Resposta curta
Provavelmente sim, a menos que você seja um alvo de alto perfil.
Resposta longa
O CrashPlan criptografa dados usando certificados protegidos por senha ou nenhuma criptografia. Neste resumo, você pode pensar em um certificado como basicamente uma senha enorme armazenada em um arquivo com o seu nome anexado a ele. Este arquivo de certificado é normalmente criptografado, apenas para garantir que uma cópia rápida do arquivo não seja suficiente para acessar os dados - você também precisa da senha do arquivo de certificado.
A maioria dos usuários do CrashPlan provavelmente usa o que é chamado de armazenamento de certificado de custódia, onde o Code42 armazena os arquivos de certificado para você de forma criptografada. Quando você fornece sua senha, esses arquivos de certificado são descriptografados e são usados para descriptografar seus dados brutos. É por isso que a interface web do CrashPlan pode permitir que você navegue pelos seus dados - depois de fornecer a senha do certificado, o software deles pode acessar os dados usando o certificado. As principais falhas de segurança com isso:
- Você confia nos funcionários do Code42 + para armazenar seu certificado com segurança
- Você confia nos funcionários do Code42 + para nunca armazenar sua senha de certificado de maneira insegura
- Você confia nos funcionários do Code42 + para não fornecer seu arquivo de certificado ou senha a qualquer agência (como um governo) que solicite (por exemplo, intimação)
- Como mencionei acima, seu certificado é uma senha muito grande . Se alguém colocar as mãos nesse arquivo, a única coisa que os impedirá de usá-lo é a senha do seu certificado, então se você fez isso
hunter42
, você está muito enganado. Basicamente, quebrar sua senha de certificado é bem fácil se alguém está realmente motivado e você não escolheu uma boa senha.
Você também pode usar uma "chave personalizada" (por exemplo, quando você fornece o arquivo de certificado). Isso significa que o Code42 não armazena seu certificado em seus servidores. Eles ainda armazenam dados criptografados em seus servidores, mas se você quiser vê-los na interface da web, precisará fornecer ao software o arquivo de certificado e a senha do certificado. Ora aqui está a parte estranha: isso oferece quase nenhuma segurança adicional realista sobre a opção acima, é mais útil para um sistema com muitas contas de usuário que você deseja manter separadas. Você ainda:
- Confie no aplicativo CrashPlan para não armazenar ou transmitir seu arquivo de certificado ou senha do certificado
- Confie no Code42 para não tentar armazenar esses dados
O principal benefício aqui é que o Code42 não pode responder a um pedido externo do seu certificado tão facilmente quanto poderiam se você usasse certificados de custódia, eles teriam que instruir intencionalmente seu aplicativo CrashPlan local para recuperar sua chave de certificado do seu computador e entregar isso para eles. Isso naturalmente seria um grande risco para eles devido às conseqüências do negócio, caso tal decisão se tornasse de conhecimento público.
Mais um ponto relevante: Eles aparentemente sempre armazenam seu arquivo de certificado em formato não criptografado no seu computador local. Então, se você é um alvo de alto perfil, é possível alguém adquirir seus dados criptografados do CrashPlan e, em seguida, executar um simples ataque em seu computador pessoal para recuperar o arquivo de certificado não criptografado.
Assim, a resposta à sua pergunta se resume a "você confia no Code42 para proteger seus dados contra ameaças internas e externas?" Se a resposta for não, criptografar seus dados usando algo como TrueCrypt como uma segunda camada de proteção é uma ótima idéia.
PS - Por que vale a pena, eu amo que o CrashPlan criptografa bastante por padrão, então não interprete isso como um post do CrashPlan - eu só quero ajudar os usuários a entenderem quem eles estão confiando: -)