タケユー・ウェブ日報

Ruby on Rails や Flutter といったWeb・モバイルアプリ技術を武器にお客様のビジネス立ち上げを支援する、タケユー・ウェブ株式会社の技術ブログです。

SugarSyncの暗号化について質問してみた

クラウドストレージサービスの「SugarSync」、セキュリティの強さを謳っていました。同様の解説をしているページもいくつかあります。

http://www.sugarsync.jp/world/biz.html

クラウドというと、何かと心配なのがセキュリティ。 ファイルのアップロード・ダウンロードの途中や、クラウドに保管されているデータそのものが盗み見られたりしないか、特に企業のセキュリティ担当者様は不安に思う事でしょう。 SugarSyncなら、SSL暗号化通信を使用してお客様のファイルを安全なSugarSyncウェブサイトへ継続的にバックアップしています。 しかも保管されるファイルは128ビットAES暗号化。ローコストでセキュアなファイル管理が実現出来ます。

クライアントは差分アップロードができないようで、これはクライアントで暗号化してから送信するためかと思い込んでいましたが、はっきりさせておこうと有償会員という立場でサポートに聞いてみました。

質問内容要約(質問内容の控えがこちらに送られてこなかったのでうろ覚え)

  • AES暗号化して保管ということだが、クライアント・サーバーどちらで暗号化するのか
  • 伝送路はTLSを用いていると言うことだが、そういうことではなく、暗号化されていないファイルがサーバー上へ送られるのか?ということ。
  • その場合、アップロードから暗号化されるまでの間はどう担保しているのか。
  • 暗号化鍵の管理はどうなっているのか。サーバー上にあるならあまり意味がないのでは?
  • 以上、機密上答えられる範囲で技術的な説明をお願いします。

で、結果は以下のQ&Aページへのリンクのみというテンプレ回答でした。(ご丁寧に「本文書の無断転載、引用を禁止いたします。 」とありましたけど、一般に公開されているページへの誘導のみで、転載・引用もクソもないですよねぇ)

http://www.sugarsync.jp/support/old/answer.html#faq05

SugarSyncにデータを預けるのは安全ですか? A. ファイルは、各ポイントにおいて安全性を保ち、管理しています。

ファイルのアップロード;TLS(Transport Layer Security) を利用してサーバへのファイルアップロードを行います。

バックアップ;128-bit AES暗号化を利用してデータを保管しています。これは、主要な銀行のシステムで利用している安全レベルとほぼ同等であることを意味します。データセンターは物理的に複数の場所に冗長化しています。

ダウンロード;ファイルをダウンロードするときも、アップロード時と同じ仕組みで安全性を保ちます。モバイルからダウンロードする場合も同じです。

んなことわかってんだよ!お前質問読んでないだろ!

ということで、クライアント側での暗号化はなし。生ファイルがそのままサーバーに渡されると考えてほぼ間違いなさそうですね。

鍵の管理もよくわかりませんし、安心して機密情報をおくのはちょっと難しいです。Dropboxなど競合サービスも似たようなものです。

ということで、クライアント側での暗号化を実現している「SpiderOak」に乗り換えてみようと思います。

追記1

共有したファイルをブラウザからダウンロードできる時点でサーバー側で復号化してますね、そもそも。

追記2

TrueCryptボリュームの共有が一番安全と思いますがなにぶん不便すぎて...(さらにSugarSyncは差分アップロードではないのでお察し)

追記3

こちらのブログで考察されています。興味深い。

オンラインストレージの提供する暗号化はユーザーにとってセキュアではない

追記4

SpiderOakと同様?クライアント暗号化を謳っているサービスがSlashdotにありました。

暗号化機能付きのDropbox的なクラウドサービス「Client Portal」