» »

Google bo šifriral podatke v Cloud Storageu

Google bo šifriral podatke v Cloud Storageu

Slo-Tech - Google se je odločil, da bo zaradi pritiskov javnosti in okrnjenega ugleda, ki so se pojavili po izbruhu vohunske afere Prism, začel privzeto šifrirati vse podatke v svoji storitvi Google Cloud Storage. Gre za storitev, ki ni namenjena domačim uporabnikom, ampak podjetjem za shranjevanje podatkov.

Odslej bo vsa vsebina, ki jo bodo ta tja naložila, avtomatično šifrirana z 128-bitnim ključem v algoritmu AES. Google pravi, da se bo to dogajalo on-the-fly, torej še pred zapisom podatkov na disk. Strankam ne bo treba nastaviti ničesar, niti se ne bo zanje nič spremenilo.

In slednje je globlja ugotovitev, kot bi na prvi pogled ocenili. Pri vsakem šifriranju je glavno vprašanje, kdo ima ključe. V tem primeru jih bo imel - Google. V podjetju sicer pravijo, da bodo s podatki ravnali enako kakor z lastnimi. To pomeni, da so podatki in metapodatki zašifrirani z unikatnim ključem, ki je šifriran s sekundarnim ključem, povezanim z lastnikom podatkov. Ta sekundarni ključ je potem šifriran z glavnim ključem (master key), ki se redno menja. Torej, pred hekerji je to neke vrste zaščite, saj so podatki ničvredni, če ne izmaknejo tudi ključa. Kaj pa glavni argument, torej vlada, NSA in Prism?

Če namreč FISC (Foreign Intelligence Service Court) Googlu vroči odredbo za izročitev podatkov, jih bo Google seveda moral odšifrirati. Google trdi, da ključev ne bodo izročili, a v resnici kaj dosti izbire ne bodo imeli. Tehnično gledano ključev res ne bodo izročili, bodo pa primorani pokazati podatke. Zato Google uporabnikom še vedno svetuje, da svoje podatke pred prenosom v oblačno storitev šifrirajo sami, in to s svojim ključem.

30 komentarjev

LuiIII ::

No ja vsaj pošteno povejo. Transparenca je ključna beseda pri vsem tem. Upam, da se tudi na drugih področjih ustrezno obnašajo (Street View ipd.). Sicer jih pa konkurenca sili v to.

Fritz ::

Google je objavil, da so na odprti zlom golenice dali obliž. Vsi zadovoljni in vse čudovito :))
"Težav ne moremo reševati z isto miselnostjo,
kot smo jo imeli, ko smo jih ustvarili."
A. Einstein

Glugy ::

Google je naredil marketinško potezo da bi pomiril stranke, še vedno pa ni v praksi nič drugače. Če država reče dejte mi te podatke jih Google še naprej daje. Niti slučajni in primerljivo z https://mega.co.nz/ kjer ključa niti podjetje nima.

OK.d ::

in ti verjameš v pravljice?
LPOK.d

RejZoR ::

Brezveze. To je tko kot bi rekel, vam podarim 20 ključavnic za dodatno varnost. Ampak ključe bom pa še vedno imel jezst. In za zaklepanje bom skrbel jezst. What's the point?
Angry Sheep Blog @ www.rejzor.com

G-man ::

Ta Googlov Cloud Storage je skoraj tolk dober vic kot tisti iz prejšnjega tedna, da bodo nemški ponudniki e-pošte šifrirali prenos.

Je pa zanimivo, kako se oblačnim ponudnikom tresejo hlače in povrh vsega imajo še zvezane roke, oblak pa z vsako novo štorijo puhti.

Glugy ::



To ti vse pove.

LitralSM ::

Glugy je izjavil:

Google je naredil marketinško potezo da bi pomiril stranke, še vedno pa ni v praksi nič drugače. Če država reče dejte mi te podatke jih Google še naprej daje. Niti slučajni in primerljivo z https://mega.co.nz/ kjer ključa niti podjetje nima.

