Preguntas sobre el diseño de seguridad de SpiderOak

Navega tus respuestas
2

Estaba pasando por el diseño de seguridad de SpiderOak.

Dice:

  

Cuando ejecuta la aplicación SpiderOak por primera vez en su computadora,   Se generan series de fuertes claves de cifrado. Las llaves son   cifrados con su contraseña y almacenados (junto con el   datos de los que realiza copias de seguridad) en nuestros servidores en su forma cifrada.

Las claves de cifrado se almacenan en su servidor cifrado con contraseña de usuario. En caso de que la contraseña del usuario esté comprometida, cualquiera puede descifrar las claves de cifrado almacenadas en su servidor y descifrar los datos también.

SpiderOak más menciones:

  

Pero lo más importante, las claves nunca se almacenan en texto plano en la   Servidor SpiderOak.

     

Se cifran con AES de 256 bits, utilizando una clave creada a partir de su   contraseña por el algoritmo de derivación / fortalecimiento de clave PBKDF2 (usando   sha256), con un mínimo de 16384 rondas y 32 bytes de datos aleatorios   ("sal").

¿Qué tan seguro es este diseño?

    
pregunta Geek 26.09.2016 - 08:12
fuente

2 respuestas

3

ACTUALIZACIÓN 2017-07-09: Gracias a las personas que han actualizado sobre las claves de cifrado de SpiderOak.

Eso ciertamente reduce los riesgos pero, como hemos visto con LastPass, no necesariamente lo elimina. Y ese es el punto, tiene que hacer su propia evaluación de riesgo e impacto cuando almacena datos confidenciales en la Nube. Elegir a un proveedor que haya tomado el tiempo y el dinero para obtener certificaciones de seguridad de la industria y del gobierno es un factor atenuante, pero podría ser más costoso.

Conclusión: si elige un proveedor con el costo más bajo, debe aceptar algunos compromisos.

Ese enfoque no parece ser el mejor, pero no es tan malo y ciertamente mejor que muchos servicios de copia de seguridad en la nube.

El mejor enfoque es que las claves sean generadas localmente para que el servicio en la nube nunca tenga una copia. De esa manera, no hay forma de que el servicio pueda descifrar sus datos.

En este caso, tiene que confiar en el servicio de que no lo harán y no tomen una copia de las claves antes de que se cifren y de que su sistema esté lo suficientemente seguro como para que las claves estén protegidas cuando desbloquee ellos.

Yo diría que esto pone el riesgo en "bajo" dado el historial de SpiderOak. Pero, obviamente, esto depende de los datos con los que confía. Sin duda, no lo consideraría para datos altamente confidenciales o datos de muy alto valor. Pero para la mayoría de los usos, parecería estar bien, aunque solo usted puede evaluar realmente los riesgos / impactos de sus datos.

    
respondido por el Julian Knight 26.09.2016 - 09:21
fuente
1

La respuesta de Julian es incorrecta. Spideroak cifra sus datos (y pwd) localmente (es decir, en el lado del cliente) antes de cargarlos en sus servidores. Por lo tanto, no pueden desencriptar sus datos bajo ninguna circunstancia. Ese es todo el punto de Spideroak. Para que sus datos se vean comprometidos, alguien necesitará acceso a su cliente local Y a su contraseña. No estoy seguro de que haya alguna solución por ahí que lo proteja de una catástrofe tan grave.

    
respondido por el David G 02.10.2016 - 16:02
fuente

Lea otras preguntas en las etiquetas

¿alguien puede explicar los ataques de inyección de SQL basados en errores? Hashing mensaje grande para integridad