Als IT dienstverlener zal je je klanten bij het wijzen op de voordelen van de cloud en ook het gebruik van encryptie uitleggen. Het is ook heel erg makkelijk, je vinkt E2EE aan voor je datatransport begint en daarmee is alle geregeld. Toch?
Jonas Hofmann en Kien Truong Truong van de Applied Cryptography Group van de ETH Zürich hebben vorig jaar een presentatie op CCS gegeven over E2EE (End to End Encryption) van vijf cloud storage providers. De conclusie van het onderzoek dat daaraan vooraf ging laat zich helaas raden: E2EE is veel minder betrouwbaar dan we denken. De onderzoekers stellen zelfs dat “the current ecosystem of E2EE cloud storage is largely broken”.
Een heftige conclusie en iets dat nog heel weinig in de tech pers is vermeld. Het duo gaat zelfs zo ver dat in de conclusie staat: “Our findings challenge the marketing claims made by some providers”.
Tijdrovende operatie
Als E2EE op meerdere vlakken stuk is zoals de onderzoekers weergeven, kun je de cloud met de meegeleverde encryptie dan nog wel gebruiken of adviseren? Die vraag is natuurlijk ook aan het duo gesteld. Zij geven aan dat een aanbieder van cloud storage die alle gevonden gaten wil dichten eigenlijk niets anders kan doen dan zijn klanten te adviseren tijdelijk alles te downloaden en vervolgens weer naar het beter beveiligde platform te uploaden.
Dat betekent dus handmatige processen voor de klant of zijn IT dienstverlener, tijdsbeslag en ergens lokale storagecapaciteit regelen. Niemand zit op een dergelijke operatie te wachten. Het vervelende is echter dat nu de tekortkomingen bekend zijn gemaakt misbruik meer voor de hand ligt en de cloudproviders wel over moeten gaan tot het benaderen van de klanten.
En als dat niet gebeurt en cloudproviders blijven onveilig dan lezen we misschien vaker in de krant artikelen over politiediensten die toegang tot de data van een verdachte kon lezen. Misschien zijn de gevonden zwaktes ook een van de redenen waarom IE diefstal zo vaak voorkomt.