申請免費試用、咨詢電話:400-8352-114
cr
一些希望在云安全獲得領(lǐng)先優(yōu)勢的云存儲供應(yīng)商采用了“零知識”政策,這些供應(yīng)商稱,在這種政策中,客戶數(shù)據(jù)不可能會被窺探。但約翰·霍普金斯大學(xué)的計算機科學(xué)家質(zhì)疑這種零知識策略的安全性。
零知識云服務(wù)的工作原理是,以加密方式存儲客戶數(shù)據(jù),只給客戶解密密鑰,供應(yīng)商則不能獲取這些密鑰。但研究人員發(fā)現(xiàn),如果數(shù)據(jù)在云服務(wù)中共享,這些密鑰可能會受到攻擊,讓攻擊者可以窺探客戶數(shù)據(jù)。該研究對零知識云計算[注]產(chǎn)生了質(zhì)疑,并建議最終用戶應(yīng)充分了解供應(yīng)商是如何處理其數(shù)據(jù)的。
約翰·霍普金斯大學(xué)的研究人員對Spider Oak、Wuala和Tresorit等零知識供應(yīng)商進行了檢查,這些供應(yīng)商采用的方法是,當(dāng)數(shù)據(jù)存儲到云中時就會被加密,而只有當(dāng)用戶從云端下載這些數(shù) 據(jù)時才會被解密。這種模式是安全的,但是,研究人員警告說,如果數(shù)據(jù)在云中共享,這意味著數(shù)據(jù)是通過云服務(wù)被發(fā)送,而不是用戶下載到其系統(tǒng),那么,供應(yīng)商 將有機會查看這些數(shù)據(jù)。約翰·霍普金斯大學(xué)計算機科學(xué)系信息安全研究所博士生Duane Wilson表示:“當(dāng)數(shù)據(jù)通過云存儲服務(wù)與另一個接收者共享時,供應(yīng)商能夠訪問其客戶的文件和其他數(shù)據(jù)。”
這些供應(yīng)商通常會依賴于中間人服務(wù),在將密鑰解密數(shù)據(jù)之前會驗證用戶。這些研究人員發(fā)現(xiàn),供應(yīng)商有時候會提供自己的驗證。這給供應(yīng)商提供了一個機會來發(fā)出假證書,解密數(shù)據(jù),從而查看客戶數(shù)據(jù)。這類似于傳統(tǒng)的中間人攻擊。
研究人員表示他們沒有發(fā)現(xiàn)任何證據(jù)表明客戶數(shù)據(jù)被泄露,他們也沒有發(fā)現(xiàn)任何供應(yīng)商的可疑行為,但研究人員稱這可能是一個漏洞。“雖然我們沒有發(fā)現(xiàn)任 何證據(jù)證明任何安全云存儲供應(yīng)商在訪問其客戶的隱私信息,但我們認為這種情況可能會發(fā)生,”該大學(xué)副教授Giuseppe Ateniese表示,“這就像是發(fā)現(xiàn)你的鄰居家門沒鎖,可能還沒有人從里面偷東西,但你不覺得這讓盜賊很容易進去?”
其中一家供應(yīng)商Spider Oak的代表人員表示,他們同意該研究的某些方面的結(jié)果。Spider Oak鼓勵用戶使用桌面應(yīng)用程序來傳輸文件,而不是通過該公司的門戶網(wǎng)站,利用Spider Oak的桌面應(yīng)用程序?qū)⒋_保最終用戶經(jīng)過驗證來解密這些數(shù)據(jù),消除了供應(yīng)商窺探這些數(shù)據(jù)的可能性。部署Spider Oak服務(wù)的用戶被要求在合同中勾選這一項,即他們了解實現(xiàn)真正的零知識需要使用一個桌面應(yīng)用程序。
Spider Oak表示希望圍繞其云平臺實 現(xiàn)協(xié)作服務(wù),意味著數(shù)據(jù)將在其云中傳輸。為了實現(xiàn)這個功能,Spider Oak表示他們計劃結(jié)合RSA安全標(biāo)識和密鑰及加密平臺。他們還希望為用戶提供一種方式來驗證誰正在瀏覽文件。一些供應(yīng)商(例如加密通信提供商 Silent Circle)使用語音識別工具來提供此項功能,而Spider Oak表示他們正在評估類似的方法來確保數(shù)據(jù)只在擁有者批準(zhǔn)的人之間共享。
|