Ellipticc, perkhidmatan penyimpanan awan baharu yang menjanjikan enkripsi selamat kuantum dan privasi lengkap, telah dilancarkan dengan tuntutan berani mengenai keselamatan dan sifat sumber terbukanya. Walau bagaimanapun, komuniti teknologi dengan pantas telah mengenal pasti beberapa percanggahan antara pemasaran perkhidmatan dan pelaksanaan sebenarnya, menimbulkan persoalan mengenai asas kriptografi dan ketelusannya.
Pelaksanaan Keselamatan Di Bawah Mikroskop
Ciri-ciri keselamatan pasca kuantum yang diiklankan oleh perkhidmatan tersebut telah menarik perhatian khusus daripada penyelidik keselamatan. Ahli komuniti menyatakan ketidakselarasan antara spesifikasi teknikal yang disebut di tempat berbeza, dengan seorang pemerhati menegaskan bahawa siaran anda di sini menyatakan ML-KEM768 tetapi laman web menyatakan Kyber512. Percanggahan dalam spesifikasi algoritma rintangan kuantum ini mencadangkan potensi kekeliruan dalam butiran pelaksanaan. Lebih membimbangkan adalah kritikan terhadap pelaksanaan Secure Remote Password (SRP) Ellipticc, yang digambarkan oleh seorang pengulas sebagai agak... mencurigakan disebabkan oleh potensi kerentanan saluran sampingan dan penggunaan kumpulan Diffie-Hellman yang tidak sesuai. Sambutan pembangun mengakui mengikuti RFC 5054 dengan pelarasan kecil, tetapi pakar keselamatan mengesyorkan beralih kepada protokol yang lebih moden seperti OPAQUE untuk jaminan keselamatan yang lebih baik.
Saluran-saluran sampingan. Juga, N dan G sangat penting untuk keselamatan; tidak menjadikannya berkod keras dan telus adalah mencurigakan. Anda tidak boleh hanya menggunakan kumpulan DH biasa.
Nota: SRP (Kata Laluan Jauh Selamat) adalah protokol untuk mengesahkan pengguna tanpa menghantar kata laluan mereka melalui rangkaian. Serangan saluran sampingan mengeksploitasi maklumat yang bocor semasa pengiraan, seperti masa atau penggunaan kuasa.
Ciri Keselamatan Utama Yang Didakwa
- Penyulitan hujung ke hujung menggunakan XChaCha20-Poly1305
- Keselamatan pasca-kuantum (ML-KEM768/Kyber512 disebut)
- Frontend bersumber terbuka di bawah Lesen MIT
- Data disimpan pada pelayan Backblaze B2 di Amsterdam, Netherlands
Perdebatan Sumber Terbuka Memanas
Tuntutan Ellipticc sebagai sumber terbuka telah mencetuskan perbincangan signifikan dalam komuniti pembangun. Walaupun syarikat itu mempromosikan keseluruhan frontend kami adalah sumber terbuka sepenuhnya, ahli komuniti dengan pantas mendapati bahawa hanya kod frontend yang tersedia secara umum, dan pada mulanya tanpa lesen yang jelas. Seorang pengulas menyatakan ini sebagai kes yang cukup jelas berbohong secara peninggalan, dengan menyatakan bahawa frontend sumber terbuka tidak membentuk pemacu awan sumber terbuka apabila komponen backend kritikal kekal sebagai hak milik. Pembangun kemudiannya menambahkan lesen MIT ke repositori frontend dan menjelaskan bahawa backend belum awam lagi, tetapi kami mungkin akan membuka sebahagian daripadanya kemudian, walaupun keterbukaan separa ini terus menarik skeptisisme daripada penyokong sumber terbuka yang mengharapkan ketelusan penuh daripada perkhidmatan berfokuskan privasi.
Kebimbangan Ketelusan dan Kemasan Muncul
Di luar isu teras keselamatan dan sumber terbuka, pengguna telah mengenal pasti beberapa bidang di mana perkhidmatan Ellipticc kelihatan belum siap. Repositori GitHub menunjukkan apa yang digambarkan oleh seorang pengguna sebagai sejenis frontend yang direka/dikodkan mengikut vibe, mencadangkan projek itu mungkin tidak sematang yang diimplikasikan oleh pemasaran. Isu fungsi juga diperhatikan, dengan pautan About yang rosak menghalang pengguna daripada mengakses maklumat asas mengenai lokasi hos data. Apabila ditanya, pembangun mengakui lebih memfokuskan pada logik sebenar papan pemuka berbanding halaman pendaratan, yang masih kurang kemasan. Pendedahan ini bahawa halaman maklumat asas diabaikan demi fungsi teras menimbulkan persoalan mengenai kesediaan keseluruhan perkhidmatan dan komitmen terhadap ketelusan pengguna.
Model penetapan harga perkhidmatan juga menarik kritikan kerana menggunakan istilah mutlak seperti percuma selama-lamanya, yang dinasihati oleh ahli komuniti untuk dielakkan, dengan menyatakan bahawa janji sedemikian memudaratkan mesej anda dalam industri di mana model perniagaan kerap berkembang.
Isu-Isu yang Dikenal Pasti oleh Komuniti
- Spesifikasi algoritma selamat-kuantum yang tidak konsisten
- Kebimbangan keselamatan pelaksanaan SRP
- Bahagian belakang kekal sumber tertutup walaupun terdapat dakwaan "sumber terbuka"
- Pautan maklumat yang rosak dan halaman pendaratan yang tidak lengkap
Konsep Berjanji dengan Jurang Pelaksanaan
Ellipticc mewakili percubaan bercita-cita tinggi untuk mencipta penyelesaian penyimpanan awan yang benar-benar peribadi dalam era peningkatan pengawasan digital. Konsep menggabungkan enkripsi hujung-ke-hujung dengan keselamatan pasca kuantum dan pengesahan sumber terbuka menangani kebimbangan sebenar dalam komuniti privasi. Walau bagaimanapun, jurang antara janji bercita-cita tinggi perkhidmatan dan pelaksanaan semasanya menyerlahkan cabaran yang dihadapi oleh syarikat permulaan berfokuskan keselamatan baharu. Sambutan bercampur ini menunjukkan bahawa pengguna yang sedar privasi semakin canggih tentang kedua-dua pelaksanaan kriptografi dan prinsip sumber terbuka, menuntut lebih daripada sekadar tuntutan pemasaran sebelum mempercayai data mereka kepada perkhidmatan baharu. Semasa Ellipticc meneruskan pembangunan, bagaimana ia menangani kebimbangan komuniti ini kemungkinan besar akan menentukan kejayaannya dalam pasaran alat privasi yang kompetitif.
Rujukan: Privasi Anda, Keutamaan Kami.