クラウドストレージを安心して使う為のローカル暗号化、という選択。

 オンラインストレージネタが最近多いが、今回もそのネタで。

 さて、当方の個人的な発想として、信用に足るクラウドストレージなんて代物は存在しない。
 いくら法律があろうが契約で縛ろうが、物理的にデータがそこに保存されている限り必ず自分以外の誰かにもアクセスが出来るし、そのことに自分が気づく手段は無い。

 ということで、当方はクラウドストレージには他人に覗かれてもあんまり困らないファイル以外、原則置いていない。

 ♯スマホの写真には時々個人情報が入っちゃっているのが何だかなぁだが、なるべく早く削除してます、はい。

 とはいえ、自動で複数端末で同期するという便利さは捨ておくには勿体ない。
 ということで、当方はCloudFoggerというソフトウェアを使っております。簡単に言うと、ローカルで暗号化してしまうことでクラウドストレージ上でのセキュリティを確保するという代物。
 登場当時は結構あちこちで取り上げられていたので、セキュリティとか気にする人種の間ではそこまでマイナーでは無いとは思うのだけど。

 ところがこのソフト、ベンチャーの製品ということもあるが、公式サイトのblogが2012年で更新が止まっていたり、そもそもベンチャーでは大事なマネタイズの手段が見えない等、継続使用にはかな~り不安感があるのも事実。

 とはいっても、正直このコンセプトは捨て難い。ということで、Alternativeは・・・というと、PKZIPのPKWareが出しているViivoというソフトがあるんですな。
 正直言って着想はCloudFoggerとそっくり、というかほぼパクリ(にしか思えない、こちらの方がだいぶ新しいし)。但しこちらはPKWareという現在進行形で商売しているソフトウェアベンダの製品だし、更にビジネス用途を最初から想定して有料版やFIPS準拠等のオプションがある辺り、CloudFoggerより長持ちしそうに見える。

 ということで、実際に試してみたが・・・結論は。

 「世間的にはOK、でも自分的にはビミョー」

 ・・・ということで、もっと具体的な不便や不具合が出る迄はCloudFoggerの使用継続ということで。
 以下、つらつらとどの辺りが「自分的にはビミョー」なのか書いていこうかと。

 ◇

 まず、当方はこのテの話をする時は「ゼロナレッジセキュリティ」という考え方をしている。

 SpiderOakやMozy(の高セキュリティオプション)等ではこれがベースになっている、というと偉そうだが、実際には別に難しいことは何もない、当たり前のことをカッコつけて言ってみただけ。

 1. データは脆弱性の無い手法によって暗号化されている
 2. 復号化鍵は手元以外には存在しない(=他人が知りようがない)
 3. よってデータは安全(=自分以外には復号不能)である

 たったこれだけ。ある意味暗号化の本質とも言う。

 これをWindows上で簡単に実現するのがCloudFoggerで、選択制でローカルアカウントを作成した時に暗号化鍵は手元にしか無く、正にこの状態になる。ローカルアカウント作成時は必要なのはパスワードのみ。

 さてそうなると次はこのCloudFoggerというソフト自体がどこまで信用出来るかという話になるが、以下が当方の解釈。やや面倒なので読み飛ばし可。

 1. 起動していると1時間に1回程度KeyServerに接続している。従ってKeyServerにローカルアカウントの情報をアップロードすることはいつでも可能。
 2. KeyServerでユーザ特定に使えるのはメアドのみ。他の情報はアカウント作成時に入力してないため。
 3. メアド情報が入っていない鍵情報が仮にアップロードされても、ユーザの特定は出来ない。
 4. 仮に鍵が流出し悪意ある第三者に渡ったところで、この鍵で復号出来る暗号化ファイルを特定不能(或いは特定の暗号化ファイルを復号出来る鍵が判別不能)の為役に立たない。
 5. 以上より、CloudFoggerというソフト自体がSpywareであるというオチでもない限り、セキュリティモデルは崩壊しない。

 まぁ要するに、自分的にはOKということで、当方はCloudFoggerを使い続けていたワケですわ。

 ◇

 さてここに来てViivoをビミョーと思った理由。結論から言うと、

 暗号化鍵・復号化鍵・ファイル履歴がしっかりとPKWARE社のサーバに保存されている

 ので。
 対するCloudFoggerは、鍵も情報も一切外に出さない(ことになっている)ので、どちらが安全かと言われると圧倒的後者。

 #というか、セキュリティ的な発想で言うと一切サーバに接続しない使い方「も」サポートするのが当然だと思うのだが、何故にそうなってないのさコレは。

 復号化キーは別名「秘密鍵」なので、コレがサーバ上にアップロードされてるってのはさすがにどうかと。
 勿論何らかの方法で、というか恐らくメアドとパスワードをキーにして暗号化されているのだろうが、それでもアップロードされていること自体どうなのさ、と。

