Szerző: Habók Lilla

2017. március 14. 09:30:00

Lemond a zero-knowledge kifejezéshasználatról a SpiderOak

Belátta a SpiderOak, hogy az általuk használt zero-knowledge kifejezés nem egyezik az akadémiai értelemben vett meghatározással. A Tresorit viszont egyelőre nem szakít a szóhasználattal, mivel az nem ellentétes a hagyományos értelemmel, csak éppen a felhőszolgáltatásokra vonatkozóan mást jelent.

HIRDETÉS

Elhagyja a biztonságos tárhely-szolgáltatást kínáló SpiderOak a "zero-knowledge" kifejezést és a jövőben csak a "no knowledge" fogalmat használja majd saját, végponttól végpontig történő titkosítási eljárásának meghatározására - írja Erin Risner kommunikációs igazgató egy közleményben. Mint megjegyzi, 2014-ben Snowden is a zero-knowledge leírást használta a SpiderOak termékére, és példájuk nyomán más versenytársak is ezt kezdték el alkalmazni marketinganyagaikban - köztük a magyar fejlesztésű vetélytársuk, a Tresorit is.

A SpiderOak már 2007 óta használja a zero-knowledge elnevezést a szoftverek biztonságosságának bemutatásához, mivel szerinte az jól szemléltette a mindennapi felhasználók számára a szolgáltatás lényegét, vagyis hogy nem férhet hozzá senki illetéktelen a náluk tárolt adatokhoz. Bár a cég saját bevallása szerint tisztában volt azzal, hogy a kifejezés technikailag nem pontos, ezért félrevezető lehet a biztonsági szakértők, kriptográfusok, az újságírók és az akadémikusok számára - csak most döntött úgy, hogy minden kommunikációs anyagban lecseréli a pontatlan tartalmat a biztonsági szakterminológiában egyébként ismeretlen "no knowledge"-ra. A lépésre a cég főleg azt követően szánta el magát, hogy a Hacker News fórumon pár hónappal ezelőtt vita bontakozott ki a kifejezéshasználat helytelen módjáról.

Zero-knowledge próbának vagy protokollnak az a módszer nevezhető, amellyel az egyik fél be tud bizonyítani egy állítást a másik fél számára, anélkül, hogy bármilyen más információt elárulna azonkívül, hogy az állítás igaz - írja a Wikipédia szócikke, amelyre többen is hivatkoztak a vitával kapcsolatban. A SpiderOak és más biztonságos tárolást nyújtó cégek viszont azt az üzenetet akarják átadni az elnevezéssel, hogy a felhasználó személyes adatai teljes biztonságban vannak a termékek használatakor, senki más nem tudhatja meg a fájl nevét vagy tartalmát az információ birtokosán kívül. A fogalmat egyfajta egyszerűsítésként kezdték használni a végpontok közötti titkosítás helyett, mivel a cég szerint ennek üzenetét az átlag felhasználó is könnyebben megérti.

Zero-knowledge magyarázat a Nature folyóiratban

Azt most is sietett leszögezni a cég, hogy a szolgáltatás nem változik a névvel, azaz a fejlesztők továbbra sem fogják látni a tárolt adatokat, a megosztásokat vagy az üzenetváltásokat. Minden esetben a fájlok titkosítása már azelőtt megtörténik, hogy az elhagyja a felhasználó eszközét, és csak az információgazda van a kulcs birtokában a titkosítás feloldásához.

A Tresoritnál marad a zero-knowledge

Ugyanúgy a zero-knowledge fogalmat használja a hazai fejlesztésű Tresorit csapata is a felhős tárhely-szolgáltatáshoz fejlesztett biztonsági megoldás kommunikációjában, amely szerint a szerverekre az állományok titkosítva érkeznek meg, azokat nem tudja a cég kibontani, kizárólag az előfizetőnek van rá lehetősége. A két cég nem titkoltan konkurense egymásnak, a Tresorit oldalán külön összehasonlítást is találhatunk arról, hogy miben különbözik a két biztonsági megoldás - természetesen a Tresorit javára domborítja ki az előnyöket, köztük azt, hogy a zero-knowledge védelem az asztali gépek mellett a mobilalkalmazásokra és a webes felületre is kiterjed a megoldásukban. Másik különbség pedig, hogy a SpiderOak leginkább backup funkcióval rendelkezik, míg a Tresorit emellett kollaborációt és fájlmegosztást is lehetővé tesz a cégeknek és az egyéni felhasználóknak, vagyis a megosztott mappákba a meghívott fél is biztonságosan tölthet fájlokat.

Kérdésünkre Szilva Eszter, a Tresorit PR menedzsere kifejtette, hogy a SpiderOaknak köszönhetően elterjesztett zero-knowledge fogalommagyarázatot nevezhetjük a felhőszolgáltatás egészére vonatkozó definíciónak, ami nem teljesen épül egymásra a hagyományos meghatározással, de nem is ellentétes vele: "(...) azt jelenti, hogy harmadik fél (NSA, hackerek, stb.) soha nem fér hozzá olvasható formában a felhasználó adataihoz, mivel az adatok soha nem hagyják el plain text vagy nem titkosított formában a felhasználó eszközét. Ez a két definíció nem igazán épül egymásra, fontos viszont, hogy a szolgáltatás egészére vonatkozó, leginkább a marketing által használt definíció nem ellentétes a kriptográfiai, akadémiai definícióval, nem jelent alacsonyabb biztonságot, hanem csupán másról szól. " - fogalmaz a Tresorit HWSW-hez eljuttatott közleménye.

Egyelőre a Tresorit kommunikációs anyagaiban továbbra is a zero-knowledge fog szerepelni, amelyet a végpontok közötti titkosítás mellett eddig is "másodlagos jellemzőként" használtak a marketingesek. Ebben az értelemben mindkét megoldás egyezik, tehát a két cég közötti versenyen a kommunikációs anyagok közötti eltérő szóhasználat nem fog változtatni.

a címlapról