Innanzitutto, la crittografia lato client rende difficile per l'azienda vendere o estrarre i dati, almeno come modello di business.
Ciò che dici è vero, è ancora necessario verificare che il software faccia ciò che promette e non contenga backdoor. Sfortunatamente il problema è ancora irrisolto. Soprattutto perché risolverlo non aiuta, inoltre, come gli attacchi mirati riescono attraverso bug nel software, che sono costosi da trovare. Ma puoi costruire un sistema di verifica che il software non contenga backdoor:
- verifica che il software faccia ciò che promette. Questo può essere fatto attraverso le revisioni della sicurezza.
- assicurati che il codice che è stato esaminato corrisponda al binario. Questo viene fatto attraverso build deterministiche.
- assicurati che il software non venga modificato. Questo è un problema di distribuzione del software ed è più grave con gli aggiornamenti automatici e l'accesso Web e meno severo con il software installato. La cosa migliore è richiedere che l'hash del software venga rilasciato su servizi notarili pubblici come la blockchain di bitcoin.
Visualizza anche la mia risposta su " È possibile progettare un sistema in cui il client non fa" t fidarsi del server? ".
Inoltre, la crittografia sul lato client significa che devi ancora fidarti del client, ma non devi fidarti del server. Quindi se server e client sono forniti da fornitori distinti, devi solo fidarti del server.
Pensa a chi aggiungi alla tua lista di aziende fidate. Se utilizzi un gestore di password che incolla le password nei campi del browser, la crittografia del browser lato client nativo è buona, dato che devi già fidarti del browser.