वास्तविक सवाल यह है: वेब सेवाओं को स्थानीय रूप से आपके डेटा को एन्क्रिप्ट और डिक्रिप्ट क्यों नहीं किया जाता है, ताकि यह एन्क्रिप्टेड रूप में संग्रहीत हो, कोई भी स्नूप नहीं कर सकता है? LastPass यह सब आपके पासवर्ड डेटाबेस के साथ करता है।
एंड-टू-एंड एन्क्रिप्शन कैसे अलग होगा
स्पष्ट होने के लिए, आपका डेटा शायद एन्क्रिप्ट किया गया है। उदाहरण के लिए ड्रॉपबॉक्स लेते हैं। जब आप ड्रॉपबॉक्स से कनेक्ट होते हैं, तो ड्रॉपबॉक्स एन्क्रिप्टेड कनेक्शन पर सभी डेटा स्थानांतरित करता है ताकि कोई भी पारगमन में उस पर स्नूप न कर सके। ड्रॉपबॉक्स यह भी वादा करता है कि वे आपकी फ़ाइलों को एन्क्रिप्टेड रूप में अपने सर्वर पर संग्रहीत करते हैं।
हालांकि, एन्क्रिप्शन एक लॉक है, और क्या कुछ लॉक है, कुंजी की तुलना में कम महत्वपूर्ण है। ड्रॉपबॉक्स में आपकी सभी फ़ाइलों को उनके सर्वर पर देखने के लिए एन्क्रिप्शन कुंजी है, इसलिए जब यह सच है कि यह एन्क्रिप्ट किया गया है, तो यह भी सच है कि ड्रॉपबॉक्स के पास उनकी पूर्ण पहुंच है और वे सरकारी निगरानी या नकली कर्मचारी के साथ सहयोग कर सकते हैं जो आपकी फाइलों के माध्यम से घूम सकते हैं।
"एंड-टू-एंड एन्क्रिप्शन" का विचार - आप इसे "स्थानीय एन्क्रिप्शन और डिक्रिप्शन" के रूप में भी संदर्भित कर सकते हैं - अलग है। एंड-टू-एंड एन्क्रिप्शन के साथ, डेटा केवल अंतिम बिंदुओं पर डिक्रिप्ट किया जाता है। दूसरे शब्दों में, एंड-टू-एंड एन्क्रिप्शन के साथ भेजे गए एक ईमेल को स्रोत पर एन्क्रिप्ट किया जाएगा, जो ट्रांज़िट में जीमेल जैसे सेवा प्रदाताओं के लिए अपठनीय होगा, और फिर उसके एंडपॉइंट पर डिक्रिप्ट किया जाएगा। महत्वपूर्ण बात यह है कि ईमेल केवल अपने कंप्यूटर पर अंतिम उपयोगकर्ता के लिए डिक्रिप्ट किया जाएगा और जीमेल जैसी ईमेल सेवा के लिए एन्क्रिप्टेड, अपठनीय रूप में रहेगा, जिसमें कुंजी को डिक्रिप्ट करने के लिए उपलब्ध नहीं होगा। यह बहुत मुश्किल है।
डाउनलोड और स्थानीय डिक्रिप्शन
जैसा कि हमने ऊपर बताया है, लास्टपास आपके वेब ब्राउज़र के माध्यम से स्थानीय एन्क्रिप्शन और डिक्रिप्शन का उपयोग करता है। यह आपके पासवर्ड वाले एन्क्रिप्टेड ब्लॉब को डाउनलोड करता है, इसे आपके पासवर्ड से डिक्रिप्ट करता है, और आपको अपने पासवर्ड तक पहुंचने की अनुमति देता है। ध्यान दें कि LastPass को अपने डिक्रिप्ट करने के लिए पासवर्ड और अन्य डेटा के अपने पूरे वॉल्ट को डाउनलोड करना होगा। लास्टपास के मामले में, यह ठीक काम करता है - यह काफी छोटी फाइल है।
हालांकि, यह अन्य वेब सेवाओं के साथ ऐसा करने के लिए कहीं भी आसान नहीं होगा। उदाहरण के लिए, यदि जीमेल ने इसी तरह काम किया है, तो जीमेल को आपके कंप्यूटर पर आपके पूरे 5 जीबी ईमेल इनबॉक्स का प्रतिनिधित्व करने वाली फाइल डाउनलोड करनी होगी। यह शायद इसके लिए एचटीएमएल 5 के स्थानीय स्टोरेज विनिर्देश का उपयोग कर सकता है, यदि लोकल स्टोरेज अधिक डेटा स्टोर कर सकता है। इस फ़ाइल को तब आपके ईमेल इनबॉक्स तक पहुंच प्रदान करने के लिए स्थानीय रूप से डिक्रिप्ट किया जाना होगा, जिसमें कुछ समय लगेगा।
