Nincs titkos felhős szolgáltatás
Két, teljeskörű titkosítással rendelkező email-szolgáltatás állt le a héten, mivel a szoltáltatók nem tudták garantálni, hogy az Egyesült Államok kormánya nem fér hozzá a tárolt információhoz. A pont-pont kommunikáció továbbra is jól titkosítható, de ami a szervereken van, az megfigyelhető ma.
Nem tudja email-szolgáltatásának biztonságát garantálni a Lavabit és a Silent Circle, így mindkét cég leállítja azt. A két cég közleményéből egyértelműnek tűnik, hogy az amerikai jogi környezet teszi lehetetlenné a biztonságos szolgáltatást, a cégek ugyanis kötelezhetőek a levelek tartalmának kiadására. A Lavabit az elmúlt hónapokban vált híressé, miután Edward Snowden, az amerikai Nemzetbiztonsági Hivatal (NSA) dezertáló munkatársa itt működtetett postaládát. A Silent Circle sokkal nagyobb halnak számít, alapítói közé tartozik Phil Zimmermann, a PGP készítője is.
Pont-pont kommunikáció igen, szerver-alapú nem
A Silent Circle álláspontja szerint az olyan szolgáltatások esetében, ahol a szolgáltatást nyújtó is rendelkezik a titkosítási kulccsal, a mai amerikai jogi környezetben nem tekinthetőek biztonságosnak. Az email esetében a levelek a szolgáltató szervereire érkeznek, és bár a Silent Circle titkosítva tárolja és titkosítva küldi a felhasználóknak az adatokat, értelemszerűen rendelkeznie kell a titkosítást feloldó kulccsal is, a kormányzat pedig kötelezheti ennek kiadására. A Silent Circle állítása szerint egyelőre nem kaptak adatigénylést a nemzetbiztonsági vagy egyéb amerikai kormányzati hatóságtól, de mivel ennek lehetősége nem zárható ki (és ellenkezésnek, sőt, az adatszolgáltatás tényének nyilvánosságra hozatalára nem ad lehetőséget a törvény), a cég ezért leállítja a szolgáltatást.
Az olyan rendszereknél, amelyeknél a titkosítást feloldó kulcs kizárólag a felhasználóknál található, a jogi környezet ellenére a szolgáltató is képtelenek betekintést nyújtani a kommunikációba, így ezek továbbra is biztonságosnak tekinthetőek. Ennek megfelelően a Silent Phone, a Silent Text és a Silent Eyes (hang, szöveges és videókommunikáció) továbbra is biztosnak számít, mivel a két felhasználó között végig titkosítva halad az adat, azokat titkosítatlanul sem tárolja a szolgáltató és metaadatokat sem őriz. A cég szervereit használó Silent Mail azonban potenciálisan kormányzati kémkedés célpontja lehet.
Rust? Kubernetes? FinOps? Melyiket válasszam? Egy jó karrierdöntéshez sok apróság szükséges. Egy alapos hazai technológiai körkép azoban még hiányzott. Végre van ilyen, és a 21. kraftie adásban kidumáltuk.
A Silent Circle szolgáltatásai kifejezetten népszerűnek számítanak a támadásoknak gyakran kitett emberek körében. "Van néhány igazán nagy nevű megrendelőnk, magas rangú állami vezetők, emberjogi csoportok, újságírók, több állam speciális alakulata" - nyilatkozta Michael Janke, a cég elnök-vezérigazgatója a TechCrunchnak. A szolgáltatás műszaki szempontból biztonságosnak számít, incidensre sem került sor eddig, azonban ezt a jövőben az email-szolgáltatása esetében már nem tudja garantálni, hogy az adatok ne kerüljenek ki. "Elnézést kérünk az esetleges kellemetlenségért, és reméljünk, hogy megérti, ha haboznánk, sokkal nagyobb kellemetlenséget kockáztatnánk" - búcsúzott a felhasználóktól a szolgáltató.
