Respuesta corta
Probablemente sí, a menos que seas un objetivo de alto perfil.
Respuesta larga
CrashPlan encripta los datos utilizando certificados protegidos con contraseña o no tiene encriptación alguna. En este resumen, puede pensar en un certificado como básicamente una enorme contraseña almacenada en un archivo con su nombre adjunto. Este archivo de certificado se encripta comúnmente, solo para garantizar que una copia rápida del archivo no sea suficiente para acceder a los datos; también necesita la contraseña del archivo del certificado.
La mayoría de los usuarios de CrashPlan probablemente usen lo que se llama almacenamiento de certificados de custodia, donde Code42 almacena los archivos de certificados por usted en forma cifrada. Cuando proporciona su contraseña, estos archivos de certificado se descifran y luego se utilizan para descifrar sus datos sin procesar. Esta es la razón por la cual la interfaz web de CrashPlan puede permitirle explorar sus datos: después de proporcionar la contraseña del certificado, su software puede acceder a los datos mediante el certificado. Los principales agujeros de seguridad con esto:
- Confía en los empleados de Code42 + para almacenar su certificado de forma segura
- Confía en que los empleados de Code42 + nunca almacenarán su contraseña de certificado de forma insegura
- Confía en que los empleados de Code42 + no le darán su archivo de certificado o contraseña a ninguna agencia (como un gobierno) que lo solicite (por ejemplo, una citación)
- Como mencioné anteriormente, su certificado es una contraseña muy grande . Si alguien tiene en sus manos ese archivo, lo único que les impide usarlo es la contraseña de su certificado, por lo que si lo hizo,
hunter42
está bastante jodido. Básicamente, romper la contraseña de su certificado probablemente sea bastante fácil si alguien está realmente motivado y no eligió una buena contraseña.
También puede usar una "clave personalizada" (por ejemplo, cuando proporciona el archivo del certificado). Esto significa que Code42 no almacena su certificado en sus servidores. Todavía almacenan datos cifrados en sus servidores, pero si desea verlos en la interfaz web, debe proporcionar a su software tanto el archivo del certificado como la contraseña del certificado. Ahora aquí está la parte extraña: esto no ofrece casi ninguna seguridad adicional realista sobre la opción anterior, es principalmente útil para un sistema con muchas cuentas de usuario que desea mantener separadas. Tú todavía:
- Confíe en que la aplicación CrashPlan no almacenará ni transmitirá su archivo de certificado o contraseña de certificado
- Confíe en Code42 para no hacer ningún intento de almacenar estos datos
El principal beneficio aquí es que Code42 no puede responder a una solicitud externa de su certificado tan fácilmente como lo haría si usa certificados de depósito en garantía, tendrían que instruir deliberadamente a su aplicación CrashPlan local para recuperar su clave de certificado de su computadora y entregársela . Naturalmente, esto sería un gran riesgo para ellos debido a las consecuencias del negocio si tal decisión alguna vez se hiciera pública.
Un punto más relevante: aparentemente siempre almacenan su archivo de certificado sin cifrar en su computadora local. Entonces, si eres un objetivo de alto perfil, es posible que alguien pueda adquirir tus datos cifrados de CrashPlan y luego ejecutar un ataque simple en tu computadora personal para recuperar el archivo de certificado no cifrado.
Entonces, la respuesta a su pregunta se reduce a "¿confía en Code42 para proteger sus datos de amenazas internas y externas?" Si la respuesta es no, encriptar sus datos usando algo como TrueCrypt como una segunda capa de protección es una gran idea.
PD: por lo que vale, me encanta que CrashPlan cifre bastante de forma predeterminada, así que no interpretes esto como una publicación de CrashPlan que critica: solo quiero ayudar a los usuarios a entender en quién confían :-)