読者です 読者をやめる 読者になる 読者になる

【「Dropboxの暗号化は嘘」:FTCへの告発】 らしいので、DropboxのファイルをSecretSyncを使って簡単に暗号化する

Dropbox


「Dropboxの暗号化は嘘」:FTCへの告発

Dropbox社の従業員たちは、ファイルのコンテンツを見ることを禁止されており、
ファイルのメタデータ(ファイル名や場所など)へのアクセスのみ許可されています」。
Dropbox社はさらに、コンテンツ自体へのアクセスは、法的な場合など非常に限られた
ケースに限られ、その他の時には従業員たちはシステム的にアクセスできないように
なっていると説明している。

Dropbox、データの暗号化に関する説明が正しくなかったとして告発される

なお、Dropbox社のサイトでは以前は「Dropboxのサーバに保存されるファイルは全てAES-256で
暗号化されており、ユーザのアカウントパスワード無しにはアクセスできない」と説明されていたが、
現在では「Dropboxのサーバに保存されているファイルは全てAES-256で暗号化されている」
という文言に変更されているとのことだ。

SecretSync

SecretSync

2011/05/19 現在の最新版 Release: 0.132b

Javaのダウンロードとインストール

Javaアプリなので、Javaがインストールされてない人はJavaをダウンロードしてインストール
http://www.java.com/



SecretSyncダウンロード


メアドを入力すると、「Download Now」のリンクが現れる

インストール

1)Javaの選択

2)メールアドレスとパスワードを入力

3)共有する2台目以降のマシンに必要なパスフレーズを入力

4)Dropboxのフォルダを選択

Dropboxのトップじゃなくて、1個下にSecretというフォルダを作って
Secretフォルダを指定したけど、これはいらん考慮だったかも知れん。
指定したフォルダの下に「.SecretSync_tunnel_Root」のフォルダができるから
Dropboxのトップフォルダを指定して問題ない。


今回の指定だと

    D:\Dropbox\Secret\.SecretSync_tunnel_Root

以下の方がよかったかな

    D:\Dropbox\.SecretSync_tunnel_Root 
5)インストール完了とSecretSyncのフォルダ


インストールすると、Dropboxのフォルダとは別に、SecretSyncのフォルダができる。
Windows XPだと、「C:\Documents and Settings\ユーザー名\SecretSync\Root 」に作成された。

使い方

暗号化するファイルは、Dropboxの下ではなく、SecretSyncのフォルダにファイルを置く。
そうすると、Dropbox側のファイルが暗号化される。

テスト用のデータ

2500万人のユーザーを擁するオンライン・ストレージ人気サービス『Dropbox』を、有名なセキュリティー研究者が米連邦取引委員会(FTC)に告発した。セキュリティーと暗号化についてユーザーをだましたという内容だ。

5月19日(米国時間)にFTCに提出された告発状(PDFファイル)では、Dropbox社はユーザーに対し、保存されるファイルは完全に暗号化されており、同社の従業員はファイルの内容を見ることはできないと説明していたが、それは事実と異なるとして非難されている。

告発状を提出したのは、現在は博士課程に在学中で、FTCで1年勤務したこともあるChristopher Soghoian氏。同氏はこの4月、保存ファイルの内容をDropbox社が見られることを示す情報を発表した。政府の捜査当局や、悪意ある従業員、さらには著作権侵害の巨大訴訟を起こそうとする企業など、ユーザーたちはさまざまな危険にさらされているという。

Dropboxは4月13日、同社のウェブサイトにおけるデータ・セキュリティに関する主張を変更した。以前は、「Dropboxに保存されているすべてのファイルはAES256で暗号化されており、あなたのアカウント・パスワードが無い限りアクセスできません」とあったが、これが「Dropboxに保存されているすべてのファイルはAES256で暗号化されています」だけになった。

Dropboxは、ファイルがアップロードされる前に「ハッシュ」を利用してファイルを分析することで、保管が必要な容量を節約している。ハッシュとは基本的に、ファイルの内容に基づいてファイルに付けられる短いシグネチャのことだ。ほかのDropboxユーザーがすでに同じファイルを保管している場合、実際にはアップロードは行なわれない。ユーザーのDropboxに、ファイルが単に「追加」される。

そして、ファイルの暗号や復号に使われるキーはDropboxの側にあり、ユーザーのマシンに保存されているわけではない

こうしたアーキテクチャーが選ばれているということは、ユーザーが保存した内容をDropbox社の従業員が見られることを示す。また、召喚状が提示されたら、暗号化されていないファイルが政府や社外の組織に渡される可能性があることも意味している。

告発状によると、Dropboxと競合する『SpiderOak』と『Wuala』の少なくとも2つのサービスは、セキュリティーについてDropboxと同様の約束をしているが、暗号化のキーを保持しておらずユーザーのデータにはアクセスしないという。この2つのサービスは、別々のユーザーによってだぶって保管されたファイルを検出できないため、Dropboxよりも保管の負担が大きい。(SpiderOakは、それぞれのアカウント内では、重複排除(de-dupe:Data Deduplication)による利用スペースの節約は行なっていると話している)

平文のファイル
    C:\Documents and Settings\ユーザー名\SecretSync\Root\TEST.txt

暗号化されたファイル
D:\Dropbox\Secret\.SecretSync_tunnel_Root\TEST.txt




えっ? SecretSync は信頼していいかって?
信じるか信じないかはあなた次第。

確かに、まだベータ版だしな。
そういう場合は、自分で暗号化ソフトを使って暗号化してから置きましょ。
GnuPGファイル暗号化ソフト「ED」