浅析零知识云服务安全性能
一些希望在云安全获得领先优势的云存储供应商采用了“零知识”政策,这些供应商称,在这种政策中,客户数据不可能会被窥探。但约翰·霍普金斯大学的计算机科学家质疑这种零知识策略的安全性。
零知识云服务的工作原理是,以加密方式存储客户数据,只给客户解密密钥,供应商则不能获取这些密钥。但研究人员发现,如果数据在云服务中共享,这些密钥可能会受到攻击,让攻击者可以窥探客户数据。该研究对零知识云计算[注]产生了质疑,并建议最终用户应充分了解供应商是如何处理其数据的。
约翰·霍普金斯大学的研究人员对Spider Oak、Wuala和Tresorit等零知识供应商进行了检查,这些供应商采用的方法是,当数据存储到云中时就会被加密,而只有当用户从云端下载这些数 据时才会被解密。这种模式是安全的,但是,研究人员警告说,如果数据在云中共享,这意味着数据是通过云服务被发送,而不是用户下载到其系统,那么,供应商 将有机会查看这些数据。约翰·霍普金斯大学计算机科学系信息安全研究所博士生Duane Wilson表示:“当数据通过云存储服务与另一个接收者共享时,供应商能够访问其客户的文件和其他数据。”
这些供应商通常会依赖于中间人服务,在将密钥解密数据之前会验证用户。这些研究人员发现,供应商有时候会提供自己的验证。这给供应商提供了一个机会来发出假证书,解密数据,从而查看客户数据。这类似于传统的中间人攻击。
研究人员表示他们没有发现任何证据表明客户数据被泄露,他们也没有发现任何供应商的可疑行为,但研究人员称这可能是一个漏洞。“虽然我们没有发现任 何证据证明任何安全云存储供应商在访问其客户的隐私信息,但我们认为这种情况可能会发生,”该大学副教授Giuseppe Ateniese表示,“这就像是发现你的邻居家门没锁,可能还没有人从里面偷东西,但你不觉得这让盗贼很容易进去?”
其中一家供应商Spider Oak的代表人员表示,他们同意该研究的某些方面的结果。Spider Oak鼓励用户使用桌面应用程序来传输文件,而不是通过该公司的门户网站,利用Spider Oak的桌面应用程序将确保最终用户经过验证来解密这些数据,消除了供应商窥探这些数据的可能性。部署Spider Oak服务的用户被要求在合同中勾选这一项,即他们了解实现真正的零知识需要使用一个桌面应用程序。
Spider Oak表示希望围绕其云平台实 现协作服务,意味着数据将在其云中传输。为了实现这个功能,Spider Oak表示他们计划结合RSA安全标识和密钥及加密平台。他们还希望为用户提供一种方式来验证谁正在浏览文件。一些供应商(例如加密通信提供商 Silent Circle)使用语音识别工具来提供此项功能,而Spider Oak表示他们正在评估类似的方法来确保数据只在拥有者批准的人之间共享。
- 1OA办公系统产品应具备的特性
- 2构建企业知识库的好处
- 3移动互联网繁荣本质:信息个体化
- 4企业OA系统的辅助功能
- 5北京OA信息化的研究内容
- 6知识库系统应该具有的功能有哪些?
- 7企业战略转型中的呼叫中心运营管理
- 8OA办公软件ThinkOne精细化协同办公管理平台
- 9移动办公软件已进入垂直细分时代
- 102015中国呼叫中心知识库发展的5个趋势
- 11OA办公自动化系统安全性需求分析
- 12北京OA信息化的推行策略分析
- 13北京OA信息化规划的三个层面
- 14做好一个OA系统有多难?
- 15北京OA信息化建设的三个层级目标
- 16企业信息化CIO如何精准选型OA办公软件
- 17研发的北京OA信息化实施及应用模式
- 18移动办公或成企业效率提升关键
- 19OA系统促进员工自我管理水平大幅提升
- 20如何驱动北京OA信息化的应用
- 21北京三百六十度国际旅行社OA办公系统|
- 22CIO选型OA奥秘,着重看五点
- 23北京OA信息化就是财富管理
- 24传统OA软件厂商正遭遇“阻击”
- 25中国庆华能源集团协同OA办公软件系统平台及企业介绍
- 26北京OA信息化如何处理设计成果
- 27房地产企业运营管理之知识库构建
- 28OA系统:好产品会说话
- 29企业该如何实践北京OA信息化
- 30提炼以知识价值为导向的大数据分析
成都公司:成都市成华区建设南路160号1层9号
重庆公司:重庆市江北区红旗河沟华创商务大厦18楼
