Resposta curta
Provavelmente sim, a menos que você seja um alvo de alto perfil.
Resposta longa
O CrashPlan criptografa dados usando certificados protegidos por senha ou nenhuma criptografia. Neste resumo, você pode pensar em um certificado como basicamente uma senha enorme armazenada em um arquivo com seu nome anexado. Esse arquivo de certificado geralmente é criptografado, apenas para garantir que uma cópia rápida do arquivo não seja suficiente para acessar os dados - você também precisa da senha do arquivo de certificado.
A maioria dos usuários do CrashPlan provavelmente usa o que é chamado armazenamento de certificado de garantia, em que o Code42 armazena os arquivos de certificado para você em forma criptografada. Quando você fornece sua senha, esses arquivos de certificado são descriptografados e são usados para descriptografar seus dados brutos. É por isso que a interface da web do CrashPlan pode permitir que você navegue nos seus dados - depois de fornecer a senha do certificado, o software deles pode acessar os dados usando o certificado. As principais falhas de segurança com isso:
- Você confia nos funcionários do Code42 + para armazenar seu certificado com segurança
- Você confia que os funcionários do Code42 + nunca armazenarão sua senha de certificado de maneira insegura
- Você confia que os funcionários do Code42 + não fornecerão seu arquivo ou senha de certificado a qualquer agência (como um governo) que solicite (por exemplo, intimação)
- Como mencionei acima, seu certificado é uma senha muito grande . Se alguém colocar as mãos nesse arquivo, a única coisa que os impedirá de usá-lo é a senha do seu certificado; portanto, se você o criou,
hunter42
está muito ferrado. Basicamente, é provável que quebrar a senha do certificado seja bastante fácil se alguém estiver realmente motivado e você não escolher uma boa senha.
Você também pode usar uma "chave personalizada" (por exemplo, quando você fornece o arquivo de certificado). Isso significa que o Code42 não armazena seu certificado em seus servidores. Eles ainda armazenam dados criptografados em seus servidores, mas se você quiser vê-los na interface da web, precisará fornecer ao software os arquivos de certificado e a senha do certificado. Agora, aqui está a parte estranha: isso oferece quase nenhuma segurança adicional realista sobre a opção acima, é principalmente útil para um sistema com muitas contas de usuário que você deseja manter separadas. Você ainda:
- Confie no aplicativo CrashPlan para não armazenar ou transmitir seu arquivo ou senha de certificado
- Confie no Code42 para não tentar armazenar esses dados
O principal benefício aqui é que o Code42 não pode responder a uma solicitação externa de seu certificado tão facilmente quanto possível se você usar certificados de garantia, eles terão que instruir voluntariamente o aplicativo CrashPlan local para recuperar sua chave de certificado do computador e entregá-la a eles . Naturalmente, isso seria um grande risco para eles, devido às consequências dos negócios, se essa decisão se tornar pública.
Mais um ponto relevante: aparentemente eles sempre armazenam seu arquivo de certificado em formato não criptografado no computador local. Portanto, se você é um alvo de alto perfil, é possível que alguém possa adquirir seus dados criptografados do CrashPlan e executar um ataque simples no seu computador pessoal para recuperar o arquivo de certificado não criptografado.
Portanto, a resposta para sua pergunta se resume a "você confia no Code42 para proteger seus dados contra ameaças internas e externas?" Se a resposta for não, é uma ótima idéia criptografar seus dados usando algo como TrueCrypt como uma segunda camada de proteção.
PS - Pelo que vale a pena, eu amo o CrashPlan criptografar bastante por padrão, por isso não o interprete como uma postagem contundente do CrashPlan - eu só quero ajudar os usuários a entender em quem eles estão confiando :-)