Menda nobeno javno izpostavljeno podjetje ne ponuja niti podobne storitve. In ne, ne verjamem v pravljive, verjamem pa Dotcoma.

LightBit ::

Še vedno je najbolje, da sam šifriraš in potem lahko daš kamorkoli.

Jupito ::

G-man je izjavil:

Ta Googlov Cloud Storage je skoraj tolk dober vic kot tisti iz prejšnjega tedna, da bodo nemški ponudniki e-pošte šifrirali prenos.


Jaz samo še čakam, kdaj bo kakšna vlada zapovedala, da je treba za zaščito zasebnosti vse šifrirati (ključe pa shanijo policija in tajne službe - pa morda še kakšna inšpekcija in komunalno podjetje). Monty Python invades real life. :))
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

Zgodovina sprememb…

  • spremenil: Jupito ()

Mr.B ::

Jupito, poznaš Francijo ?
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

FireSnake ::

LightBit je izjavil:

Še vedno je najbolje, da sam šifriraš in potem lahko daš kamorkoli.


In ti verjameš, da je potem varno? :))

Varno je samo takrat, če ne daš nikamor!
Poglej in se nasmej: vicmaher.si

M.B. ::

Za backup pa se lahko uporabi Tarsnap.

Client je OSS. In šifrira se na clientu.

The cryptographic keys used by Tarsnap include:

A 2048-bit RSA key used for signing archives. This is used in combination with SHA256 and a Merkle hash tree to verify the authenticity of stored archives. (Cryptographers: RSASSA-PSS is used, with SHA256 as the hash function.)
A 2048-bit RSA key used for encrypting session keys. All the data which the Tarsnap client sends to the server to store is encrypted with per-archive random AES-256 keys; those keys are encrypted with this RSA key and attached to the stored data. (Cryptographers: RSAES-OAEP is used to encrypt the session keys, using MGF1 and SHA256, and the padding verification performed when decrypting is carefully written to be free of timing side channels. The AES-256 keys are used in CTR mode, with sequentially incrementing nonces -- generating a new AES-256 key for each session ensures that a key-nonce pair will never be used twice.)
A 256-bit HMAC-SHA256 key used to protect each individual block of data from tampering. From a cryptographic perspective, this is unnecessary, since a Merkle hash tree protects each archive; but data is compressed using zlib before being stored, so this provides protection against a theoretical attacker who can tamper with stored data and has found a security flaw in zlib decoding. (The zlib decoding process is quite complex -- for that matter, the same is true of all decompression algorithms -- and such complex code has a relatively large risk of having security vulnerabilities, hence the decision to add an extra layer of security here.)
Two 256-bit HMAC-SHA256 keys used to generate names for blocks of data stored. Tarsnap uses the same reference-by-hash trick as the author's Portsnap and FreeBSD Update utilities; using HMACs instead of raw SHA256 hashes prevents any information from leaking via the hashes. (Why two keys? One is used to hash data, and the other is used to hash archive names. Yes, that's right, even the names of archives are stored securely.)
Three 256-bit HMAC-SHA256 keys used to sign requests sent by the Tarsnap client to the Tarsnap server: One used for writes, one used for reads, and one used for deletes. These are the only keys sent to the Tarsnap server by tarsnap-keygen.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

LightBit ::

FireSnake je izjavil:

LightBit je izjavil:

Še vedno je najbolje, da sam šifriraš in potem lahko daš kamorkoli.


In ti verjameš, da je potem varno? :))

Varno je samo takrat, če ne daš nikamor!

Če je dobro šifrirano in izbereš dober ključ, zakaj ne?

Če ne daš nikamor je seveda bolj varno.

enota13 ::

... ne da bi želel smetiti po temi, ampak spideroak s svojim zero-knowledge konceptom zelo dobro dela.

FireSnake ::

LightBit je izjavil:

FireSnake je izjavil:

LightBit je izjavil:

Še vedno je najbolje, da sam šifriraš in potem lahko daš kamorkoli.


