I lys av gårsdagens sjokkerende nyheter om at NSA bevisst har satt svakheter inn i datasikkerhetsprodukter, er utvikleren av populære passord og sikkerhetsapp for Mac og iOS, 1Password, har skrevet et ganske fortellende blogginnlegg om deres sårbarhet for denne typen NSA innblanding.
Her er hva AgileBits sier:
Er 1Password bevisst svekket?
Nei.
Har vi, AgileBits, noen gang blitt spurt/tvunget/presset/kontaktet av en enhet som ber oss om å svekke 1Password?
Nei.
Det er den enkle delen; hvem som helst kan si det. La oss se litt dypere.
AgileBits bruker ganske mye tid på å forklare hvorfor det ovennevnte er sant. Det er fornuftig, ettersom hele forretningsmodellen er basert på at krypteringen - og derfor kundens data - er trygg, selv fra NSA.
Blogginnlegget forklarer at AgileBits har utviklere i Canada, USA, Storbritannia og Nederland. Selv om NSA hadde bundet AgileBits, et kanadisk eid selskap, med en gag-ordre, kunne det ikke binde ikke-amerikanske borgere som bor utenfor landet. Enhver ordre fra andre land vil heller ikke binde noen amerikanske statsborgere som bor her. Den eneste måten å beholde selskapets taushet på, ville da være å koordinere minst fire separate NSA-lignende byråer i alle fire land. Mulig, men ikke sannsynlig.
For det andre er systemet som 1Password fungerer i, totalt i kundens hender. "Ut av esken", skriver selskapet, "1Password oppretter en lokal datafil (" hvelvet ") og synkronisering er deaktivert. Vi har aldri muligheten til å se hovedpassordet ditt eller til og med dine krypterte 1Password -data. ”
Selskapet ser aldri hvordan du bruker 1Password. Ingen av dine private surfedata eller sensitive økonomiske poster passerer gjennom 1Password -systemene. De vet ikke engang om du bruker programvaren eller ikke når du har kjøpt den. De tilbyr noen datasynkronisering, men selv det gjøres lokalt, ifølge nettstedet. "Når 1Password 4 for Mac kommer snart," sier bloggen, "vil Wi-Fi-synkronisering (testes for øyeblikket) la deg synkronisere lokalt, noe som betyr at dataene dine trenger aldri å forlate ditt lokale nettverk. ” Dette kan selvfølgelig verifiseres med et program som LittleSnitch eller annen nettverksanalyse verktøy.
Til slutt sier selskapet at dataformatet deres også er verifiserbart. De har gitt detaljer om krypteringen som 1Password bruker, som lar alle som er bekymret for dens relative styrke eller bevisste svakhet teste den selv.
Innlegget fortsetter å si at de mest sannsynlig vil følge presedensen fra Lavabit, et selskap som har offentliggjort sine egne påståtte knebelordre ved å stenge seg selv. AgileBits (ikke relatert) sier, "... den virkelige muligheten for at vi ville stenge oss selv (som ville være offentlig) heller enn å sabotere det vi gjør og elsker, bør virke avskrekkende for de som kanskje vil tvinge oss til å innføre et bakdør."
I blogginnlegget står det til slutt at etter AgileBits kunnskap har bare kommunikasjonsverktøy blitt målrettet, og ikke verktøy som beskytter forbrukerpassord og data lokalt, som 1Password.
Dette er et ganske robust sett med grunner til at AgileBits kan stole på kryptering av dataene våre. I tillegg trengte de ikke å gå frem og ringe det; Selv om dette kan være tegn på en konspirasjon, er det igjen ikke sannsynlig. Til syvende og sist gir vi alle opp litt av sikkerheten vår ved å bruke digitale verktøy, og potensielt mer hvis vi bruker produkter som disse.
Andre selskaper som lager lignende produkter, har så langt vi vet ikke gitt uttalelser om dette, og ett, LastPass, kan allerede ha blitt brutt.
AgileBits -blogginnlegget oppsummerer alt med å si:
Selv om du ikke finner noen av de enkelte årsakene ovenfor som overbevisende, samhandler de kraftig. I kombinasjon gjør de det mye vanskeligere å få en svakhet i 1Password uten å ta på seg en stor risiko for å bli fanget og mislykkes. Enhver angriper, inkludert NSA, vil unngå høyrisiko og høye angrep hvis det finnes tryggere og enklere alternativer. Jeg er derfor sikker på at NSA heller vil gå rundt 1Password enn gjennom det.
Hva synes du, Mac -brukere?