 勿論、この方法にもメリットはある。
 複数のクライアント間で同一アカウントを使う場合(モバイルとデスクトップ等)、CloudFoggerではローカルの復号化鍵を何らかの手段でコピーする必要があるが、Viivoではアカウントさえ間違えなければシームレスに運用は可能。
 恐らく昨今ではセキュリティ的な完璧を求めた故の不便さより、ある程度脆弱になるのを覚悟してでも利便性を取った方がウケるだろうから、こういう仕様にしたのでしょうな、というのが当方の解釈。

 まぁ、登録するメアド・パスワード・ユーザIDは他では一切使用していない、連想も出来ないものにしておけば、仮にPKWARE社のサーバからアカウントや鍵情報が流出してもその鍵で復号化する暗号化ファイルを特定出来ない(逆方向も可)ので事実上役に立たず、セキュリティは保てる。

 そういう意味で、ユーザが正しく使えばViivoもかなり強い防壁となり得るのだが、それでも「ゼロナレッジセキュリティ」信奉者としては「何だかなぁ」という感覚が捨てきれない。

 ちなみに上記の鍵情報がアップロードされていることは、以下の作業で確認済。

 1. 検証用仮想マシンAの上でインストール、アカウント作成、暗号化ファイルα作成。
 2. 検証用仮想マシンBの上でインストール、アカウントログイン。
 3. この時点でBのViivoマネージャ画面には(Aで作業した)暗号化ファイルα作成履歴が表示される。
 3. AからBへ暗号化済ファイルαをコピー。
 4. Bマシン上で暗号化済ファイルαを復号、正常完了。
 5. Bマシン上で別のファイルβを暗号化。
 6. BからAへ暗号化済ファイルβをコピー。
 7. Aマシン上で暗号化済ファイルβを復号、正常完了。

 Step3で履歴情報がアップロードされていること、Step4で秘密鍵である筈の復号化鍵がアップロードされていることが確認出来る。

 ◇

 まぁここまでつらつら書いてきておいて、カッコ悪いオチを一つ。

 当方、個人メールはApps for Domains(旧称)に集約しているし、Google Calenderはフル活用しているし、ということで、今更ファイルだけ暗号化したところで既に個人情報ダダ漏れ状態ではあるんですよ、実はね。

 とはいえ、過去にはデータ流出に近いポカを実際やらかしたクラウドストレージも存在するし、個人情報というのは密度が大事なので、その密度を増強する強力な要素たり得るファイルを暗号化をしない理由にならない、というのが当方の考え方。

 何より、初期セットアップさえ済んでしまえばその後はそんなに面倒なモノでもないし。
 そりゃまぁこれが毎日イライラする程不便だったら、また別の結論になったかも知れないけど。

Share

容量無制限の魅力をクライアントの不出来で叩き潰す、Microsoftの平常運転。

 折角魅力ある製品要素を作ったのに、他の要素が決定的に駄目なせいで、トータルで見ると激しく製品に魅力が無い、というのはここ最近のMicrosoftの平常運転のようで。

 サブスクリプション中は容量無制限で使えるようにするというOneDrive。これ下手したらOffice使わない人でも登録するんじゃないか的な価格破壊だが、これとWindows 8.1が組み合わさると、とてつもなく色褪せて見えるというオチが。

 それは何故かというと、OneDriveのローカル同期アプリがOSにMicrosoft Accountログインしないと使えないので。

 別にOSにクラウドストレージを統合する自体は構わないが、その状態でローカル同期アプリに「OSにMicrosoft Accountログインしていないと起動しない」なんて妙な制約を仕込むのはさすがMicrosoftというか。

 ♯ストアアプリの仕様としては、そのアプリだけをMicrosoft Accountログインで起動することも出来るのに、それをさせないのがMicrosoftの素敵センス。

 ◇

 仕方ないのでどうするか。
 OneDriveに繋げられるストアアプリを使う、というのは正直解決策にならないので、ここは非公式ではあるがWebDAVで接続することにする。