In ti verjameš, da je potem varno? :))

Varno je samo takrat, če ne daš nikamor!

Če je dobro šifrirano in izbereš dober ključ, zakaj ne?

Če ne daš nikamor je seveda bolj varno.


Ker po vsem povedanem (ne tu, mapak drugje) menim, da je šifriranje samo farsa.
Koliko je resnice na tem ne vem, ampak: na faxu nam je profesor razlagal, da so naredili šifriranje, ki ga je bilo nemogoče razbiti. Baje se je takoj vmešala CIA (ali pač nekdo od podobnih voluharjev) in preprečila izdajo tega.
Ni treba fejst razmišljat, da uvidimo, zakaj jim ni bilo v interesu, da bi obstajalo šifriranje, ki ga oni ne bi mogli razbit.
Poglej in se nasmej: vicmaher.si

BaToCarx ::

Zgleda ti je o tem govoril One-time pad @ Wikipedia ?

Hayabusa ::

Naši profesorji na faksu imajo outdated znanje, vsaj oni, ki ne sodelujejo z realnim sektorjem @ miselnost 21 stoletja.

LightBit ::

FireSnake je izjavil:

Ker po vsem povedanem (ne tu, mapak drugje) menim, da je šifriranje samo farsa.
Koliko je resnice na tem ne vem, ampak: na faxu nam je profesor razlagal, da so naredili šifriranje, ki ga je bilo nemogoče razbiti. Baje se je takoj vmešala CIA (ali pač nekdo od podobnih voluharjev) in preprečila izdajo tega.
Ni treba fejst razmišljat, da uvidimo, zakaj jim ni bilo v interesu, da bi obstajalo šifriranje, ki ga oni ne bi mogli razbit.


Nam je profesor razlagal marsikatere bedarije.
Zdi se mi, da precenjuješ sposobnosti CIA, NSA ... Snowden jim je pobegnu in izdal skrivnosti.
Se ti ne zdi da, če bi bil AES (in še veliko drugih) zanič, da bi to kdo odkril?

Ashrack ::

Uporaba WUALA storitve je kar se tice varnosti odlicna.
....

dope1337 ::

Ashrack je izjavil:

Uporaba WUALA storitve je kar se tice varnosti odlicna.


Tudi sam uporabljam Wuala že dlje časa (cca 1,5 leta) in je zadeva kot se šika (pač intergrirano client-side enkripcijo ima).

@FireSnake

z 2048 bitno RSA enkripcijo se ne bo šel noben ubadat ... sploh pa ne pri takšni masi podatkov. Vkolikor sem zasledil, traja bruteforce 2048 bitne RSA enkripcije na PC-ju cca ~6,5 tisoč biljonov let (quadrilion).

Tak da ... nič bat.
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein

Hayabusa ::

http://stackoverflow.com/questions/5523...
@Gens: RSA says that 1024-bit keys are likely to become crackable some time between 2006 and 2010 and that 2048-bit keys are sufficient until 2030 and an RSA key length of 3072 bits should be used if security is required beyond 2030.



http://www.engadget.com/2010/03/09/1024...


http://arstechnica.com/security/2010/01...

FireSnake ::

Hayabusa je izjavil:

Naši profesorji na faksu imajo outdated znanje, vsaj oni, ki ne sodelujejo z realnim sektorjem @ miselnost 21 stoletja.


Jaz sem imel dobre profesorje, zate ne vem.
Laboratoriji so si tudi do 60% (dodatnega) proračuna zagotovili s sodelovanjem s firmami.

LightBit je izjavil:

FireSnake je izjavil:

Ker po vsem povedanem (ne tu, mapak drugje) menim, da je šifriranje samo farsa.
Koliko je resnice na tem ne vem, ampak: na faxu nam je profesor razlagal, da so naredili šifriranje, ki ga je bilo nemogoče razbiti. Baje se je takoj vmešala CIA (ali pač nekdo od podobnih voluharjev) in preprečila izdajo tega.
Ni treba fejst razmišljat, da uvidimo, zakaj jim ni bilo v interesu, da bi obstajalo šifriranje, ki ga oni ne bi mogli razbit.