यह संभव है कि जीमेल अलग-अलग फाइल कर सके, एक अलग फाइल के साथ प्रत्येक नए, एन्क्रिप्टेड ईमेल का प्रतिनिधित्व करता है। लेकिन इस तरह एक ईमेल क्लाइंट आर्किटेक्ट करने में बहुत अधिक जटिलता शामिल है।
यह वास्तव में आज कम या ज्यादा असंभव होगा - स्थानीय स्टोरेज अक्सर लोकप्रिय ब्राउज़रों में प्रति वेबसाइट 5 एमबी या उससे कम तक सीमित है। स्पेक का कहना है कि यदि उपयोगकर्ता पसंद करते हैं तो उपयोगकर्ता इस सीमा को बढ़ाने में सक्षम होना चाहिए, लेकिन कुछ ब्राउज़र इसे कार्यान्वित करते हैं।
कोई सुरक्षित वेब ऐप्स नहीं
स्पाइडरओक और वुआला जैसे क्लाउड स्टोरेज सेवाएं ड्रॉपबॉक्स से अलग हैं - वे पूर्ण स्थानीय एन्क्रिप्शन और डिक्रिप्शन प्रदान करते हैं। स्पाइडरऑक या वुआला के लिए डेस्कटॉप प्रोग्राम स्थापित करें और वे अपलोड करने से पहले आपकी फ़ाइलों को एन्क्रिप्ट करेंगे, इसलिए सेवा कभी भी नहीं जानता कि आप क्या स्टोर कर रहे हैं, और तुंहारे उन्हें एक्सेस करने के लिए एन्क्रिप्शन कुंजी की आवश्यकता है।
हालांकि, ये सेवाएं अन्य तरीकों से ड्रॉपबॉक्स से अलग हैं - वे आसान पहुंच के लिए वेब इंटरफेस के उपयोग को प्रोत्साहित नहीं करते हैं। ड्रॉपबॉक्स के लिए एक वेब ऐप प्रदान करना आसान है जो आपको अपनी फ़ाइलों तक पहुंचने की अनुमति देता है, क्योंकि यह समझता है कि ये फ़ाइलें क्या हैं। स्पाइडरओक और वुआला समझ में नहीं आता कि आप क्या स्टोर कर रहे हैं, इसलिए उनके लिए आपके डेस्कटॉप प्रोग्राम के साथ सभी एन्क्रिप्टेड ब्लॉब्स डाउनलोड करने और डेस्कटॉप प्रोग्राम को कड़ी मेहनत करने की अनुमति देने के लिए यह बहुत आसान है।
इन सेवाओं को आपको एन्क्रिप्टेड फ़ाइल नामों को डिक्रिप्ट और समझने की अनुमति देनी होगी, अपने ब्राउज़र में एन्क्रिप्टेड फ़ाइल डाउनलोड करें (शायद स्थानीय स्टोरेज के माध्यम से), इसे स्थानीय रूप से डिक्रिप्ट करने के लिए डिक्रिप्शन एल्गोरिदम का उपयोग करें, फिर आपको इसे अपने कंप्यूटर पर सहेजने के लिए संकेत दें। स्थानीय स्टोरेज की सीमाओं के कारण, यह अभ्यास में असंभव होगा।
स्पाइडरओक वास्तव में एक वेब ऐप प्रदान करता है, हालांकि वे इसका उपयोग करने के खिलाफ अनुशंसा करते हैं क्योंकि जब आप अपनी फ़ाइलों तक पहुंचते हैं तो इसे अपने स्पाइडरऑक एन्क्रिप्शन कुंजी को अपने सर्वर पर स्मृति में संग्रहीत करना होगा। वे कहते हैं कि वे इसे "भारी ग्राहक मांग" के परिणामस्वरूप प्रदान करते हैं - यहां तक कि अपनी एन्क्रिप्शन और सुरक्षा के लिए सबसे अच्छी तरह से जाने वाली सेवा पर, ग्राहक अत्यधिक सुविधाजनक, असुरक्षित विकल्पों की मांग करते हैं।
कोई स्पैम फ़िल्टरिंग, खोज, और अन्य स्मार्ट विशेषताएं नहीं
जीमेल जैसी सेवाएं विशेष हैं क्योंकि वे सिर्फ आपके बॉक्स को रखने के बजाय अतिरिक्त सेवाएं प्रदान करते हैं। उदाहरण के लिए, जीमेल आने वाली ईमेल की जांच करता है और यह निर्धारित करने के लिए कि यह जंक है या नहीं, इसके खिलाफ स्पैम फ़िल्टर चलाता है। जीमेल आपके ईमेल को अनुक्रमित करता है ताकि आप इसे तुरंत खोज सकें। जीमेल यह निर्धारित करने के लिए आंशिक रूप से एक ईमेल की सामग्री को देखता है कि यह महत्वपूर्ण है और आपको फ़िल्टर सेट अप करने की अनुमति देता है जो ईमेल की सामग्री के आधार पर स्वचालित रूप से क्रियाएं करता है।
