Dropbox、データの暗号化に関する説明が正しくなかったとして告発される

　あるAnonymous Coward 曰く、

　人気のオンライン・ストレージサービスDropboxが、プライバシーやデータの暗号化に関して、暗号化キーの扱いにおいてユーザーを騙していたとして米連邦取引委員会（FTC）に告発されたそうだ（electronista、PC Online、本家/.記事）。

　セキュリティ専門家のChristopher Soghoian氏がFTCに提出した告発状によると、Dropboxがユーザのファイルを暗号化しており、同社の社員はそのファイルを見る事が出来ないというのは誤りであるという。告発状によると、確かにデータは暗号化されて保管されているが、その暗号キーはユーザ側ではなくDropbox側にあるためDropbox側からユーザのファイルにアクセスすることは可能であるというのだ。

　Dropboxの場合、ハッシュを利用してファイルの重複をチェックする方式をとっている。このような方法は保管スペースを効率よく管理することができるとのことだが、サービス側が鍵を保管する必要がある。同様のストレージサービスでも、たとえばSpiderOakやWualaなどはサービス側が暗号キーを保管することは無いといい、サービス側のサーバ容量の負担は大きいがユーザのプライバシーは守られているという。

　なお、Dropbox社のサイトでは以前は「Dropboxのサーバに保存されるファイルは全てAES-256で暗号化されており、ユーザのアカウントパスワード無しにはアクセスできない」と説明されていたが、現在では「Dropboxのサーバに保存されているファイルは全てAES-256で暗号化されている」という文言に変更されているとのことだ。

　スラッシュドットのコメントを読む | セキュリティ

　関連ストーリー：
PlayStation Networkの個人情報流出に関し、米国で訴訟 2011年04月30日
ワイヤレスルータにパスワードをかけず、児童ポルノ所持容疑で逮捕される 2011年04月28日
トレンドマイクロのSafeSync、あえなく討死 2011年03月09日
Dropbox: 簡単、高機能なオンライン・ストレージ 2007年04月11日