Nam je profesor razlagal marsikatere bedarije.
Zdi se mi, da precenjuješ sposobnosti CIA, NSA ... Snowden jim je pobegnu in izdal skrivnosti.
Se ti ne zdi da, če bi bil AES (in še veliko drugih) zanič, da bi to kdo odkril?


To, da jim je pobegnil ne pomeni popolnoma nič. Vsaj v luči tega, o čemer se mi pogovarjamo.

dope1337 je izjavil:

Ashrack je izjavil:

Uporaba WUALA storitve je kar se tice varnosti odlicna.


Tudi sam uporabljam Wuala že dlje časa (cca 1,5 leta) in je zadeva kot se šika (pač intergrirano client-side enkripcijo ima).

@FireSnake

z 2048 bitno RSA enkripcijo se ne bo šel noben ubadat ... sploh pa ne pri takšni masi podatkov. Vkolikor sem zasledil, traja bruteforce 2048 bitne RSA enkripcije na PC-ju cca ~6,5 tisoč biljonov let (quadrilion).

Tak da ... nič bat.


Žalostno je, da je naša najboljša tolažba to, da smo igla v senu.

Jaz imam online le tiste stvari, ki bi jih vsakemu komot pokazal, pa še tega ni veliko.

Edino gesla imam za backup na Gmailu :D nešifrirana.
Ker sem mala riba jih lahko vidijo in jih ne bodo šli "krast".
Poglej in se nasmej: vicmaher.si

LightBit ::

FireSnake je izjavil:

To, da jim je pobegnil ne pomeni popolnoma nič. Vsaj v luči tega, o čemer se mi pogovarjamo.

To, da je izdal skrivnosti pa.

Paramedic ::

Jaz bi raje rekel, da nobeno šifriranje ne more trajati neke tisoče in milijone let, da se odšifrira. Vsako šifriranje, ki ga opravimo danes, in to nekdo tretji shrani in si backupira, traja le toliko časa, dokler ne pride tehnologija ali znanje tako daleč, da nekdo to dešifrira (na brute force ali z ugotovljeno napako v šifriranju) s pomočjo takrat poznane tehnologije ali znanja. Torej nekaj let ali kako desetletje. Če jaz danes šifriram danes s kdo ve kakšno metodo, se bo čez 10 let sigurno nekdo našel, ki mi bo to dešifriral v minutah/tednih. In čez 10 let te še vedno lahko nekdo obtoži nekega dejanja s pomočjo te vsebine. Ali kaj drugega naredi s to vsebino :)
Čez nekaj 10 let ti bojo pa itak iz glave vse ven zdownloadali ob aretaciji :))
End transmission.

dronyx ::

G-man je izjavil:

Je pa zanimivo, kako se oblačnim ponudnikom tresejo hlače in povrh vsega imajo še zvezane roke, oblak pa z vsako novo štorijo puhti.

Od kje pa misliš da je prišla ideja za oblačne storitve (beri - dajte nam podatke)? :))

AndrejO ::

dronyx je izjavil:

G-man je izjavil:

Je pa zanimivo, kako se oblačnim ponudnikom tresejo hlače in povrh vsega imajo še zvezane roke, oblak pa z vsako novo štorijo puhti.

Od kje pa misliš da je prišla ideja za oblačne storitve (beri - dajte nam podatke)? :))

"Ideja" ni prišla od nikoder. Razvoj komunikacij, njihova pocenitev in preprosto dejstvo, da se ekonomika masovne uporabe izplača bolj, kot pa individualna uporaba so privedli do storitev, ki se jih je poimenovalo "oblak".

