क्यों अधिकांश वेब सेवाएँ एंड-टू-एंड एन्क्रिप्शन का उपयोग नहीं करती हैं
सरकारी निगरानी के बारे में हालिया खुलासे ने सवाल उठाया है: क्लाउड सेवाएं आपके डेटा को एन्क्रिप्ट क्यों नहीं करती हैं? ठीक है, वे आम तौर पर आपके डेटा को एन्क्रिप्ट करते हैं, लेकिन उनके पास कुंजी है इसलिए वे इसे किसी भी समय डिक्रिप्ट कर सकते हैं जैसे वे चाहते हैं.
असली सवाल यह है: वेब सेवाएं अपने डेटा को स्थानीय रूप से एन्क्रिप्ट और डिक्रिप्ट क्यों नहीं करती हैं, ताकि यह एन्क्रिप्टेड रूप में संग्रहीत हो, कोई भी इसे स्नूप न कर सके? LastPass अपने पासवर्ड डेटाबेस के साथ करता है, सब के बाद.
एंड-टू-एंड एन्क्रिप्शन अलग कैसे होगा
स्पष्ट होने के लिए, संभवतः आपका डेटा एन्क्रिप्ट किया गया है। उदाहरण के लिए Dropbox लेते हैं। जब आप ड्रॉपबॉक्स से कनेक्ट होते हैं, तो ड्रॉपबॉक्स एक एन्क्रिप्टेड कनेक्शन पर सभी डेटा को स्थानांतरित करता है ताकि कोई भी उस पर ट्रांजिट न कर सके। ड्रॉपबॉक्स यह भी वादा करता है कि वे आपकी फ़ाइलों को एन्क्रिप्टेड रूप में अपने सर्वर पर संग्रहीत करते हैं.
हालाँकि, एन्क्रिप्शन एक लॉक है, और क्या कुछ लॉक किया गया है, इसकी कुंजी के मुकाबले कम महत्वपूर्ण है। ड्रॉपबॉक्स में आपके सर्वर पर आपकी सभी फ़ाइलों को देखने के लिए एन्क्रिप्शन कुंजी है, इसलिए जब यह सच हो कि यह एन्क्रिप्ट किया गया है, तो यह भी सच है कि ड्रॉपबॉक्स की उनके पास पूर्ण पहुंच है और वे सरकारी निगरानी में सहयोग कर सकते हैं या कोई दुष्ट कर्मचारी आपकी फ़ाइलों के माध्यम से जा सकता है.
"एंड-टू-एंड एन्क्रिप्शन" का विचार - आप इसे "स्थानीय एन्क्रिप्शन और डिक्रिप्शन" के रूप में भी संदर्भित कर सकते हैं - अलग है। एंड-टू-एंड एन्क्रिप्शन के साथ, डेटा केवल अंतिम बिंदुओं पर डिक्रिप्ट किया जाता है। दूसरे शब्दों में, एंड-टू-एंड एन्क्रिप्शन के साथ भेजे गए एक ईमेल को स्रोत पर एन्क्रिप्ट किया जाएगा, जो पारगमन में जीमेल जैसे सेवा प्रदाताओं के लिए अपठनीय है, और फिर इसके समापन बिंदु पर डिक्रिप्ट किया गया है। महत्वपूर्ण रूप से, ईमेल केवल उनके कंप्यूटर पर अंतिम उपयोगकर्ता के लिए डिक्रिप्ट की जाएगी और जीमेल जैसी ईमेल सेवा के लिए एन्क्रिप्टेड, अपठनीय रूप में रहेगी, जिसमें डिक्रिप्ट करने के लिए कुंजी उपलब्ध नहीं होगी। यह बहुत अधिक कठिन है.
डाउनलोड करें और स्थानीय डिक्रिप्शन
जैसा कि हमने ऊपर बताया कि लास्टपास आपके वेब ब्राउजर के माध्यम से स्थानीय एन्क्रिप्शन और डिक्रिप्शन का उपयोग करता है। यह आपके पासवर्ड से एन्क्रिप्टेड ब्लॉब को डाउनलोड करता है, इसे आपके पासवर्ड से डिक्रिप्ट करता है, और आपको अपने पासवर्ड को एक्सेस करने की अनुमति देता है। ध्यान दें कि LastPass को डिक्रिप्ट करने के लिए पासवर्ड और अन्य डेटा के अपने पूरे वॉल्ट को डाउनलोड करना होगा। लास्टपास के मामले में, यह ठीक काम करता है - यह एक काफी छोटी फ़ाइल है.
हालाँकि, अन्य वेब सेवाओं के साथ ऐसा करना कहीं भी आसान नहीं होगा। उदाहरण के लिए, यदि जीमेल इसी तरह काम करता है, तो जीमेल को आपके कंप्यूटर पर आपके पूरे 5 जीबी ईमेल इनबॉक्स का प्रतिनिधित्व करने वाली एक फाइल डाउनलोड करनी होगी। यह शायद इसके लिए HTML5 के लोकलस्टोरेज विनिर्देशन का उपयोग कर सकता है, अगर लोकलस्टोरेज अधिक डेटा स्टोर कर सकता है। इस फ़ाइल को तब आपके ईमेल इनबॉक्स तक पहुँच प्रदान करने के लिए स्थानीय रूप से डिक्रिप्ट करना होगा, जिसमें कुछ समय लगेगा.
