Примечание: Для конкретного примера я буду использовать SpiderOak, но я заинтересован в более широком применении этого вопроса к любому «частному» хранилищу или службе обмена сообщениями.Как проверить, действительно ли поставщик облачного хранилища «нулевое знание»?
SpiderOak заявляет, что является облачной платформой облачных вычислений с нулевым знанием, что означает, что все хранящиеся вами данные зашифровываются на вашем компьютере до его загрузки с использованием ключей шифрования, к которым SpiderOak не имеет доступа. Однако, чтобы использовать эту услугу, вы должны загрузить и установить программные файлы SpiderOak (без исходного кода) и предоставить этому приложению доступ к вашему ключу шифрования, чтобы он мог выполнять шифрование.
Не рассматривая исходный код, можно ли проверить, что приложение не делает ничего подозрительного? Под «что-то подозрительное» я имею в виду такие вещи, как: загрузка ключа пользователя на свои серверы, сбор личной информации или метаданных с компьютера пользователя и т. Д. Как авторы приложения могут доказать, что их приложение не делает этого?
Update: Я думаю короткий иметь исходный код или декомпиляции (который на самом деле то же самое, только действительно окольный путь получить его) не существует способа, чтобы гарантировать приложение является безопасным
Вы, безусловно, можете попытаться перепроектировать его. –
Вы можете получить более качественные ответы на http://security.stackexchange.com – 1615903