web-dev-qa-db-ja.com

Acronis True Imageの暗号化は安全ですか?

私は、Acronisバックアップソフトウェアを使用してシステムのイメージを作成し、重要なもののコピーをクラウドに保存し、その他のすべてのバックアップ関連のものを持っています。

Acronisが述べているように、同社のソフトウェアはローカルで行われるAES暗号化を使用しています。

しかし、私はアクロニスがEULAにいくつかの落とし穴を持っていることを発見しました: EULA

それで、それは彼らの暗号化が何の価値もないことを意味するのでしょうか?

4
user1327

Jan Doggen は正しい-この場合の暗号化の「価値」(以下で説明するように、実際の暗号化とは何の関係もない)は完全に意見に基づいているため、言い換えると。しかし、EULAの意味を説明しようと思います。

これは、復号化を行うための対称AESキーを持っていることを意味します。それらの暗号化自体は何の価値もありません。Acronisを信頼するのと同じくらいの価値があります。つまり、AES暗号化は実施されていますが、AES暗号化にはデータを復号化する機能があります。問題はdo they?または彼らはでしょうか?これらは、このサイトの誰も答えることができない質問です。そして、それらを信頼するという決定はあなたがすることです。

4
MiaoHatola

Acronis True Imageクラウドに関する質問の場合:「ゼロ知識」ではありません。

Acronis Cloudに暗号化されたバックアップがある場合は、次の方法で簡単に確認できます。

  1. Acronis Cloud Webポータルにログインします
  2. バックアップの1つで[復元]をクリックします
  3. まだパスワードを入力しないでください。代わりに押す F12 あなたのウェブブラウザで
  4. 表示されるトラブルシューティングウィンドウで[ネットワーク]をクリックします
  5. 次に、Acronisポータルでこのバックアップの暗号化キーを入力し、[OK]をクリックします
  6. トラブルシューティングウィンドウで、表示された「POST」リクエストをクリックします
  7. 「パラメータ」タブをクリックします
  8. 暗号化キーが完全にアクロニスサーバーに送信されたことがわかります
  9. (F12キーを押してトラブルシューティングウィンドウを閉じることができます)

したがって、暗号化キーは完全にアクロニスサーバーに送信され、暗号化キーを使用してデータを復号化できます。

今、彼らがあなたの暗号化キーを記憶しなかったのは彼らを信頼するのはあなた次第です。たとえば、裁判官の命令により、彼らはあなたの暗号化キーを盗聴するように求められる可能性があります。または、サーバーにアクセスできる従業員がトラフィックをキャプチャ/ログに記録し、秘密鍵を見る可能性があります。

1
Keket

Acronis True Imageでは、クライアント側も暗号化できます。設定したパスワードは、あなただけが知っている秘密鍵を作成します。そのため、それを設定した場合、Acronisは裁判所命令の下でもデータを復号化できません。秘密鍵を設定するには、デスクトップツールの[バックアップ]ペインから、[オプション]> [詳細]に移動します。 「バックアップ保護」の見出しの下にパスワードを設定します。

プライベート暗号化を設定しない場合でも、会社は保管中のデータを暗号化しますが、暗号化キーを持っています。

1
wyfyte

Acronis True Image 2017で暗号化キーを生成するサブルーチンで、興味深いOpenSSLライブラリ呼び出し(EVP_PKEY _、d2i_X509)を見つけました。これらは、ランダムに生成されたように見える「何か」を暗号化するために使用され、Acronis内に埋め込まれた公開鍵を使用して暗号化されます。

安全なランダム暗号化キーの生成を担当する関数内で公開キー暗号化を使用することは、かなり疑わしいです。 「ランダム」キーが生成された後、それがacronis公開キーを使用して暗号化され、TIBファイル内に保存される可能性があります。つまり、対応する秘密鍵(Acronis)の所有者は、理論的にはそのデータを復号化し、実際の「ランダムな」暗号化鍵にアクセスする可能性があります。

ida1enter image description here

現在、この機能は少なくとも2017年のacronisバージョンでは無効になっていますが、そのようなコードが存在すると、一部の地域や国のカスタムビルドで再度有効にできる場合があります。

デフォルトでは、公開鍵の暗号化は今のところスキップされ、下部にある次のコードが実行されます。

enter image description here

完全な逆コンパイル結果は、こちらから入手できます: https://Pastebin.com/3x0WnGiF

したがって、それに基づいて、acronis暗号化が安全かどうかを判断できます。

0
Mike Cors