यह संभव है कि जीमेल एक अलग फ़ाइल के साथ, प्रत्येक नए, एन्क्रिप्टेड ईमेल का प्रतिनिधित्व कर सके। लेकिन इस तरह से एक ईमेल क्लाइंट को तैयार करने में बहुत अधिक जटिलता शामिल है.
यह आज वास्तव में अधिक-या-कम असंभव होगा - लोकप्रिय ब्राउज़र में लोकलस्टोरेज अक्सर 5 एमबी या प्रति वेबसाइट तक सीमित होता है। युक्ति कहती है कि उपयोगकर्ताओं को यदि वे चाहें तो इस सीमा को बढ़ाने में सक्षम होना चाहिए, लेकिन कुछ ब्राउज़र इसे लागू करते हैं.
कोई सुरक्षित वेब ऐप्स नहीं
स्पाइडरऑक और वूला जैसी क्लाउड स्टोरेज सेवाएं ड्रॉपबॉक्स से अलग हैं - वे पूर्ण स्थानीय एन्क्रिप्शन और डिक्रिप्शन प्रदान करते हैं। स्पाइडरऑक या वुआला के लिए डेस्कटॉप प्रोग्राम स्थापित करें और उन्हें अपलोड करने से पहले वे आपकी फ़ाइलों को एन्क्रिप्ट करेंगे, इसलिए सेवा स्वयं कभी नहीं जानती कि आप क्या स्टोर कर रहे हैं, और तुंहारे इन तक पहुंचने के लिए एन्क्रिप्शन कुंजी की आवश्यकता होती है.
हालाँकि, ये सेवाएँ ड्रॉपबॉक्स से अन्य तरीकों से भिन्न हैं, भी - वे आसान पहुँच के लिए वेब इंटरफ़ेस के उपयोग को प्रोत्साहित नहीं करते हैं। एक वेब ऐप प्रदान करना ड्रॉपबॉक्स के लिए आसान है जो आपको अपनी फ़ाइलों को एक्सेस करने की अनुमति देता है, क्योंकि यह समझता है कि वे फाइलें क्या हैं। स्पाइडरऑक और वुआला समझ नहीं पा रहे हैं कि आप क्या स्टोर कर रहे हैं, इसलिए उनके लिए यह बहुत आसान है कि आप अपने डेस्कटॉप प्रोग्राम के साथ सभी एन्क्रिप्टेड ब्लब्स को डाउनलोड करें और डेस्कटॉप प्रोग्राम को कड़ी मेहनत करने दें.
इन सेवाओं के लिए आपको एन्क्रिप्टेड फ़ाइल नामों को डिक्रिप्ट और समझने की अनुमति होगी, एन्क्रिप्टेड फ़ाइल को अपने ब्राउज़र में डाउनलोड करना होगा (शायद लोकलस्टोरेज के माध्यम से), डिक्रिप्ट एल्गोरिथ्म का उपयोग करके इसे स्थानीय रूप से डिक्रिप्ट करने के लिए उपयोग करें, फिर आपको इसे अपने कंप्यूटर पर सहेजने के लिए संकेत दें। लोकलस्टोरेज की सीमाओं के कारण, यह व्यवहार में असंभव होगा.
स्पाइडरऑक वास्तव में एक वेब ऐप प्रदान करता है, हालांकि वे इसका उपयोग करने के खिलाफ सलाह देते हैं क्योंकि इसे आपकी फ़ाइलों पर पहुंच के दौरान अपने सर्वर पर स्पाइडरओक एन्क्रिप्शन कुंजी को मेमोरी में स्टोर करना होगा। वे कहते हैं कि वे इसे "भारी ग्राहक मांग" के परिणामस्वरूप प्रदान करते हैं - यहां तक कि एक ऐसी सेवा पर जो अपने एन्क्रिप्शन और सुरक्षा के लिए सबसे प्रसिद्ध है, ग्राहक अत्यधिक सुविधाजनक, असुरक्षित विकल्पों की मांग करते हैं.
कोई स्पैम फ़िल्टरिंग, खोज और अन्य स्मार्ट सुविधाएँ
जीमेल जैसी सेवाएं विशेष हैं क्योंकि वे केवल एक बॉक्स होने के बजाय अतिरिक्त सेवाएं प्रदान करती हैं जो आपके सभी ईमेल रखती हैं। उदाहरण के लिए, जीमेल आने वाले ईमेल की जांच करता है और इसके खिलाफ स्पैम फ़िल्टर चलाता है ताकि यह निर्धारित किया जा सके कि यह रद्दी है। जीमेल आपके ईमेल को अनुक्रमित करता है ताकि आप इसके माध्यम से जल्दी से खोज सकें जीमेल एक ईमेल की सामग्री को आंशिक रूप से यह निर्धारित करने के लिए देखता है कि क्या यह महत्वपूर्ण है और आपको ऐसे फ़िल्टर सेट करने की अनुमति देता है जो स्वचालित रूप से ईमेल की सामग्री के आधार पर कार्रवाई करते हैं.
