Jak szyfrowanie zero-knowledge zapewnia prywatność informacji i realną ochronę danych w chmurze?

Zastanów się:

Jak bardzo zależy Ci na Twoich pomysłach i jaką wartość mają dla Ciebie wyniki pracy Twojego zespołu? Czy sprawy prywatne w Waszej firmie pozostają prywatne?
Czy sprawy Waszych klientów są traktowane odpowiednio poufnie?

Wszystkie podobne pytania łączą się ze sobą i prowadzą do podobnych wniosków – czas zająć się stworzeniem skutecznych mechanizmów ochrony prywatności informacji – ze szczególnym uwzględnieniem wyników pracy zespołowej, która jest najważniejszym źródłem naszej innowacji.

Na to wezwanie możesz odpowiedzieć ale przecież to już się dzieje!, prawdopodobnie mając na myśli RODO i inne podobne inicjatywy legislacyjne dotyczące prywatności. Tak, zgoda, dzieje się. Jest jedno ale – przepisy te skupiają się i promują ochronę danych osobowych, które stanowią bardzo ważną, ale wąską kategorię treści, którą powierzamy usługom globalnej sieci.

Pomimo ogromnej wagi nowego prawa, jasnych korzyści i gwałtownego rozszerzenia się dyskusji na temat prywatności w sieci, obawiać się można, że sytuacja w dłuższej perspektywie okaże się dla nas jednak nie do końca korzystna. Utrwalana w tej dyskusji dewaluacja pojęcia prywatności do poziomu ochrony danych osobowych zakłóca precyzję dialogu o głębszych aspektach naszego życia i prywatności w cyfrowym świecie.

Patrząc odpowiednio szeroko, można dojść do wniosku, że ze względu na złożoność sieci i jej zastosowań sprawa jest na tyle skomplikowana, że nie da się już wiele zrobić w temacie ogólnej prywatności. W PrivMX uważamy, że do pewnego stopnia jest to prawdą; wciąż jednak są kluczowe obszary, takie jak praca zespołowa, o które można (i trzeba!) zadbać. Przekonywanie o tym i proponowanie konkretnych rozwiązań to nasza misja.

technologia, cyberbezpieczeństwo

Ochrona prawna vs fizyczna

Warto zwrócić uwagę na powyższe rozróżnienie, bo jest ono kluczowe, jeśli myślimy o konkretnych rozwiązaniach. Pomimo, iż nowa legislacja dotycząca ochrony prywatności daje słuszne reguły i wytyczne czy wręcz zapewnia penalizację, to przecież nie powoduje tego, że nasze dane (osobowe) są fizycznie chronione przed odczytaniem – tak samo jak prawo i penalizacja dotyczące kradzieży nie chronią nas na przykład przed faktyczną kradzieżą roweru.

W takich sytuacjach nasze myślenie przechodzi naturalnie od zabezpieczeń prawnych w kierunku zabezpieczeń fizycznych – przecież rower można po prostu gdzieś schować. Takie działanie przeważnie zabezpiecza przed utratą majątku, ale z drugiej strony nieco komplikuje życie… na co jednak zazwyczaj się godzimy, po zrobieniu szybkiego, wewnętrznego rachunku zysków i strat.

Sytuacja z Waszymi treściami, które Ty i Twoja firma przesyłacie przez sieć i w niej magazynujecie, jest bardzo podobna – jeśli chcecie być jedynymi osobami mającymi do nich dostęp, to musicie zastosować zabezpieczenia fizyczne, które (niestety) również utrudnią Wam trochę życie. 

Zero wiedzy po tamtej stronie

…czyli nie chcemy, żeby ktoś inny (lub coś innego niż nasze komputery) mogły czytać nasze treści! – taki wniosek to punkt wyjścia do naprawy sytuacji. Bardzo możliwe, że takie tezy pojawiły się już w Twojej firmie – gratulujemy! – niestety, ważne jest jednak to, czy i w jaki sposób zostały wprowadzone w życie.

