NSA가 의도적으로 컴퓨터 보안 제품에 취약점을 삽입했다는 충격적인 어제의 뉴스에 비추어, 인기 있는 Mac 및 iOS용 암호 및 보안 앱인 1Password는 이러한 유형의 NSA에 대한 취약성에 대해 상당히 흥미로운 블로그 게시물을 작성했습니다. 간섭.
AgileBits는 다음과 같이 말합니다.
1Password가 의도적으로 약화되었습니까?
아니요.
우리 AgileBits가 1Password를 약화시키도록 요청하는 단체로부터 요청/강요/압박/접촉을 받은 적이 있습니까?
아니요.
쉬운 부분입니다. 누구나 그렇게 말할 수 있습니다. 조금 더 자세히 살펴보겠습니다.
AgileBits는 위의 내용이 사실인 이유를 설명하는 데 상당한 시간을 할애합니다. 전체 비즈니스 모델이 암호화(따라서 고객 데이터)가 NSA로부터도 안전하다는 사실에 기반을 두고 있기 때문에 의미가 있습니다.
블로그 게시물에 따르면 AgileBits에는 캐나다, 미국, 영국 및 네덜란드에 개발자가 있습니다. NSA가 캐나다 소유 회사인 AgileBits를 개그 명령으로 묶었다고 해도 외국에 거주하는 비미국 시민을 묶을 수는 없었습니다. 다른 국가의 명령은 마찬가지로 여기에 살고 있는 미국 시민을 구속하지 않습니다. 따라서 회사의 침묵을 유지하는 유일한 방법은 4개국에 걸쳐 최소 4개의 NSA와 유사한 별도의 기관을 조정하는 것입니다. 가능하지만 가능성은 없습니다.
둘째, 1Password가 작동하는 시스템은 전적으로 고객의 손에 있습니다. 회사는 "기본적으로 1Password는 로컬 데이터 파일(귀하의 "볼트")을 생성하고 동기화를 비활성화합니다. 우리는 귀하의 마스터 비밀번호나 암호화된 1Password 데이터를 볼 기회가 전혀 없습니다."
회사는 귀하가 1Password를 어떻게 사용하는지 절대 보지 않습니다. 개인 브라우징 데이터나 민감한 금융 기록은 1Password 시스템을 통과하지 않습니다. 그들은 당신이 소프트웨어를 사용하고 있는지 한 번 구입하지 않았는지조차 모릅니다. 그들은 일부 데이터 동기화를 제공하지만 웹 사이트에 따르면 그것도 로컬에서 수행됩니다. 블로그에서는 "Mac용 1Password 4가 곧 출시되면 Wi-Fi 동기화(현재 테스트 중)를 통해 로컬에서 동기화할 수 있습니다. 로컬 네트워크를 떠날 필요가 없습니다." 물론 이것은 LittleSnitch와 같은 프로그램이나 다른 네트워크 분석으로 확인할 수 있습니다. 도구.
마지막으로 회사는 데이터 형식도 확인할 수 있다고 말합니다. 그들은 1Password가 사용하는 암호화에 대한 세부 정보를 제공하여 상대적인 강점이나 의도적인 약점에 대해 우려하는 사람이 스스로 테스트할 수 있도록 합니다.
게시물은 그들이 스스로를 폐쇄함으로써 자신의 개그 명령을 내걸고 공개한 회사인 Lavabit이 설정한 선례를 따를 가능성이 가장 높다고 계속해서 말하고 있습니다. AgileBits(관련 없음)는 다음과 같이 말합니다. 우리가 하는 일과 사랑하는 일을 방해하는 것보다 뒷문."
블로그 게시물은 마지막으로 AgileBits가 아는 한 커뮤니케이션 도구만 대상이 되었으며 1Password와 같이 로컬에서 소비자 암호와 데이터를 보호하는 도구가 아니라고 밝혔습니다.
이것이 AgileBits가 데이터 암호화로 신뢰할 수 있는 상당히 강력한 이유입니다. 또한 그들은 앞으로 나서서 외칠 필요가 없었습니다. 이것은 음모의 신호일 수 있지만, 다시 말하지만 그럴 가능성은 없습니다. 궁극적으로 우리 모두는 디지털 도구를 사용하여 보안을 어느 정도 포기하고 이러한 제품을 사용하면 잠재적으로 더 많은 보안을 포기합니다.
유사한 제품을 만드는 다른 회사는 우리가 아는 한 이러한 취지로 진술하지 않았으며, 하나는 LastPass, 이미 위반되었을 수 있습니다.
AgileBits 블로그 게시물은 다음과 같이 모든 것을 요약합니다.
위에 나열된 개별 이유 중 어느 것도 설득력이 없다고 하더라도 강력하게 상호 작용합니다. 결합하면 걸리거나 실패하는 큰 위험을 감수하지 않고 1Password의 약점을 훨씬 더 어렵게 만듭니다. NSA를 포함한 모든 공격자는 더 안전하고 쉬운 대안이 있다면 고위험, 고비용 공격을 피할 것입니다. 따라서 저는 NSA가 1Password를 통하지 않고 1Password를 사용한다고 확신합니다.
Mac 사용자 여러분은 어떻게 생각하십니까?