ये सभी सुविधाएँ जीमेल - और गूगल पर निर्भर हैं - आपके ईमेल को समझने और एक्सेस करने में सक्षम हैं। यदि उनके पास पहुंच नहीं होती है, तो वे स्पैम फ़िल्टरिंग नहीं कर सकते हैं, उनकी सामग्री के आधार पर ईमेल को फ़िल्टर करने में सक्षम करते हैं, या आपको अपने इनबॉक्स को खोजने की अनुमति देते हैं। तो कई महत्वपूर्ण विशेषताएं आपकी फ़ाइलों तक पहुंच वाली सेवा पर निर्भर करती हैं.
पासवर्ड रिकवरी नहीं
अधिकांश ऑनलाइन सेवाएं पासवर्ड रिकवरी तंत्र प्रदान करती हैं। हालाँकि, वास्तव में सुरक्षित स्थानीय एन्क्रिप्शन के लिए, पासवर्ड रिकवरी तंत्र नहीं हो सकता है। आपके पास आपकी एन्क्रिप्शन कुंजी है, जो आपकी फ़ाइलों को डिक्रिप्ट करती है। यदि आप इस कुंजी तक पहुंच खो देते हैं, तो आप अपनी फ़ाइलों को डिक्रिप्ट नहीं कर पाएंगे.
जब तक सेवा डेटा की सामग्री को नहीं जानती, "पासवर्ड रीसेट" तंत्र की पेशकश करना असंभव होगा। सेवाएं अब ऐसा कर सकती हैं क्योंकि आपका पासवर्ड आपके खाते के साथ प्रमाणित करने का एक तरीका है - यह एक अनिवार्य कोड नहीं है जो आपके डेटा को सुलभ बनाता है। यहां तक कि अगर सेवाएं आसानी से एंड-टू-एंड एन्क्रिप्शन पर जा सकती हैं, तो इससे उन्हें विराम मिलेगा - कई औसत उपयोगकर्ता अपनी एन्क्रिप्शन कुंजियों को भूल जाएंगे, अपना डेटा खो देंगे, शिकायत कर सकते हैं, और फिर एक अनएन्क्रिप्टेड प्रदाता को स्थानांतरित कर सकते हैं। एन्क्रिप्शन को आराम करने के लिए सेवा को प्रोत्साहित किया जाएगा.
स्पाइडरऑक अपने उपयोगकर्ताओं को खाता स्थापित करते समय उन्हें प्रदान किए गए पासवर्ड संकेत भेजने की पेशकश करके मदद करने की कोशिश करता है, लेकिन यह पासवर्ड को पूरी तरह से रीसेट नहीं कर सकता है। अपना पासवर्ड और अपनी फ़ाइलें भूल गए हैं, यह मानते हुए कि वे स्थानीय कंप्यूटर पर संग्रहीत नहीं हैं.
वे आपका डेटा या लक्षित विज्ञापन बेचना चाहते हैं
हम अन्यथा दिखावा नहीं करने जा रहे हैं: कई सेवाएँ आपके व्यक्तिगत डेटा का विश्लेषण करना चाहती हैं और इसका उपयोग पैसे बनाने के लिए करती हैं। Google आपके ईमेल को स्कैन करता है और आपके द्वारा लक्षित विज्ञापनों को प्रस्तुत करने के लिए उनके पास मौजूद जानकारी का उपयोग करता है, लेकिन कम से कम वे उस व्यक्तिगत जानकारी को अन्य कंपनियों को नहीं बेचते हैं। फेसबुक आपकी निजी जानकारी को सीधे अन्य कंपनियों को बेचता है.
सेवाओं को आपके डेटा तक पहुंच की आवश्यकता होती है ताकि वे ऐसा कर सकें, इसलिए उन्हें मजबूत, एंड-टू-एंड एन्क्रिप्शन प्रदान नहीं करने के लिए प्रोत्साहित किया जाता है.
ये एकमात्र कारणों से बहुत दूर हैं, क्योंकि स्थानीय एन्क्रिप्शन और डिक्रिप्शन आपके व्यक्तिगत डेटा क्लाउड सेवाओं के विशाल बहुमत के लिए एक गैर-स्टार्टर है। हम आशा करते हैं कि इसमें शामिल कठिन समस्याओं पर कुछ प्रकाश डाला गया है और बताया गया है कि आपके डेटा का इतना सैद्धांतिक रूप से अन्य लोगों द्वारा पठनीय क्यों है। कुछ एन्क्रिप्शन सुविधाओं को लागू करने के आसान तरीके हो सकते हैं - उदाहरण के लिए, उपयोगकर्ताओं को जीमेल के माध्यम से एक एन्क्रिप्टेड ईमेल भेजने की अनुमति देकर - लेकिन स्थानीय स्तर पर एन्क्रिप्टेड और जल्द ही डिक्रिप्ट किए गए सब कुछ की उम्मीद न करें.
इमेज क्रेडिट: फ़्लिकर पर एंडी रॉबर्ट्स