Świat cyfrowy w XXI wieku to bardzo złożona konstrukcja, zarówno pod względem technicznym, jak i marketingowym. Obecnie większość dostawców narzędzi cyfrowych wspomina o zwiększonej prywatności czy innych podobnych cechach budujących zaufanie. Łatwo się w tym pogubić (zwłaszcza gdy prywatność zaczyna oznaczać zgodność z RODO) i najczęściej kończy się na wyborze narzędzi, które wydają się najwygodniejsze… co od razu sugeruje sprzeczność z kierunkiem, który zasygnalizowaliśmy powyżej.

„Jedynie serwery typu zero-knowledge dają nam to, o co tutaj chodzi – czyli fizycznie nie pozwalają na odczyt naszych treści osobom i urządzeniom po tamtej stronie. Z kolei jedynym sensownym sposobem na realizację takiego systemu jest użycie w nim szyfrowania end-to-end, po stronie klienta, czyli układu, w którym Wasze treści dostępne są tylko dla Was, na Waszych własnych urządzeniach, które jako jedyne je szyfrują i odszyfrowują. W ten sposób Wasza treść jest ukrywana przed tamtą stroną- zamykana na klucz, zupełnie jak wspomniany rower.”

Najważniejszą cechą, na którą należy zwrócić uwagę, jest to, czy wchodzące w skład usługi serwery i ich administratorzy mają wiedzę o zawartości naszych danych, czy jej nie mają.

Takie podejście to odpowiednie zabezpieczenie fizyczne naszych danych w cyfrowym świecie, privacy-by-design w wersji pełnej. W ekosystemie PrivMX stosujemy je na wszystkich poziomach i dla wszystkich oferowanych narzędzi – taką decyzje podjęliśmy na samym początku projektowania architektury PrivMX.


Niewygodne konsekwencje

I tu pojawiają się wspomniane wcześniej niewygody wynikające ze stosowania zabezpieczenia fizycznego – sprowadzają się one do następującej sytuacji: zanim skorzysta się z danych (roweru), to najpierw trzeba je odszyfrować (wyjąć ze skrytki). Choć brzmi to jak oczywistość w przypadku roweru w realnym świecie, to w przypadku usług cyfrowych, opartych o serwery zero-knowledge, tak już nie jest.

Obecnie na rynku powszechne jest to, że serwery wchodzące w skład usług cyfrowych przetwarzają nasze dane oraz analizują je na różne sposoby. Pozwala to łatwo tworzyć po tamtej stronie połączone, uzupełniające się systemy, które swoim użytkownikom dostarczają coraz to nowe funkcje oparte na coraz głębszej analizie ich danych. W naszym przypadku, gdy serwery nie mogą przeczytać danych i tym samym nie mogą z nimi nic zrobić, to sytuacja zdecydowanie zaczyna odbiegać od cyfrowej oczywistości oraz różnych szeroko przyjętych standardów technicznych.

W układzie privacy-by-design w wersji pełnej działania na danych przeprowadzać mogą jedynie komputery osobiste użytkowników, bo tylko one mają do nich dostęp. Taka niestandardowa sytuacja czasami mocno utrudnia oferowanie niektórych funkcji, które są oczywiste we wszystkich innych usługach. Przykładem jest tu właśnie integrowanie usług opartych o serwery bez wiedzy – jest to oczywiście możliwe, ale wymaga dodatkowej pracy, najczęściej polegającej na uruchomieniu zaufanych pomostów między takimi usługami (m.in. w tym celu stworzyliśmy oprogramowanie PrivMX Bot).

Jakieś kompromisy?

Innym przykładem niewygodnej konsekwencji wykorzystania omawianego zabezpieczenia fizycznego jest fakt, że utrata lub zapomnienie swojego hasła (lub klucza sprzętowego) w systemie szyfrowanym end-to-end powoduje permanentną utratę dostępu do swojego konta i danych, które są w nim zawarte.

Ta sytuacja jest podobna do tej, gdy zgubimy klucz do schowka, w którym trzymamy rower. Rozwiązaniem jest wówczas podejście siłowe – jasne i często łatwo wykonalne w świecie fizycznym, ale niestety przeważnie nieosiągalne w świecie cyfrowym, gdzie próba dopasowania dobrego hasła lub znalezienia klucza odszyfrowującego dane może zająć najszybszym komputerom tysiące lub nawet miliony lat.

