Ellipticc, sebuah layanan penyimpanan cloud baru yang menjanjikan enkripsi tahan kuantum dan privasi lengkap, telah diluncurkan dengan klaim berani tentang keamanan dan sifat open source-nya. Namun, komunitas teknologi dengan cepat mengidentifikasi beberapa perbedaan antara pemasaran layanan dan implementasi aktualnya, memunculkan pertanyaan tentang fondasi kriptografis dan transparansinya.
Implementasi Keamanan Diperiksa dengan Saksama
Fitur keamanan pasca-kuantum yang diiklankan oleh layanan tersebut telah menarik perhatian khusus dari para peneliti keamanan. Anggota komunitas mencatat ketidakkonsistenan antara spesifikasi teknis yang disebutkan di berbagai tempat, dengan seorang pengamat menunjukkan bahwa postingan Anda di sini menyebutkan ML-KEM768 tetapi situs webnya menyebutkan Kyber512. Perbedaan dalam spesifikasi algoritma tahan kuantum ini menunjukkan potensi kebingungan dalam detail implementasi. Yang lebih mengkhawatirkan adalah kritik terhadap implementasi Secure Remote Password (SRP) Ellipticc, yang digambarkan oleh seorang komentator sebagai agak... mencurigakan karena potensi kerentanan side-channel dan penggunaan grup Diffie-Hellman yang tidak tepat. Tanggapan pengembang mengakui mengikuti RFC 5054 dengan penyesuaian kecil, tetapi para ahli keamanan merekomendasikan beralih ke protokol yang lebih modern seperti OPAQUE untuk jaminan keamanan yang lebih baik.
Side-channels. Juga, N dan G sangat penting untuk keamanan; tidak membuatnya hard-coded dan transparan itu mencurigakan. Anda tidak bisa hanya menggunakan grup DH biasa.
Catatan: SRP (Secure Remote Password) adalah protokol untuk mengautentikasi pengguna tanpa mengirimkan kata sandi mereka melalui jaringan. Serangan side-channel mengeksploitasi informasi yang bocor selama komputasi, seperti waktu atau konsumsi daya.
Fitur Keamanan yang Diklaim
- Enkripsi end-to-end menggunakan XChaCha20-Poly1305
- Keamanan post-quantum (ML-KEM768/Kyber512 disebutkan)
- Frontend bersifat open-source di bawah Lisensi MIT
- Data disimpan di server Backblaze B2 di Amsterdam, Belanda
Debat Open Source Memanas
Klaim Ellipticc sebagai open-source telah memicu diskusi signifikan di komunitas pengembang. Meskipun perusahaan mempromosikan bahwa seluruh frontend kami sepenuhnya open-source, anggota komunitas dengan cepat menemukan bahwa hanya kode frontend yang tersedia untuk umum, dan awalnya tanpa lisensi yang jelas. Seorang komentator menyebut ini sebagai kasus yang cukup jelas dari berbohong dengan cara menghilangkan informasi, dengan mencatat bahwa frontend open-source tidak sama dengan cloud drive yang open-source ketika komponen backend yang kritis tetap bersifat proprietary. Pengembang kemudian menambahkan lisensi MIT ke repositori frontend dan mengklarifikasi bahwa backend-nya belum public, namun kami mungkin akan membuka sebagiannya nanti, meskipun keterbukaan parsial ini terus menarik skeptisisme dari para pendukung open-source yang mengharapkan transparansi penuh dari layanan yang berfokus pada privasi.
Kekhawatiran tentang Transparansi dan Kelengkapan Muncul
Di luar masalah inti keamanan dan open-source, pengguna telah mengidentifikasi beberapa area di mana layanan Ellipticc tampak belum selesai. Repositori GitHub menunjukkan apa yang digambarkan seorang pengguna sebagai semacam frontend yang disusun/dikodekan dengan suasana hati, yang mengisyaratkan bahwa proyek tersebut mungkin tidak sematang yang diimplikasikan oleh pemasarannya. Masalah fungsional juga dicatat, dengan tautan About yang rusak menghalangi pengguna mengakses informasi dasar tentang lokasi hosting data. Saat ditanya, pengembang mengakui lebih fokus pada logika aktual dashboard daripada halaman landing, yang masih kurang halus. Pengungkapan bahwa halaman informasi fundamental diabaikan demi fungsionalitas inti ini memunculkan pertanyaan tentang kesiapan keseluruhan layanan dan komitmennya terhadap transparansi pengguna.
Model penetapan harga layanan juga menarik kritik karena menggunakan istilah absolut seperti gratis selamanya, yang dinasihati oleh anggota komunitas untuk dihindari, dengan mencatat bahwa janji semacam itu merusak pesan Anda di industri di mana model bisnis sering berevolusi.
Masalah yang Diidentifikasi Komunitas
- Spesifikasi algoritma quantum-safe yang tidak konsisten
- Kekhawatiran keamanan implementasi SRP
- Backend tetap closed-source meskipun diklaim "open-source"
- Tautan informasi yang rusak dan halaman landing yang belum selesai
Konsep yang Menjanjikan dengan Celah Implementasi
Ellipticc mewakili upaya ambisius untuk menciptakan solusi penyimpanan cloud yang benar-benar pribadi di era pengawasan digital yang semakin meningkat. Konsep menggabungkan enkripsi end-to-end dengan keamanan pasca-kuantum dan verifikasi open-source menjawab kekhawatiran nyata di komunitas privasi. Namun, kesenjangan antara janji ambisius layanan dan implementasinya saat ini menyoroti tantangan yang dihadapi startup baru yang berfokus pada keamanan. Penerimaan yang beragam ini menunjukkan bahwa pengguna yang sadar privasi semakin canggih tentang baik implementasi kriptografis maupun prinsip-prinsip open-source, menuntut lebih dari sekadar klaim pemasaran sebelum mempercayakan data mereka ke layanan baru. Seiring Ellipticc melanjutkan pengembangannya, bagaimana mereka menangani kekhawatiran komunitas ini kemungkinan akan menentukan kesuksesannya di pasar alat privasi yang kompetitif.
Referensi: Your Privacy, Our Priority.