ये सभी सुविधाएं जीमेल पर निर्भर हैं - और Google - आपके ईमेल को समझने और पहुंचने में सक्षम होने के नाते। अगर उनके पास पहुंच नहीं है, तो वे स्पैम फ़िल्टरिंग नहीं कर सके, अपनी सामग्री के आधार पर ईमेल की फ़िल्टरिंग सक्षम कर सकते हैं, या आपको अपने इनबॉक्स को खोजने की अनुमति देते हैं। इतनी सारी महत्वपूर्ण विशेषताएं आपकी फाइलों तक पहुंचने वाली सेवा पर निर्भर करती हैं।
कोई पासवर्ड रिकवरी नहीं
अधिकांश ऑनलाइन सेवाएं पासवर्ड रिकवरी तंत्र प्रदान करती हैं। हालांकि, वास्तव में सुरक्षित स्थानीय एन्क्रिप्शन के लिए, पासवर्ड रिकवरी तंत्र नहीं हो सकता है। आपके पास अपनी एन्क्रिप्शन कुंजी है, जो आपकी फ़ाइलों को डिक्रिप्ट करती है। यदि आप इस कुंजी तक पहुंच खो देते हैं, तो आप अपनी फ़ाइलों को डिक्रिप्ट नहीं कर पाएंगे।
जब तक सेवा डेटा की सामग्री नहीं जानती तब तक "पासवर्ड रीसेट" तंत्र प्रदान करना असंभव होगा। सेवाएं अब यह कर सकती हैं क्योंकि आपका पासवर्ड आपके खाते से प्रमाणीकृत करने का एक तरीका है - यह एक अनिवार्य कोड नहीं है जो आपके डेटा को सुलभ बनाता है। यहां तक कि यदि सेवाएं आसानी से अंत तक एन्क्रिप्शन तक जा सकती हैं, तो इससे उन्हें रोक दिया जाएगा - कई औसत उपयोगकर्ता अपनी एन्क्रिप्शन कुंजी भूल जाएंगे, अपना डेटा खो देंगे, शिकायत करेंगे, और फिर एक अनएन्क्रिप्टेड प्रदाता पर जाएं। एन्क्रिप्शन को आराम करने के लिए सेवा को प्रोत्साहित किया जाएगा।
स्पाइडरओक अपने उपयोगकर्ताओं को खाता सेट करते समय प्रदान किए गए पासवर्ड संकेत भेजने की पेशकश करने की कोशिश करता है, लेकिन यह पासवर्ड को पूरी तरह से रीसेट नहीं कर सकता है। अपना पासवर्ड भूल जाओ और आपकी फाइलें चली गई हैं, मान लीजिए कि वे स्थानीय कंप्यूटर पर संग्रहीत नहीं हैं।
वे आपका डेटा या लक्षित विज्ञापन बेचना चाहते हैं
हम अन्यथा नाटक करने वाले नहीं हैं: कई सेवाएं भी आपके व्यक्तिगत डेटा का विश्लेषण करना चाहती हैं और पैसे कमाने के लिए इसका इस्तेमाल करती हैं। Google आपके ईमेल स्कैन करता है और लक्षित विज्ञापनों को पेश करने के लिए आपके बारे में आपके पास मौजूद जानकारी का उपयोग करता है, लेकिन कम से कम वे उस व्यक्तिगत जानकारी को अन्य कंपनियों को नहीं बेचते हैं। फेसबुक आपकी व्यक्तिगत जानकारी सीधे अन्य कंपनियों को बेचता है।
सेवाओं को आपके डेटा तक पहुंच की आवश्यकता है ताकि वे ऐसा कर सकें, इसलिए उन्हें मजबूत, अंत तक अंत एन्क्रिप्शन प्रदान न करने के लिए प्रोत्साहित किया जाता है।
ये एकमात्र कारणों से बहुत दूर हैं क्यों स्थानीय एन्क्रिप्शन और आपके व्यक्तिगत डेटा का डिक्रिप्शन क्लाउड सेवाओं की विशाल बहुमत के लिए एक गैर-स्टार्टर है। हमें उम्मीद है कि इसमें शामिल कठिन समस्याओं पर कुछ प्रकाश डाला गया है और समझाया गया है कि आपका डेटा इतना अधिक क्यों है कि अन्य लोगों द्वारा सैद्धांतिक रूप से पठनीय किया जा सके। कुछ एन्क्रिप्शन सुविधाओं को लागू करने के आसान तरीके हो सकते हैं - उदाहरण के लिए, उपयोगकर्ताओं को जीमेल के माध्यम से एन्क्रिप्टेड ईमेल भेजने की अनुमति देकर - लेकिन उम्मीद नहीं है कि सब कुछ स्थानीय रूप से एन्क्रिप्टेड हो जाए और जल्द ही डिक्रिप्ट हो जाए।