Konsekwencje takiego kalibru potrafią być bardzo niewygodne lub wręcz destrukcyjne dla wielu użytkowników i ich firm, dlatego jest to dobry temat na kompromis i kontrolowane poluzowanie przyjętych założeń. W PrivMX główny klucz szyfrujący wybranych członków zespołu umieszczony jest pośród zaszyfrowanych danych innych użytkowników, którzy w razie potrzeby mogą go wykorzystać do zresetowania hasła zapominalskiej osoby. To dobry, sprawdzony sposób, gdy w zespole są mniej doświadczeni użytkownicy internetu. Serwer w tym układzie oczywiście nie ma dostępu do żadnego z używanych kluczy szyfrowania – pozostają one dostępne jedynie dla członków zespołu.

Tu przy okazji ciekawostka, która może zaskoczyć niektórych Czytelników: jeśli usługa, z której korzystasz, oferuje na stronie logowania funkcję zresetuj/przypomnij hasło, to administratorzy tej usługi, w razie potrzeby mogą odczytać treści, które w niej przechowujesz. Twoje hasło pełni tam rolę kontroli dostępu online do usługi i chroni przed dostępem innych osób z otwartego internetu, ale zazwyczaj nie bierze udziału w zabezpieczaniu Twoich danych przed dostępem po tamtej stronie. Warto o tym pamiętać.

Podsumowując temat niewygodnych konsekwencji i kompromisów – wszystko jest kwestią wyważenia aspektów prywatności i wygody. W naszym pełnym podejściu sprowadza się to do zastosowania reguły o nazwie privacy-by-default – czyli domyślnie stawiamy na prywatność, ale w wyjątkowych przypadkach łagodzimy bezkompromisowe podejście i w sposób kontrolowany wprowadzamy odpowiednie, bardziej wygodne oraz życiowe rozwiązanie.

Najpotężniejszą siłą, która prowadzi do łagodzenia podejścia w przypadku systemów zero-knowledge, są przyzwyczajenia użytkowników, nabyte przez lata korzystania ze zwykłych usług, które stosują zwykły poziom troski o ich dane. Doskonałym przykładem może tu być kwestia, która obecnie jest nam zgłaszana jako problem w PrivMX Fusion – brak możliwości udostępnienia własnych zaszyfrowanych, prywatnych kalendarzy PrivMX w usługach firm Google, Apple czy Microsoft. Człowiek przyzwyczajony jest do używania tylko jednej aplikacji kalendarzowej, w której gromadzi wszystkie interesujące wydarzenia, a kalendarze systemowe wspomnianych firm są najpopularniejsze. Planujemy, aby w przyszłości pojawiła się możliwość umieszczenia dobrowolnej opcji udostępniania prywatnych wydarzeń osobom trzecim – dla osób, które świadomie chcą podjąć taką decyzję.

Cyberbezpieczeństwo

Cyfrowa zasada ograniczonego zaufania

Pozostał nam do omówienia jeden bardzo ważny aspekt, powiązany z prywatnością – zaufanie. W zasadzie można powiedzieć, że w świecie cyfrowym wszystko opiera się na zaufaniu, bo statystycznie rzecz biorąc niewiele jest osób, które posiadają pełną wiedzę odnośnie szczegółów działania usług internetowych. I choć nie znamy tych osób, to potrafimy im zaufać i powierzyć im nasze cenne dane.

W XXI wieku takie beztroskie podejście zaczyna odchodzić do lamusa, czego dowodem jest na przykład samo pojawienie się prawa dotyczącego ochrony danych osobowych. Powodem zmniejszania się poziomu zaufania jest rozjazd występujący pomiędzy deklaracjami dostawców i faktycznym działaniem ich usług. Niekoniecznie bywa on wynikiem świadomych decyzji, ale niewątpliwie jest faktem, skoro wzbudził tak szeroką reakcję i dyskusję.

Omawiane wcześniej zabezpieczenie polegające na pozbawieniu tamtej strony wiedzy o zawartości naszych danych daje nam swego rodzaju tarczę, chroniącą nas przed konsekwencjami tego rozjazdu – to jest jasne. Trudniej dostrzegalny może być fakt, że ta tarcza nie jest wystarczająca.

