No he podido encontrar muchas revisiones profesionales para Secretsync - enlace
Pero me pregunto cómo se compara con Boxcryptor y Truecrypt. ¿Qué tan seguro es Secretsync realmente?
En mi opinión, es bastante sencillo entender SecretSync. Parece que requieren Java, y en un HOPES están utilizando las bibliotecas criptográficas incorporadas para proporcionar su criptografía de clave simétrica AES de 256 bits en lugar de rodar su propia implementación.
SIN EMBARGO, no son tan seguros como puede ser necesario.
Según sus Preguntas frecuentes , hacen una de dos cosas:
Si le dan una clave, entonces la conocen, pero no tienen acceso a sus archivos (DropBox es el medio de distribución de archivos). Si usas tu propia frase de paso, AÚN SÍLAN usar su propia clave, pero se convierte en un valor de sal para la clave generada desde la función PBKDF2.
Por lo tanto, no parecen usar una clave diferente por archivo, sino una clave para todos los archivos. Normalmente, esto no sería un problema con AES, pero tiene problemas asociados con todas las otras deficiencias en su modelo.
Tener una clave simétrica generada PARA ti es un problema independientemente de la relación asimétrica entre secretsync y dropbox. Me gustaría saber qué seguridad tiene la organización en su final.
Según las preguntas frecuentes, parecen ser susceptibles a una denegación de servicio (independientemente de cómo lo hagan): "¿Podré descifrar mis archivos si su servicio ya no está disponible?"
Además, debido a que la cuenta es accesible a través de la web, cualquier número de ataques de ingeniería social puede permitir que se cambie la contraseña de la cuenta de SecretSync al tener acceso a la dirección de correo electrónico de la cuenta. Tener este acceso a la cuenta significará que obtendrá acceso a la clave secreta desde su servidor. Sería más difícil acceder si generara su propia clave, pero la complejidad de la función se reduce de encontrar una clave AES de 256 bits a una de contraseñas (o frases) de fuerza bruta. Sabemos que los humanos son el eslabón débil en la seguridad. Al tener acceso a UN archivo cifrado, más el acceso a su clave generada por el servidor significa que puede descifrar cualquier archivo que desee (con un posible reto secundario de la necesidad de forzar en primer lugar la contraseña del usuario que pueden tener establecer al registrarse).
Tampoco me queda claro qué sucede si necesita cambiar su contraseña en la clave. ¿Re-cifran todo? Esto también es una deficiencia.
Lea otras preguntas en las etiquetas encryption file-encryption cloud-computing