25 ноября 2013

Кто использует шифрование, а кто — нет

Безопасность Новости

Сильное шифрование защищает деловое и частное общение (видимо, до тех пор, пока для написания криптографического программного обеспечения не станут привлекать обезьяний труд), делая его безопасным. Следовательно, компании, предоставляющее возможность такого шифрования, заботятся о безопасности и конфиденциальности своих клиентов.

Рейтинг компаний, заищающих пользовательскую информацию.

Организация Electronic Frontier Foundation всегда следит за последними известиями мира технологий и телекоммуникаций, рассказывающими о том, как компании обращаются с нашими данными. Также эта организация придает огласке случаи легкомысленного отношения к клиентской информации. Недавно опубликованный отчет «Шифрование в веб» посвящен именно этому. Это положительным образом отразилось на таких компаниях, как поисковый гигант Google, провайдер услуг и доступа в интернет SonicNet, а также облачные хранилища Dropbox и SpiderOak, которые предоставляют своим пользователям сильное аппаратное шифрование. Эти четыре компании являются победителями отчета EFF, пройдя проверку по пяти категориям: шифрование ссылок дата-центра, поддержка HTTPS, HSTS, совершенная прямая секретность и STARTTLS. Если кратко о шифровании ссылок дата-центров, то речь идет о том, каким образом тот же Google шифрует данные, а также о том, как именно данные проходят между дата-центрами компании. Еще недавно это было слабым местом Google. Реализация HTTPS должна гарантировать предоставление шифрованного канала для связи пользователя с сервисом. HSTS, или HTTP повышенной безопасности, является базовой политикой безопасности с обязательным использованием HTTPS для связи сервера с пользователем. Совершенная прямая секретность (Forward secrecy, или perfect forward secrecy), по сути, является криптографическим идеалом, который невозможно взломать. STARTTLS же представляет собой расширение возможностей электронной почты, шифрующее текстовые послания вне зависимости от используемой почтовой программы.

«Мы хотим использовать наш доклад в качестве позитивного поощрения. Читая его, другие компании, возможно, тоже захотят наконец-то усилить свою защиту», — говорится в отчете EFF.

Итак, как мы уже знаем, Google, SonicNet, Dropbox и SpiderOak являются победителями в этих номинациях. Пятым участником, прошедшим все пять проверок на отлично, является Facebook. Но пока это лишь условная награда, так как все эти функции находятся в процессе реализации. Twitter, между прочим, тоже попал в этот высокий рейтинг, с той лишь разницей, что он не поддерживает STARTTLS.

LinkedIn, Foursquare, Tumblr находятся в серединке с поддержкой всего трех функций из пяти. Yahoo! проходит лишь по одному проверочному пункту и по ряду дополнительных условий, так как собирается расширять список политик безопасности. Apple проходит лишь по одному пункту, так как поддерживает HTTPS-соединение со своим облаком iCloud. Microsoft, Myspace и WordPress получают по одному баллу, так как соответствуют всего лишь одному пункту.

Компании, которые, по мнению EFF, не прикладывают усилий для шифрования, — это Amazon, AT&T, Comcast и Verizon. Собственно, здесь только нулевые баллы.

Наверное, неудивительно, что ранее в этом году в Сан-Франциско был опубликован доклад «Кто нас прикрывает?», показавший аналогичные результаты. Доклад посвящен тому, какие телекоммуникационные компании с готовностью предоставляют информацию о пользователях правительственным структурам, а какие строго охраняют конфиденциальность клиентов. И там говорится о том, что Twitter, Google, SonicNet и SpiderOak не идут на раскрытие данных о пользователях, и в то же время докладчики погрозили пальчиком Apple, Yahoo!, Verizon, AT&T, Comcast и Amazon.

Конечно, за время, прошедшее между двумя этими докладами, многое изменилось. Например, появилось гораздо больше информации о спонсируемых государствами программах по надзору. Если говорить о взаимосвязи между этими докладами, то прослеживается явный прогресс в отношении к защите информации от правительственных служб и промышленного шпионажа.

«Мы хотим использовать наш доклад в качестве позитивного поощрения. Читая его, другие компании, возможно, тоже захотят наконец-то усилить свою защиту», — сказал Курт Опсал, старший юрист организации EFF.

EFF составила отчет, разослав компаниям свой опросник. Не все из компаний ответили, поэтому данные были получены из сторонних источников, в том числе из новостей и путем самостоятельного изучения сайтов этих компаний.

Что этот доклад значит для нас? Я не стану высказываться за или против использования вами какой-либо из упомянутых функций. Думаю, что мы сами должны, опираясь на полученную информацию и в зависимости от необходимости защиты информации, решать, насколько та или иная функция нам важна. Как отметил Майк Мимозо из Threatpost: «Мало одного только давления со стороны, чтобы подтолкнуть кого-либо делать правильные вещи».