Lavabit: nincs biztonságos szolgáltatás
A Silent Circle-lel szemben a Lavabit (valószínűleg Snowden postaládája kapcsán) már célpontja lehetett kormányzati adatigénylésnek. A szolgáltatást egy személyben fejlesztő és üzemeltető Ladar Levison ezért úgy döntött, hogy a Lavabit szolgáltatását leállítja. A fejlesztő (feltehetően bírósági határozat nyomán) nem fedheti fel, hogy milyen kormányzati lépések révén kényszerült meghozni ezt a döntést, annak ellenére, hogy az Alkotmány garantálja a szólásszabadságot.
Tiszta beszéd.
A cég honlapján közzétett levélben a fejlesztő figyelmezteti a felhasználókat, hogy az amerikai jogi környezetnek köszönhetően egyik olyan szolgáltatás sem tekinthető biztonságosnak, amelynek fizikailag köze van az Egyesült Államokhoz és sürgeti az olvasókat, hogy adataikat ne bízzák ilyen entitásokra.
A felhős biztonsággal kapcsolatos kérdés nem elméleti. A hatóságoknál is emberek dolgoznak, és pont a Snowden-eset mutatja, hogy az emberek nem abszolút megbízhatóak. A tény, hogy érzékeny adatokhoz a jogosultakon kívül más, ismeretlen személyek is hozzáférnek, definíció szerint kétségbe vonja az adat biztonságát és megkérdőjelezi a szolgáltatást nyújtók őszinteségét.
Európai szolgáltatók profitálhatnak
A washingtoni Information Technology & Innovation Foundation az egyik legbefolyásosabb, független think tanknak számít műszaki területen. A szervezet legújabb jelentése azt állítja, hogy az NSA PRISM és egyéb lehallgatási akciók rendkívül keményen visszaütnek az amerikai felhős szolgáltatókra, és a következő három évben mintegy 22-35 milliárd dolláros bevételkiesést okoz a biztonságos szolgáltatást ellehetetlenítő jogi környezet.
A felhős bevételek egyre nagyobb aránya érkezik az USA-n kívülről (Gartner).
A jelentés szerint az Egyesült Államok, az Európai Unió és más nagy nemzetgazdaságok között késhegyre menő csata folyik jelenleg is a nyilvános felhős szolgáltatások terén. Az EU kinyilvánított szándéka versenyképessé tenni a kontinens hazai szolgáltatásait, ha kell, agresszív pénzügyi támogatásokkal és a szabályozási környezet módosításával. Egyelőre az amerikai szolgáltatások gyakorlatilag minden területen abszolút dominánsnak számítanak, de a robbanásszerűen növekvő piacon az amerikai jogi környezet bizonytalansága felboríthatja ezt a szituációt. Neelie Kroes, az EU digitális menetrendért felelős biztosa kaján fogalmazása szerint: "ha az európai felhő-vásárlók nem bíznak az Egyesült Államok kormányában, akkor talán nem bízhatnak az amerikai szolgáltatásokban sem. [...] Ha amerikai felhő-szolgáltató lennék, most meglehetősen bosszantana a saját kormányom." Az európai tervek szerint hamarosan elkészül egy felhős tanusítvány és szerződés-minta, amelyben külön kitételként szerepel az adatok biztonsága a széleskörű kormányzati adatigényléssel szemben - a várakozások szerint ezt az amerikai szolgáltatók csak nehezen vagy sehogyan nem fogják tudn teljesíteni.
A felhős szolgáltatások összbevétele a Gartner piackutatása szerint 2012 és 2016 között megduplázódik majd, miközben a teljes IT-költés csak 3 százalékkal bővül. A gyorsan növekvő piacon ráadásul roppant gyorsan változhat a szituáció, a potenciális vásárlókra még nem hat a lock-in, a pozíciókban pillanatok alatt megtörhet az amerikai dominancia. Az ITIF tanulmánya szerint a botrány kapcsán legjobb esetben 10, legrosszabb esetben 20 százalékát veszíthetik el, ez 22-35 millió dolláros bevételkiesésnek felelne meg.