 実はOneDriveのデスクトップ連携はWebDAVで繋いでいるので、非公式とはいえ無くなることはまず有り得ない。普通に使って大丈夫ではないかと。
 但しこのWebDAVのURLは公開されてはいないので、Office Online(Webアプリ)のローカル連携機能を使ってURLを取り出すこととする。

 方法は簡単で、(1)IEでMicrosoft AccountにログインしてOneDriveのWebにアクセスし、(2)OneDriveの中で何でも良いのでOfficeドキュメント作成・或いは開き、(3)Web上のOffice Online画面から「xxxxxで開く」をクリックすると、(4)ローカルのOfficeがWebDAV経由でOneDriveのファイルを開くので、(5)「名前を付けて保存」とすると保存ダイアログのパス欄にWebDAVアドレスが表示される。

 後はさくっとURL文字列をコピーして保存、「ネットワークドライブの割り当て」を使ってエクスプローラで開いてもよし、お気に入りのWebDAVクライアントがあればそれを使っても良し。
 MSのWebDAVは速度的にも安定度もイマイチという話もあるが、いかんせんWindows 8.1では純正クライアントがクソ仕様(しつこい)なので、ローカルアカウントでまともに使おうとしたらコレしかないという。

 最後に、Microsoft Account関連のネタを一つ。

 Office 2013のパッケージ版の認証プログラム(アクティベーション)には、うっかりMicrosoft Accountにログイン中にアクティベート作業を行うと、パッケージ記載のシリアルが通らないというトンでもなバグがある。
 間違いなく正規パッケージ品(高ぇよ)なのに「プロダクトキーが違います」はホント心臓に悪いでっせ。さっさと直してくれ・・・。

 #どうやらOffice 365(サブスクリプション登録時のローカルプログラム)と認識されてしまう模様。

Share

OneDrive無制限大解放で、どうする他のクラウドストレージ屋。

 いや、ほぼタイトルが全て。

 Microsoftが何トチ狂ったのか月¥1,300弱でコンシューマ向けにOneDriveを無制限大解放するとか言い出しましたよ。え、Office?OneDriveのオマケでしょこれ。

 ・・・なんてこと言うとさすがにアレだが、実際問題使い方次第では爆安プライス。
 動画をやっているような人なら、バックアップ先として最適だと思われ。

 #最近じゃスマホの動画撮りでも高画質狙うとあっという間にGB乗るし、最近のコンシューマ向け大容量HDDには信頼性なんて言葉は無いし。

 まぁ、2次元エロ絵のアップロードでアカウントを吹き飛ばされる他、検閲という意味ではかなりガチガチ(そして疑わしきは即アウト)なのがOneDriveの特色でもあるので、その辺りの考慮は・・・一部の人達には必要なのかも。

 #ガチガチに暗号化して、絶対に中身がバレないようにしてアップロードする手も無くはないか。とはいえそこまでやるなら、もう1台HDD買ってきてまるっとバックアップした方がラクなような。

 ◇
 さて、それではもう少し真面目に、この大解放の影響を考えてみましょうか。
 まずはビジネス向けから。

 幸い?現状ではOneDrive for Businessも含めてエンタープライズで本気で使うには余りにも色々足りないので、その辺りに特色を持つエンタープライズ向けサービス、例えばBOX辺りはもう暫くは心配無いだろうし、既にインフラの立ち位置を確保しているGoogleも当分は問題無さそう。
 しかも、Boxは数年前から3人以上のビジネス向け契約(月¥1,800@人)では容量無制限になっているし、Googleも6月から始めたDrive for Workで5人以上の契約(月¥1,200@人)で容量無制限。

 そういう意味では、ビジネス向けでは漸くMicrosoftがスタートラインに立っただけ、とも言える。
 とはいえMicrosoftは最近IBMと協業したりしてこの辺りを攻める気満々なので、長期的にはガチ勝負になるようにしか思えないが。

 #個人的には、Apps使うなら月¥500@人の30GBストレージプランよりも月¥1,200@人の容量無制限プランの方がだんぜんお買い得だとは思う。

 ◇

 一方で、コンシューマ向けにはこれ、ものすごくインパクト大ではないかと。
 冗談抜きにDropBoxとかSugarSync辺りもヤバいと思いまっせ。

 #DropBoxは最近になってビジネス指向を出し始めたが、完全に出遅れ手遅れですわな。何より値段で勝ち目がない。

 まぁOneDriveの知名度は兎も角、Microsoftの知名度は低くないし、何しろ値段が圧倒的に安い。

 例えば、少し前まではプライスリーダーの立ち位置だったDropBoxだと¥1,200/月で1TB(ストレージだけ)なのが、OneDriveだと¥1,300/月で無制限容量でOfficeも付いてくる。普通に考えたら取るのは後者でしょ。

