2011-04-18
Nyhet

Det stora problemet med Dropbox

Dropbox är applikationen, och lösningen, som lyckats med det som Apple inte lyckats med: enkel, snygg och fungerande molnlagring som integrerar väl i din Mac. Två gigabyte lagringsyta gratis till var och envar och det är så otroligt enkelt att bara komma igång.

Men, med enkelhet kommer också potentiella problem, tycks det. För att spara plats använder Dropbox deduplicering, en teknik som går ut på att om det finns två exakt likadana kopior av en fil så lagras endast den ena hos Dropbox. Och då pratar jag inte om två likadana filer för ett konto, utan för samtliga konton som Dropbox hanterar.

Ändras en fil så sparas endast de ändrade blocken ner hos Dropbox istället för en helt ny kopia, och på så sätt sparar också Dropbox bandbredd.

Vad är då problemet med detta? Dropbox säger att de krypterar alla filer med AES-256-kryptering, och det är till viss del sant. Men de pratar inte om hur de använder denna kryptering. Deduplicering och kryptering är två tekniker som inte går väl ihop. För om datat är krypterat så ska det ju inte gå att se vilka block som är ändrade i en fil såvida inte Dropbox har tillgång till dina filer. Som användare är det ju endast du som ska ha tillgång till filerna genom ditt login och lösenord och för att dedupliceringen ska fungera så måste Dropbox ha tillgång till alla krypteringsnycklar som används.

Kryptering och deduplicering. Två saker som helt enkelt inte går ihop.

Det blir dock värre. Dedupliceringen innebär att Dropbox potentiellt kan ta reda på vilken användare som lagrar vilken fil. Och eftersom Dropbox har tillgång till krypteringsnyckeln för samtliga användares konton kan Dropbox potentiellt lämna ut en fil i okrypterat format om någon myndighet, sannolikt amerikansk, skulle begära det. Om valfri upphovsrättsorganisation vill så kan de ladda upp ett antal kopior av exempelvis filmer eller musikstycken och sedan med hjälp av en sniffer se hur många block som överförs. Laddas hela filen upp så är det ingen annan som har den filen (notera att deduplicering verkar på blocknivå, inte på filnamn), om några få kilobyte överförs så finns det minst en annan användare som har filen lagrad hos sig. En stämning senare och Dropbox tvingas lämna ut vem eller vilka som lagrat en viss film eller en viss platta.

Sensmoralen är detta: om du har minsta anledning att misstänka att dina data gör bäst i att inte hamna i händerna på någon annan men ändå vill lagra filer i “molnet” gör du bäst att välja en leverantör här i Sverige, som lagrar dina filer på servrar här i Sverige, sepearerade från andra kunders filer, och med en kryptering som gör att ingen annan än du själv kan komma åt dem.

För egen del får jag överväga att sluta använda Dropbox. Jag är inte helt bekväm med att min bokföring, alla mina kundfiler och en hel del annat kan exponeras till en tredje part utan mitt medgivande. För tyvärr är det så att om en amerikansk tjänst får order från en myndighet att lämna ut filer tillhörande en svensk medborgare så har medborgaren i fråga ingenting att säga till om.© 2021 Omsoc Publishing AB