“W usługach opartych na zasadzie zero-knowledge, z szyfrowaniem end-to-end, dostęp do naszych treści mają komputery końcowe (czyli te, z których sami korzystamy), a konkretnie aplikacje klienckie, które otrzymujemy od dostawcy usługi. Kierując się “cyfrową zasadą ograniczonego zaufania” powinniśmy się upewnić, czy te aplikacje robią tylko to, co powinny robić, czy szyfrują nasze dane w odpowiedni sposób i czy wysyłają je tylko tam, gdzie chcemy.”

Pomijając tutaj oczywisty wymóg posiadania wiedzy programistycznej, żeby przeprowadzić taką operację, to głównym warunkiem powodzenia pozostaje sama możliwość wglądu w to, co program robi i jak posługuje się danymi. Jest to możliwe tylko wówczas, gdy dostawca udostępnia pełny kod źródłowy oraz możliwość samodzielnego zbudowania z niego aplikacji, którą można uruchomić.

Otwarty kod źródłowy aplikacji to cecha, która dopełnia naszą układankę – powoduje, że erodująca kwestia zaufania w cyfrowym świecie przestaje być dla nas kluczowa. Po prostu: jeśli wiemy, co robi program, z którego korzystamy i wiemy, że nie udostępnia on tamtej stronie naszych treści, to zaufanie do dostawcy i jego firmy schodzi na dalszy plan. Dla nas, użytkowników końcowych usług z gigantycznej cyberprzestrzeni, jest to układ idealny.

Jeśli licencja oprogramowania (kodu źródłowego) dodatkowo pozwala na dokonywanie w nim zmian, to daje nam to kolejne narzędzia wpływania na to, co dzieje się z naszymi danymi. Oprócz możliwości samodzielnego dodania ważnych dla nas funkcji, możemy również podjąć (wspomniane powyżej) decyzje o poluzowaniu bezkompromisowego podejścia do ochrony danych – na przykład po to, aby zmniejszyć ilość niewygodnych konsekwencji, które akurat w naszej firmie są zbyt uciążliwe. PrivMX Fusion umożliwia dokonywanie takich zmian.

Oaza cyfrowej współpracy w chmurze

Podsumowując – oto najważniejsze założenia privacy-by-design w wersji pełnej:


•  serwery zero-knowledge, nie posiadające możliwości odczytu treści należącej do użytkowników;
•  pełne szyfrowanie end-to-end wszystkich treści we wszystkich narzędziach;
•  integracja z innym systemami za pomocą zaufanych łączników, jak nasz PrivMX Bot;
•  privacy-by-default – całkowita prywatność jako punkt wyjścia oraz poluzowanie tego założenia na żądanie lub poprzez kontrolowane obejścia – aby zapewnić odpowiednią wygodę lub/i funkcjonalność;
•  otwarty kod źródłowy – jako dopełnienie regulujące kwestię zaufania oraz możliwość dostosowywania oprogramowania do własnych wymogów.

Czy warto tworzyć i wchodzić w tak niestandardowe środowisko cyfrowej pracy?

Jest to trudne pytanie. Sprawa jednak staje się jasna później, w trakcie intensywnej pracy zdalnej czy hybrydowej ze swoim zespołem, kiedy nowe wyjątkowe pomysły pojawią się nagle w Waszych notatkach i planach. Kiedy trzeba przechować i udostępnić wewnątrz firmy wyniki badań lub inne ważne dane, hasła czy dane klientów. Kiedy Wasza luźna rozmowa video z członkami zespołu nagle okazuje się mieć charakter poufny lub strategiczny. Takich i wielu innych podobnych sytuacji nie da się już uniknąć w XXI wieku – wszyscy o tym wiemy.

Wtedy naprawdę czujecie zadowolenie z wyboru odpowiedniego narzędzia do zdalnej współpracy, bo wiecie, że zadbaliście o siebie samych.

Dowiedz się więcej o PrivMX na stronie: https://privmx.com

Od dziecka w komputerach i programowaniu. Z wykształcenia informatyk teoretyczny, ale z życiową pasją tworzenia software w praktyce. Od 14 lat współtworzy zespół programistyczny Simplito, a w ostatnim czasie czuwa również nad rozwojem projektu i firmy PrivMX.

ZACZNIJ WPISYWAĆ I NACIŚNIJ ENTER, ABY WYSZUKIWAĆ