 更に、SugarSyncに至っては¥2,500/月も払って250GBのストレージだけ。最大ユーザー数のUSでは無料プランを終了させたりして財務体質の改善に努めてきていたようだが、このところのストレージ値崩れには完全に置いてけぼり状態。個人的には冗談抜きにいつ倒れてもおかしくないと思っている。

 この他にも、後発だが無料容量の大きさでアカウント数を急激に伸ばしたCopyも、有料プランとなると¥1,000/月で250GBと正直冴えないし、国内外の有象無象なんて正直箸にもかからん。

 同時に、直接個人向けではないとはいえ、BitCasaも少なくない影響を受けるのでは。CloudFSとかAPIとかいっても、結局個人向け(と超絶ニッチなフルスクラッチ企業開発向け)クラウドサービスを開発する土台でしかないので、いくらCloudFS APIを組み込んだアプリがクラウド関連で付加価値を付けられるといったところで「それOneDrive APIを組み込むのはダメなの?あっちはタダだし」という素朴な疑問に答えようが無いと思うのだが。

 そんな中で、個人向けで生き残る条件となると、ニッチ市場を狙うか、用途と機能を絞って低価格を打ち出すか、の2通りしか思いつかず。

 まず前者では、利便性よりプライバシー&セキュリティ重視のサービスの老舗「SpiderOak」、そのパクりだがSeagateがバックに付いている「Wuala」辺りかね。国内だと妙に強いYahooブランドの「Yahooボックス」(Pogoplug CloudのOEM)もこの類か。
 
 後者は・・・$50/年で容量無制限の「Pogoplug Cloud」とか、HDD吹っ飛びレポートが有名な$5/月で容量無制限の「Back Blaze」辺りかね。まぁどちらもバックアップ専用だし速度はイマイチ(特に前者は)だが、あまり文句を言われていないのは結局価格見合いの模様。他には・・・ん~有名どころではこれぐらいか?

 ◇

 まぁこんな感じで、これからクラウドストレージ業界に大変動が起こるようにしか思えないS.Kazでした、とさ。

Share

.inで強制停止があったので、今更「WHOISキャップ」を再考してみる。

 さて、既にだいぶ過去の話となってしまったのだけど、取り上げてみる。

 .in ドメインで一騒動があったのは5月の頭。
 「WHOISキャップ」を使っていたドメインが一斉に停止されてしまったのであり。

 理由は「規約違反」。
 .inでは「WHOISキャップ」は規約違反だったんですよ、しかも2005年から。
 違反している以上何をされても文句は言えないので、見ているとぼちぼちWHOISのアップデートがなされている模様。

 ◇

 とまぁこんなことがあったのだけど。
 何か思ったより話題になっていないなぁ、というのが個人的な感想。

 というのも。
 殆どのドメインで、今現在「WHOISキャップ」は規約違反なのであり。

 世界中探しても、WHOISで個人情報を垂れ流さないドメインというのは非常に少なくて。
 当方が知っているのは以下ぐらい。

 ・WHOIS非公開を貫き通している.to (日本人登録可)
 ・代理公開制度というWHOISキャップが規約内の.jp (日本人登録可)
 ・個人登録限定でWHOIS非公開の.ca

 ちなみに.caはカナダ人のみ登録可。
 なので、日本人が使えるのは.toか.jpしか無い、というのが自分の認識。

 ♯昔はもっとありましたよ。

 ところが、今や殆どのレジストラが「WHOISキャップ」を行っているし、ヘタするとそれが出来て当然のような説明をしている業者も居る。
 そして、長い間棚上げというか放置されていたこの「WHOISキャップ」問題について、諸々の政治的意図から去年後半頃からちらほらと動きが出始めている。
 つまり、これから世界中のドメインで、同じような状況に陥る可能性がある、とも考えられるのであり。

 ◇

 こう考えると、もう少しこのネタ盛り上がるかとも思ったのだが、どうやら殆ど話題にもならなかったようで。
 ・・・そんなモン、なのかねぇ。

 ちなみに当方は.netで独自ドメインを開始した後、当時WHOIS非公開だった.wsへ移行。ところが.wsがWHOIS公開に方針転換してしまったため、代理公開制度が使える.jpに移行、と2回も独自ドメインを乗り換えている。
 これは極端な例だと思うが、世間ではこういうのも居るということで。

