرق أسهل لتنفيذ بعض ميزات التشفير - على سبيل المثال ، عن طريق السماح للمستخدمين بإرسال بريد إلكتروني مشفر عبر Gmail - ولكن لا تتوقع أن يصبح كل شيء مشفرًا محليًا ويتم فك تشفيره في أي وقت قريب.
Image Credit: آندي روبرتس على Flickr