Partijen als Google bieden met opzet geen versleutelde cloudapplicaties aan, omdat ze de gegevens van gebruikers willen kunnen doorzoeken. Dat stelt de Poolse rootkit-expert Joanna Rutkowska. De cloud is volgens haar handig voor het delen en synchroniseren van gegevens, toch kleven er ook nadelen aan. "Je hoeft niet slim of securitybewust te zijn om te beseffen wat voor dreiging dit voor veiligheid en privacy is. Willen we onze privacy en veiligheid opofferen in ruil voor het eenvoudig synchroniseren en delen van gegevens. We hebben besloten om de Cloud te vertrouwen, maar wat betekent dat nu?"
Ten eerste moeten gebruikers de cloudaanbieder vertrouwen, dat die privégegevens niet aan iemand anders doorverkoopt, zoals een verzekeringsmaatschappij. Daarnaast moet de software van de cloudaanbieder veilig zijn. Ook moeten gebruikers de infrastructuur van de cloudaanbieder vertrouwen, maar ook de infrastructuur die hier tussen zit. "Dat is heel veel vertrouwen en de belangen zijn hoog. Moeten we echt zo'n offer brengen? Moeten we echt al onze privégegevens overhandigen aan deze organisaties? Natuurlijk niet!", laat de Poolse weten.
De oplossing is volgens haar het versleutelen van gegevens die naar de cloud worden gestuurd. Iets wat de applicatie op de computer van de gebruiker moet worden gedaan en niet in de cloud. Om gegevens toch met anderen te delen zou elk record met een willekeurige symmetrische sleutel voor elke andere gebruiker of machine moeten worden versleuteld. Door de symmetrische sleutel met de publieke sleutel van de andere gebruiker te versleutelen, heeft alleen die persoon toegang.
Vertrouwen
Toch zijn er nog steeds geen client-side versleutelde cloudaanbieders. "De meeste aanbieders vinden het fantastisch dat ze onbeperkt toegang tot de gegevens van hun klanten hebben. Denk je dat Google zit te wachten om de mogelijkheid op te geven dat ze al je gegevens kunnen doorzoeken? Dit kan hun advertenties, gezondheidsonderzoek of het geheime plan om de wereld over te nemen beïnvloeden."
Volgens Rutkowska is er geen technische reden dat gebruikers hun privégegevens aan deze bedrijven moeten toevertrouwen. Ze verwacht echter dat in de toekomst er een partij zal komen die een versleutelde clouddienst aanbiedt. "En ik zal de eerste zijn om het te gebruiken." De rootkit-expert benadrukt dat er niet veel vertrouwd hoeft te worden. "Maar er is altijd één element dat we moeten vertrouwen, en dat zijn onze clients. Als die gecompromitteerd zijn, kan een aanvaller alles stelen."
Deze posting is gelocked. Reageren is niet meer mogelijk.