Mot bakgrund av gårdagens chockerande nyheter om att NSA medvetet har infört svagheter i datasäkerhetsprodukter, utvecklaren av populära lösenord och säkerhetsapp för Mac och iOS, 1Password, har skrivit ett ganska talande blogginlägg om deras sårbarhet för denna typ av NSA intervention.
Så här säger AgileBits:
Har 1Password försvagats medvetet?
Nej.
Har vi, AgileBits, någonsin blivit tillfrågade/tvingade/pressade/kontaktade av någon enhet som bad oss att försvaga 1Password?
Nej.
Det är den enkla delen; vem som helst skulle kunna säga det. Låt oss titta lite djupare.
AgileBits spenderar ganska mycket tid på att förklara varför ovanstående är sant. Det är vettigt, eftersom hela affärsmodellen bygger på att dess kryptering - och därför kundens data - är säker, även från NSA.
Blogginlägget förklarar att AgileBits har utvecklare i Kanada, USA, Storbritannien och Nederländerna. Även om NSA hade bundit AgileBits, ett kanadensiskt ägt företag, med en knep-order, kunde det inte binda icke-amerikanska medborgare som bor utanför landet. Beställningar från andra länder skulle inte heller binda några amerikanska medborgare som bor här. Det enda sättet att behålla företagets tystnad skulle då vara att samordna minst fyra separata NSA-liknande byråer i alla fyra länder. Möjligt, men inte troligt.
För det andra är systemet som 1Password fungerar inom i kundens händer. "Ur lådan", skriver företaget, "1Password skapar en lokal datafil (ditt" valv ") och synkronisering är inaktiverad. Vi har aldrig möjlighet att se ditt huvudlösenord eller ens dina krypterade 1Password -data. ”
Företaget ser aldrig hur du använder 1Password. Ingen av dina privata surfdata eller känsliga finansiella poster passerar genom 1Password -systemen. De vet inte ens om du använder programvaran eller inte när du har köpt den. De erbjuder viss datasynkronisering, men även det görs lokalt, enligt webbplatsen. "När 1Password 4 för Mac kommer snart", säger bloggen, "kan Wi-Fi-synkronisering (testas för närvarande) låta dig synkronisera lokalt, vilket innebär att din data behöver aldrig lämna ditt lokala nätverk. ” Detta kan naturligtvis verifieras med ett program som LittleSnitch eller någon annan nätverksanalys verktyg.
Slutligen säger företaget att deras dataformat också är verifierbart. De har lämnat detaljer om den kryptering som 1Password använder, vilket låter alla som är oroliga för dess relativa styrka eller avsiktliga svaghet testa det själva.
Inlägget fortsätter att säga att de med största sannolikhet skulle följa prejudikatet från Lavabit, ett företag som har gått offentligt med sina egna påstådda klagomål genom att stänga av sig själv. AgileBits (inte relaterat) säger, ”... den verkliga möjligheten att vi skulle stänga av oss (vilket skulle vara offentligt) snarare än att sabotera det vi gör och älskar bör fungera som en avskräckning för dem som kanske vill tvinga oss att införa en bakdörr."
I blogginlägget står slutligen att, såvitt AgileBits vet, endast kommunikationsverktyg har riktats, och inte verktyg som skyddar konsumentlösenord och data lokalt, som 1Password.
Det här är en ganska robust uppsättning skäl till varför AgileBits kan lita på krypteringen av våra data. Dessutom behövde de inte kliva fram och ropa det; även om detta kan vara ett tecken på en konspiration, är det återigen inte troligt. I slutändan ger vi alla upp lite av vår säkerhet genom att använda digitala verktyg, och potentiellt mer om vi använder produkter som dessa.
Andra företag som tillverkar liknande produkter har inte gjort uttalanden om detta, så vitt vi vet, och ett, LastPass, kan redan ha brutits.
AgileBits blogginlägg sammanfattar allt genom att säga,
Även om du inte tycker att någon av de enskilda orsakerna som nämns ovan är övertygande, interagerar de kraftfullt. I kombination gör de det mycket svårare att få en svaghet i 1Password utan att ta stora risker för att fastna och misslyckas. Alla angripare, inklusive NSA, kommer att undvika högriskattacker med höga kostnader om det finns säkrare och enklare alternativ. Jag är därför övertygad om att NSA hellre skulle gå runt 1Password än genom det.
Vad tycker ni, Mac -användare?