Danskudviklet krypterings-metode beskytter data i Dropbox

Et danskudviklet koncept-bevis viser, at man nemt kan sikre sine data i Dropbox med kryptering, hvor brugeren har nøglen. Metoden betyder, at man sikkert kan tjekke sin Dropboks på sin pc og Android-mobil.

Alexandra Instituttet har udviklet et proof of concept, der beviser, at man nemt kan sikre sine data i fildelingsværktøjet Dropbox og se dem på sin pc og Android-mobil.

I dag er Dropbox nemlig ikke særligt sikkert, ifølge Jakob I. Pagter, forsknings- og innovationschef på Alexandra Instituttet. Han har været med til at udtænke den nye krypteringsmetode til Dropbox og mener, at Dropbox i dag ikke har en særligt ’velkonstrueret’ sikkerhed.

»Dropbox har ikke haft sikkerhed som det primære fokus på deres dagsorden. Host-id’et genereres ud fa brugernavn og password, men det er statisk. Så selv om man skifter sit password, er det sted, hvor filerne ligger på serverne, altid det samme. Hvis man kender det oprindelige password og brugernavn, kan man således regne host-id’et ud,« siger han til Version2 og fortsætter:

»Det er et problem, hvis Dropbox har nedetid og lukker hvem som helst ind, som det er set før. Så kan alle, der har haft adgang til ens host-id, få adgang til filerne, selv om man efterfølgende har skiftet password.«

Læs også: Dropbox sagde nej til Steve Jobs: Nu er firmaet 22 milliarder værd

QR-kode på mobilen

Metoden består i, at Alexandra Instituttet har udviklet en applikation oven på Dropbox, der kan kryptere dokumenter, idet den har en API, der hooker ind til Dropbox. Først skal man downloade applikationen både til sin pc og sin mobiltelefon.

Applikationen genererer en nøgle, som bruges til at kryptere og dekryptere dokumenterne, når de lægges på Dropbox servere, og når de hentes igen.

Nøglen er en AES 128 bit symmetrisk krypterings-nøgle. På pc’en vises nøglen som en Quick Response-kode, eller QR-kode. Grunden til, at den ikke vises som en 128 bit-nøgle, er, at det er besværligt at taste sådan en kode ind på sin telefon.

Derefter tager man et billede af QR-koden med sin mobiltelefon, og applikationen på mobiltelefonen genererer den private nøgle. Nu kan man altså se sine filer på Dropbox på sin telefon via nøglen.

»Der findes jo mange måder at kryptere sine filer på, men vi har bare demonstreret, at der findes løsninger på sikkerhedsproblemet, som endda er lette at konstruere. Det er underligt, at Dropbox ikke selv har en beskyttelse som denne, når det nu er så let at udvikle,« siger Jakob I. Pagter til Version2.

Det er i princippet ikke nødvendigt at downloade begge applikationer, man kan godt nøjes med den til pc'en.

Al magt til brugeren - ikke Amazon

I dag krypterer Dropbox dog allerede dokumenter i den forstand, at krypteringen sker i Amazon, der har nøglen.

»De nøgler, der krypterer mine filer, ligger hos Amazon. De lover så højt og helligt, at de ikke rører data, men der er diskussionen så igen, om man tør stole på det,« siger han og fortsætter:

»Hvis man selv har nøglen, kortslutter man i hvert fald diskussionen om, hvorvidt Amazon passer godt nok på nøglen.«

Det tog kun en udvikler et par måneder at udvikle løsningen. Indtil videre er løsningen dog meget grøn, og altså kun et ’proof of concept’. Nøglen kan kun genereres på en computer, og nøglen kan kun bruges på én pc. Det vil sige, at man ikke kan se sine Dropbox-dokumenter på en anden computer end den, man har installeret nøglen på.

»Vi har bare vist, at det kan lade sig gøre. Så vi har heller ikke arbejdet på, hvordan man deler filer med andre,« siger han til Version2.

Hvorfor tror du, at de ikke har sikkerhed på dagsordnen, når nu alle andre taler så meget om sikkerhed?

»De vil nok ikke risikere, at nogle af deres brugere falder fra, fordi det bliver for besværligt,« siger han.

Alexandra Instituttet har endnu ikke kontaktet Dropbox med dets ’proof of concept’, men overvejer at gøre det, samt at videreudvikle løsningen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer ()
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sune Marcher

Hvorfor tror du, at de ikke har sikkerhed på dagsordnen, når nu alle andre taler så meget om sikkerhed?

Hvis kryptering foretages client-side ville DropBox ikke længere have mulighed at lave de-duplikering af data på tværs af brugere - hvilket de sparer en pæn del storage og datatrafik på.

Nåja, og de mindre detaljer: det ville gøre dem ude af stand til at snuse i folks data (hvad de har mulighed for nu), samt at overholde Patriot Act.

  • 0
  • 0
Klaus Kolle

Man kunne jo også bare bruge Wuala, som efter hvad de lover, krypterer på klienten før afskibning til skyen.

Deres klient på Linux er dog knap så elegant implementeret som Dropbox's.

  • 0
  • 0
Deleted User

Det er faktisk muligt at lave et system som lader brugerne kryptere og samtidig bibeholder deduplikering, dog vil systemet kunne lække information om hvilke filer der er ens, så man vil med en fil og en patriot act kunne se hvilke brugere der har en kopi af filen. Men til private hemmelige filer vil det virke upåklageligt.

Krypteringen foregår således: Hash filen, krypter filen vha. sin egen hashværdi, krypter hashværdien med din personlige nøgle, send den krypterede fil og den krypterede hashværdi til backup-udbyderen.

Alle brugere vil således kyptere filen med den samme nøgle, men kun brugere som har haft den originale fil vil have adgang til krypteringsnøglen.

Det er selvfølgelig ikke en metode som i alle tilfælde kan erstatte traditionel kryptering, men det giver billigt en væsentlig sikkerhedsforbedring.

  • 0
  • 0
Kenneth Schack Banner

At man ikke selv kan kryptere sine filer er sjovt.. har jeg benyttet truecrypt og nej det er ikke så svært, man kan nemlig lave en container som er dynamisk = ingen ekstra plads forbrug end højest nødvendigt :)

Siger bare velkommen til min dropbox held og lykke med og dekryptere mine filer :D

  • 0
  • 0
Sune Marcher

Er problemet med truecrypt container kryptering ikke, at den så skal sende hele filen hver gang du ændrer en lille smule i den?

Så vidt jeg ved fungerer DropBox på block level eller change deltas - kan ikke huske hvilken, men den burde hvertfald kun sende ændringer.

Synes dog at kunne huske at der er/var nogle issues med dropbox+truecrypt kombinationen. Én ting er det nok fungerer af helvede til hvis du tilgår imaget fra flere lokationer samtidig, men der var også noget andet enten med datakorruption eller i hvert fald at ændringer først blev sync'et når du dismounter truecrypt containeren.

Personligt vil jeg langt hellere benytte en pålidelig service der gør tingene korrekt: clientside zero-knowledge kryptering.

  • 0
  • 0
Log ind eller Opret konto for at kommentere