Enostavna ekonomika zaenkrat še ni zarotništvo in samo zato, ker je nekdo uporabil skovanko "oblak", to še ne pomeni, da je bila zadeva kjerkoli načrtovana.

Ljudem pa začuda ravno tako ni jasno, da če daš svojo kramo v skladišče in pustiš skladiščniku ključe, bo lahko policija z nalogom do te krame prišla, ne da bi ti o temu sploh rabil kaj vedeti. Česar ne nadziraš sam, ni v tvoji lasti. Digitalne tehnologije pri temu niso ničesar spremenile, samo ljudje v povprečju še ne vedo kakšne "žabice" morajo dati na podatke, da bodo ohranili nadzor.

LitralSM ::

Pa saj oblak obstaja že od kar obstaja internet. Novodobni oblak je samo sopomenka za špijonažo.

FireSnake ::

Paramedic je izjavil:

Jaz bi raje rekel, da nobeno šifriranje ne more trajati neke tisoče in milijone let, da se odšifrira. Vsako šifriranje, ki ga opravimo danes, in to nekdo tretji shrani in si backupira, traja le toliko časa, dokler ne pride tehnologija ali znanje tako daleč, da nekdo to dešifrira (na brute force ali z ugotovljeno napako v šifriranju) s pomočjo takrat poznane tehnologije ali znanja. Torej nekaj let ali kako desetletje. Če jaz danes šifriram danes s kdo ve kakšno metodo, se bo čez 10 let sigurno nekdo našel, ki mi bo to dešifriral v minutah/tednih. In čez 10 let te še vedno lahko nekdo obtoži nekega dejanja s pomočjo te vsebine. Ali kaj drugega naredi s to vsebino :)
Čez nekaj 10 let ti bojo pa itak iz glave vse ven zdownloadali ob aretaciji :))


Jaz bi se s tem kar strinjal, s tem, da menim, da to lahko počnejo že kar danes ...

LitralSM je izjavil:

Pa saj oblak obstaja že od kar obstaja internet. Novodobni oblak je samo sopomenka za špijonažo.



Dobra! :D
Poglej in se nasmej: vicmaher.si

Zgodovina sprememb…

  • spremenilo: FireSnake ()

LightBit ::

Paramedic je izjavil:

Jaz bi raje rekel, da nobeno šifriranje ne more trajati neke tisoče in milijone let, da se odšifrira. Vsako šifriranje, ki ga opravimo danes, in to nekdo tretji shrani in si backupira, traja le toliko časa, dokler ne pride tehnologija ali znanje tako daleč, da nekdo to dešifrira (na brute force ali z ugotovljeno napako v šifriranju) s pomočjo takrat poznane tehnologije ali znanja. Torej nekaj let ali kako desetletje. Če jaz danes šifriram danes s kdo ve kakšno metodo, se bo čez 10 let sigurno nekdo našel, ki mi bo to dešifriral v minutah/tednih. In čez 10 let te še vedno lahko nekdo obtoži nekega dejanja s pomočjo te vsebine. Ali kaj drugega naredi s to vsebino :)
Čez nekaj 10 let ti bojo pa itak iz glave vse ven zdownloadali ob aretaciji :))

"50 supercomputers that could check a billion billion (1018) AES keys per second (if such a device could ever be made) would, in theory, require about 3×1051 years to exhaust the 256-bit key space."
Brute-force attack @ Wikipedia


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

WhatsApp šifrira vso komunikacijo (strani: 1 2 )

Oddelek: Novice / Zasebnost
6526858 (23523) čuhalev
»

Šifriranje podatkov v bazi

Oddelek: Programiranje
123257 (2883) SeMiNeSanja
»

LastPass dobil novega lastnika

Oddelek: Novice / Nakupi / združitve / propadi
2719656 (12915) murmur
»

Evropski ponudniki e-mail in "oblačnih" storitev (zasebnost itd.) (strani: 1 2 )

Oddelek: Informacijska varnost
8635202 (33458) SeMiNeSanja

Več podobnih tem