В свете вчерашней шокирующей новости о том, что АНБ намеренно добавило слабые места в продукты компьютерной безопасности, разработчик популярных приложение для паролей и безопасности для Mac и iOS, 1Password, написало в блоге довольно показательный пост об их уязвимости к этому типу АНБ. вмешательство.
Вот что говорит AgileBits:
Был ли 1Password ослаблен намеренно?
Нет.
К нам, AgileBits, когда-нибудь обращались / принуждали / давили / связались какие-либо лица, просящие нас ослабить 1Password?
Нет.
Это легкая часть; любой мог сказать это. Давайте посмотрим глубже.
AgileBits тратит довольно много времени на объяснение того, почему вышесказанное верно. Это имеет смысл, поскольку вся его бизнес-модель основана на том факте, что шифрование - и, следовательно, данные его клиентов - защищены даже от АНБ.
В сообщении блога объясняется, что у AgileBits есть разработчики в Канаде, США, Великобритании и Нидерландах. Даже если бы АНБ связывало AgileBits, канадскую компанию, запретом, оно не могло связывать неамериканских граждан, проживающих за пределами страны. Любые приказы из других стран также не будут связывать проживающих здесь граждан США. Таким образом, единственный способ сохранить молчание компании - это скоординировать действия как минимум четырех отдельных агентств, подобных АНБ, во всех четырех странах. Возможно, но маловероятно.
Во-вторых, система, в которой работает 1Password, полностью находится в руках клиента. «Из коробки», - пишет компания, - «1Password создает локальный файл данных (ваше« хранилище »), и синхронизация отключается. У нас никогда не будет возможности увидеть ваш мастер-пароль или даже ваши зашифрованные данные 1Password ».
Компания никогда не видит, как вы используете 1Password. Никакие ваши личные данные о просмотре или конфиденциальные финансовые записи не проходят через системы 1Password. Они даже не знают, используете вы программу или нет, когда вы ее купили. Они действительно предлагают некоторую синхронизацию данных, но даже это делается локально, согласно веб-сайту. «Когда скоро появится 1Password 4 для Mac, - говорится в блоге, - синхронизация Wi-Fi (в настоящее время проходит тестирование) позволит вам синхронизировать локально, то есть ваши данные никогда не должен покидать вашу локальную сеть ». Конечно, это можно проверить с помощью такой программы, как LittleSnitch, или любой другой программы сетевого анализа. орудие труда.
Наконец, компания заявляет, что их формат данных также поддается проверке. Они предоставили подробную информацию о шифровании, которое использует 1Password, что позволяет любому, кто обеспокоен его относительной силой или преднамеренной слабостью, проверить его самостоятельно.
В сообщении по-прежнему говорится, что они, скорее всего, последуют прецеденту, созданному Lavabit, компанией, которая стала публичной со своими собственными предполагаемыми приказами о замалчивании, закрыв себя. AgileBits (не связанный) говорит: «… вполне реальная возможность того, что мы отключимся (что будет публично), скорее чем саботировать то, что мы делаем, и то, что мы любим, должно выступать в качестве сдерживающего фактора для тех, кто может захотеть заставить нас ввести черный ход."
Наконец, в сообщении блога говорится, что, насколько известно AgileBits, целью были только средства коммуникации, а не инструменты, которые защищают пароли и данные пользователей локально, такие как 1Password.
Это довольно веский набор причин, по которым AgileBits можно доверять шифрование наших данных. Кроме того, им не нужно было выходить вперед и кричать об этом; Хотя это может быть признаком заговора, опять же, это маловероятно. В конце концов, мы все немного отказываемся от нашей безопасности, используя цифровые инструменты, и, возможно, даже больше, если используем подобные продукты.
Насколько нам известно, другие компании, производящие аналогичные продукты, не делали заявлений на этот счет, и одна, LastPass, возможно, уже было нарушено.
Сообщение в блоге AgileBits резюмирует все, говоря:
Даже если вы не находите убедительной ни одна из перечисленных выше причин, они действенно взаимодействуют друг с другом. В сочетании они значительно усложняют внедрение уязвимости в 1Password без большого риска быть пойманным и потерпеть неудачу. Любой злоумышленник, включая АНБ, избежит высокорисковых и дорогостоящих атак, если найдутся более безопасные и простые альтернативы. Поэтому я уверен, что АНБ предпочтет обойти 1Password, чем использовать его.
Как вы думаете, пользователи Mac?