Szerző: Habók Lilla

2017. március 14. 09:30

Lemond a zero-knowledge kifejezéshasználatról a SpiderOak

Belátta a SpiderOak, hogy az általuk használt zero-knowledge kifejezés nem egyezik az akadémiai értelemben vett meghatározással. A Tresorit viszont egyelőre nem szakít a szóhasználattal, mivel az nem ellentétes a hagyományos értelemmel, csak éppen a felhőszolgáltatásokra vonatkozóan mást jelent.

Elhagyja a biztonságos tárhely-szolgáltatást kínáló SpiderOak a "zero-knowledge" kifejezést és a jövőben csak a "no knowledge" fogalmat használja majd saját, végponttól végpontig történő titkosítási eljárásának meghatározására - írja Erin Risner kommunikációs igazgató egy közleményben. Mint megjegyzi, 2014-ben Snowden is a zero-knowledge leírást használta a SpiderOak termékére, és példájuk nyomán más versenytársak is ezt kezdték el alkalmazni marketinganyagaikban - köztük a magyar fejlesztésű vetélytársuk, a Tresorit is.

A SpiderOak már 2007 óta használja a zero-knowledge elnevezést a szoftverek biztonságosságának bemutatásához, mivel szerinte az jól szemléltette a mindennapi felhasználók számára a szolgáltatás lényegét, vagyis hogy nem férhet hozzá senki illetéktelen a náluk tárolt adatokhoz. Bár a cég saját bevallása szerint tisztában volt azzal, hogy a kifejezés technikailag nem pontos, ezért félrevezető lehet a biztonsági szakértők, kriptográfusok, az újságírók és az akadémikusok számára - csak most döntött úgy, hogy minden kommunikációs anyagban lecseréli a pontatlan tartalmat a biztonsági szakterminológiában egyébként ismeretlen "no knowledge"-ra. A lépésre a cég főleg azt követően szánta el magát, hogy a Hacker News fórumon pár hónappal ezelőtt vita bontakozott ki a kifejezéshasználat helytelen módjáról.

Zero-knowledge próbának vagy protokollnak az a módszer nevezhető, amellyel az egyik fél be tud bizonyítani egy állítást a másik fél számára, anélkül, hogy bármilyen más információt elárulna azonkívül, hogy az állítás igaz - írja a Wikipédia szócikke, amelyre többen is hivatkoztak a vitával kapcsolatban. A SpiderOak és más biztonságos tárolást nyújtó cégek viszont azt az üzenetet akarják átadni az elnevezéssel, hogy a felhasználó személyes adatai teljes biztonságban vannak a termékek használatakor, senki más nem tudhatja meg a fájl nevét vagy tartalmát az információ birtokosán kívül. A fogalmat egyfajta egyszerűsítésként kezdték használni a végpontok közötti titkosítás helyett, mivel a cég szerint ennek üzenetét az átlag felhasználó is könnyebben megérti.

Zero-knowledge magyarázat a Nature folyóiratban

Azt most is sietett leszögezni a cég, hogy a szolgáltatás nem változik a névvel, azaz a fejlesztők továbbra sem fogják látni a tárolt adatokat, a megosztásokat vagy az üzenetváltásokat. Minden esetben a fájlok titkosítása már azelőtt megtörténik, hogy az elhagyja a felhasználó eszközét, és csak az információgazda van a kulcs birtokában a titkosítás feloldásához.

A Tresoritnál marad a zero-knowledge

Ugyanúgy a zero-knowledge fogalmat használja a hazai fejlesztésű Tresorit csapata is a felhős tárhely-szolgáltatáshoz fejlesztett biztonsági megoldás kommunikációjában, amely szerint a szerverekre az állományok titkosítva érkeznek meg, azokat nem tudja a cég kibontani, kizárólag az előfizetőnek van rá lehetősége. A két cég nem titkoltan konkurense egymásnak, a Tresorit oldalán külön összehasonlítást is találhatunk arról, hogy miben különbözik a két biztonsági megoldás - természetesen a Tresorit javára domborítja ki az előnyöket, köztük azt, hogy a zero-knowledge védelem az asztali gépek mellett a mobilalkalmazásokra és a webes felületre is kiterjed a megoldásukban. Másik különbség pedig, hogy a SpiderOak leginkább backup funkcióval rendelkezik, míg a Tresorit emellett kollaborációt és fájlmegosztást is lehetővé tesz a cégeknek és az egyéni felhasználóknak, vagyis a megosztott mappákba a meghívott fél is biztonságosan tölthet fájlokat.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Kérdésünkre Szilva Eszter, a Tresorit PR menedzsere kifejtette, hogy a SpiderOaknak köszönhetően elterjesztett zero-knowledge fogalommagyarázatot nevezhetjük a felhőszolgáltatás egészére vonatkozó definíciónak, ami nem teljesen épül egymásra a hagyományos meghatározással, de nem is ellentétes vele: "(...) azt jelenti, hogy harmadik fél (NSA, hackerek, stb.) soha nem fér hozzá olvasható formában a felhasználó adataihoz, mivel az adatok soha nem hagyják el plain text vagy nem titkosított formában a felhasználó eszközét. Ez a két definíció nem igazán épül egymásra, fontos viszont, hogy a szolgáltatás egészére vonatkozó, leginkább a marketing által használt definíció nem ellentétes a kriptográfiai, akadémiai definícióval, nem jelent alacsonyabb biztonságot, hanem csupán másról szól. " - fogalmaz a Tresorit HWSW-hez eljuttatott közleménye.

Egyelőre a Tresorit kommunikációs anyagaiban továbbra is a zero-knowledge fog szerepelni, amelyet a végpontok közötti titkosítás mellett eddig is "másodlagos jellemzőként" használtak a marketingesek. Ebben az értelemben mindkét megoldás egyezik, tehát a két cég közötti versenyen a kommunikációs anyagok közötti eltérő szóhasználat nem fog változtatni.

a címlapról