 ♯ちなみに旧ドメインは手放した直後は転売業者が占有してたが、現在は空きの模様。

 ◇

 あ、そうそう。
 以上とは全然関係ないのだが。

 絶賛放置中のtwitterアカウントだが、思いついたついでにもう一つ作ってみたり。
 こちらは生活感溢れる日常生活ネタ限定ということで。
 まぁ過去の@SKaz_hinemos見ると普通に生活感溢れまくってるtweetもあったりするのだけど、その辺りはまぁそういうこともありました、と。

 まあ完全にS.Kazの自己満足なのだが。
 それ以前にtweet数が2桁になるまで続くのかね、このアカウントは。

Share

SPモードとGmailの何でやねん、或いはThunderbirdのeml読み込みでハマった話。

 さて、個人的には「とっととしてくれ」と思っていた「ドコモメール」の提供開始。SPモード(というよりはSPモードメールの端末側ソフト)のダメ仕様が多少マシになるのではと期待していたのだが、当初予定ではとっくに始まっている筈が、延びに延びて10月という話に。

 #つかこの調子だと年内すら怪しい気がする。

 ということで、いい加減SPモードの呪縛から逃れようと、多少なりとも話が通じそうな人間にはgmailへのアドレス変更通知を送っているのだ、が。
 問題は過去メール。何だかんだでバックアップもされないまま端末に溜まっております。これはマズい。
 ということで、この「SPモードのメールをgmailに移行する」という作業をしたのだが、Thunderbirdの思わぬ罠に引っかかってトンでもない目に遭ったので、取り敢えずメモ。

 ◇

 まず、大まかな作業の流れ。

 1.SPモードからメールをeml形式でSDカードへExportする。
 2.SDカード上のファイルを何らかの方法でPCにCopyする。
 3.ThunderbirdでGmailに接続し、IMAP経由でImportする。

 Thunderbirdがいつの間にかeml形式を読み込めるようになったので非常にシンプルな行程で出来るようになってます。
 ・・・が、そこに罠があったのであり。

 結論から言うと、Thunderbirdのeml読込にはimapフォルダと組み合わされた場合に発動する、結構イヤな感じのバグが残っている。但し操作方法を一工夫すればバグ回避が可能。
 その一工夫とは、以下の通り。

 「まずemlファイルをローカルフォルダにImportし、次にローカルフォルダの中身をIMAPフォルダにCopyする」

 これで日時表示の問題等もなくemlファイル群をGmailにImport出来ましたとさ。

 ♯ちなみに当方がこの「一工夫」を見つけるまで約3時間、但し2時間以上「emlファイルのヘッダを弄ったらどうにかならんのか」と試していたのであり。そちらの結論は「ヘッダ弄りではどうにもならん」ということで。

 ◇

 以下、詳細。

 「Thunderbirdのeml読込にはIMAPフォルダと組み合わされた場合に発動する」症状は2つで、

 ・IMAPのローカルキャッシュが壊れる
 ・Thunderbird内部に保持されるメールの受信日時がImport作業をした日時になる

 これどちらも結構イヤな感じ。

 前者はmboxファイルが壊れるにも関わらずThunderbird側には検出されないため、メールの本文表示が壊れるだけでなく、運が悪いとIMAPサーバ=Gmailと同期すらしなくなってしまう。
 対処はmboxを手動で削除して、再度全DLして作り直すしかない。

 後者は「このままIMAPサーバにメールをImportするとメール一覧画面で表示される日時が狂う」という最悪の状況が発生する。
 もともとThunderbirdの開発にはgoogleが絡んでいるので「ThunderbirdでIMAPを使えばGmailへImportしても日時が狂わない」というのはThunderbirdの初期のウリの一つだったのだが、このウリが完全に吹っ飛んでしまっている。

 ところがこの2つの症状、発生するのは「外部からemlを直接IMAPフォルダに読み込ませた場合」という極めて限定的な状況のみ。
 試しにローカルフォルダにemlをImportしてみると問題はないし、既にデータの存在するIMAPフォルダの内容を別のIMAPフォルダ下にコピーしてもこれまた全く問題無い。
 なので、取り敢えずローカルフォルダにImportしてから作業をすれば全て解決。

 にしても、OSSとしては開発者数に恵まれているThunderbirdでこんな分かり易い症状の出るバグが残っているとは。
 IMAPフォルダへのeml直接投入なんて操作は普通やらん、てことなのかね?

Share