Risposta breve
Probabilmente sì, a meno che tu non sia un obiettivo di alto profilo.
Risposta lunga
CrashPlan crittografa i dati utilizzando certificati protetti da password o nessuna crittografia. In questo riepilogo, puoi pensare a un certificato come sostanzialmente un'enorme password che si trova in un file con il tuo nome allegato. Questo file di certificato è comunemente crittografato, solo per garantire che una copia rapida del file non sia sufficiente per accedere ai dati: è necessaria anche la password del file di certificato.
La maggior parte degli utenti di CrashPlan probabilmente usano quella che viene chiamata archiviazione dei certificati di deposito a garanzia, dove Code42 memorizza i file dei certificati per te in forma crittografata. Quando si fornisce la password, questi file di certificato vengono decifrati e quindi utilizzati per decrittografare i dati non elaborati. Questo è il motivo per cui l'interfaccia web di CrashPlan può permetterti di sfogliare i tuoi dati - dopo aver fornito la password del certificato, il loro software può accedere ai dati usando il certificato. I principali buchi di sicurezza con questo:
- Ti fidi dei dipendenti Code42 + per conservare il tuo certificato in modo sicuro
- Ti fidi dei dipendenti Code42 + di non archiviare mai in modo sicuro la password del certificato
- Ti fidi dei dipendenti di Code42 + di non fornire il file del certificato o la password a qualsiasi agenzia (come un governo) che lo richieda (ad esempio, una citazione)
- Come accennato in precedenza, il tuo certificato è una password molto grande . Se qualcuno mette le mani su quel file, l'unica cosa che impedisce loro di usarlo è la password del certificato, quindi se lo hai creato
hunter42
sei piuttosto fregato. Fondamentalmente, rompere la password del certificato è probabilmente abbastanza facile se qualcuno è davvero motivato e non hai scelto una buona password.
È inoltre possibile utilizzare una "chiave personalizzata" (ad es. Quando si fornisce il file del certificato). Ciò significa che Code42 non memorizza il proprio certificato sui propri server. Conservano ancora i dati crittografati sui loro server, ma se si desidera vederli nell'interfaccia Web, è necessario fornire al proprio software sia il file del certificato che la password del certificato. Ora ecco la parte strana: questo non offre quasi nessuna sicurezza aggiuntiva realistica rispetto all'opzione sopra, è principalmente utile per un sistema con molti account utente che si desidera mantenere separati. Tu ancora:
- Affidati all'applicazione CrashPlan di non archiviare o trasmettere il file del certificato o la password del certificato
- Affidati a Code42 per non tentare di archiviare questi dati
Il vantaggio principale qui è che Code42 non può rispondere a una richiesta esterna per il tuo certificato con la stessa facilità con cui se utilizzi certificati di deposito a garanzia, dovrebbero istruire intenzionalmente l'applicazione CrashPlan locale per recuperare la chiave del certificato dal tuo computer e consegnarglielo . Questo sarebbe naturalmente un grosso rischio per loro a causa del fallout commerciale se una tale decisione diventasse di dominio pubblico.
Un altro punto rilevante: apparentemente memorizzano sempre il file del certificato in forma non crittografata sul computer locale. Quindi, se sei un target di alto profilo, è possibile che qualcuno possa acquisire i tuoi dati crittografati da CrashPlan e quindi eseguire un semplice attacco sul tuo personal computer per recuperare il file di certificato non crittografato.
Quindi la risposta alla tua domanda si riduce a "ti fidi di Code42 con la protezione dei tuoi dati da minacce sia interne che esterne?" Se la risposta è no, crittografare i dati usando qualcosa come TrueCrypt come secondo livello di protezione è un'ottima idea.
PS - Per quello che vale, adoro il fatto che CrashPlan crittografi abbastanza pesantemente per impostazione predefinita, quindi non interpretarlo come un pessimo post di CrashPlan - Voglio solo aiutare gli utenti a capire di chi si fidano :-)