クラウドストレージプロバイダが実際に「ゼロ知識」であるかどうかを確認する方法

Question

注：特定の例については、私はSpiderOakを使用していますが、この質問をより広範に「プライベート」ストレージまたはメッセージングサービスに適用することに興味があります。

SpiderOakは、ゼロ知識のクラウドストレージプラットフォームであると主張しています。つまり、保存するデータは、SpiderOakがアクセスできない暗号化キーを使用してアップロードする前にコンピュータ上で暗号化されています。ただし、このサービスを使用するには、SpiderOakのアプリケーションバイナリ（ソースコードは提供されていません）をダウンロードしてインストールし、暗号化を実行できるようにそのアプリケーションに暗号化キーへのアクセス権を付与する必要があります。

ソースコードを確認せずに、アプリケーションが何か怪しいことをしないことを確認できますか？ 「何か怪しい」とは、サーバーにユーザーのキーをアップロードする、 ユーザーのコンピュータから個人情報やメタデータを収集するなどのことです。アプリケーションの作成者は、これらのことをどうやって証明できますか？

アップデート：私は（それを得るための本当に回り道、実際には同じものである）ソースコードまたは逆コンパイルを持つの短い推測アプリを保証する方法はありません安全です

Answer 1

あなた可能性Fiddlerなどのプロキシまたは下位レベルのネットワーク分析ツール（Wiresharkなど）を使用して、アプリケーションの使用中にネットワークトラフィックを監視します。これにより、意図しない（メタデータをつかむ）トラフィックや、送信したくないデータ（キーなど）が含まれているかどうかを確認できます。

疑わしいトラフィックが表示されないのに、アプリケーションを信頼しない場合は、バイナリをdecompilerで実行してから、生成するソースを掘り下げてみてください。デコンパイラは完璧ではありませんが、出力は鈍い（せいぜい）ので、これは非常に労力を要する作業です。