国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全云安全
當(dāng)前位置: 主頁(yè) > 信息安全 > 云安全 >

云存儲(chǔ) 其實(shí)沒(méi)有那么安全!

時(shí)間:2014-04-25 11:25來(lái)源:TuZhiJiaMi企業(yè)信息安全專(zhuān)家 點(diǎn)擊:
一些希望在云安全獲得領(lǐng)先優(yōu)勢(shì)的云存儲(chǔ)供應(yīng)商采用了“零知識(shí)”政策,這些供應(yīng)商稱(chēng),在這種政策中,客戶(hù)數(shù)據(jù)不可能會(huì)被窺探。但約翰·霍普金斯大學(xué)的計(jì)算機(jī)科學(xué)家質(zhì)疑這種零知識(shí)策略的
Tags云安全(761)云服務(wù)(34)云儲(chǔ)存(2)  

  一些希望在云安全獲得領(lǐng)先優(yōu)勢(shì)的云存儲(chǔ)供應(yīng)商采用了“零知識(shí)”政策,這些供應(yīng)商稱(chēng),在這種政策中,客戶(hù)數(shù)據(jù)不可能會(huì)被窺探。但約翰·霍普金斯大學(xué)的計(jì)算機(jī)科學(xué)家質(zhì)疑這種零知識(shí)策略的安全性。

云存儲(chǔ) 沒(méi)那么安全!

  零知識(shí)云服務(wù)的工作原理是,以加密方式存儲(chǔ)客戶(hù)數(shù)據(jù),只給客戶(hù)解密密鑰,供應(yīng)商則不能獲取這些密鑰。但研究人員發(fā)現(xiàn),如果數(shù)據(jù)在云服務(wù)中共享,這些密鑰可能會(huì)受到攻擊,讓攻擊者可以窺探客戶(hù)數(shù)據(jù)。該研究對(duì)零知識(shí)云計(jì)算[注]產(chǎn)生了質(zhì)疑,并建議最終用戶(hù)應(yīng)充分了解供應(yīng)商是如何處理其數(shù)據(jù)的。

  約翰·霍普金斯大學(xué)的研究人員對(duì)Spider Oak、Wuala和Tresorit等零知識(shí)供應(yīng)商進(jìn)行了檢查,這些供應(yīng)商采用的方法是,當(dāng)數(shù)據(jù)存儲(chǔ)到云中時(shí)就會(huì)被加密,而只有當(dāng)用戶(hù)從云端下載這些數(shù)據(jù)時(shí)才會(huì)被解密。這種模式是安全的,但是,研究人員警告說(shuō),如果數(shù)據(jù)在云中共享,這意味著數(shù)據(jù)是通過(guò)云服務(wù)被發(fā)送,而不是用戶(hù)下載到其系統(tǒng),那么,供應(yīng)商將有機(jī)會(huì)查看這些數(shù)據(jù)。約翰·霍普金斯大學(xué)計(jì)算機(jī)科學(xué)系信息安全研究所博士生Duane Wilson表示:“當(dāng)數(shù)據(jù)通過(guò)云存儲(chǔ)服務(wù)與另一個(gè)接收者共享時(shí),供應(yīng)商能夠訪問(wèn)其客戶(hù)的文件和其他數(shù)據(jù)?!?/P>

  這些供應(yīng)商通常會(huì)依賴(lài)于中間人服務(wù),在將密鑰解密數(shù)據(jù)之前會(huì)驗(yàn)證用戶(hù)。這些研究人員發(fā)現(xiàn),供應(yīng)商有時(shí)候會(huì)提供自己的驗(yàn)證。這給供應(yīng)商提供了一個(gè)機(jī)會(huì)來(lái)發(fā)出假證書(shū),解密數(shù)據(jù),從而查看客戶(hù)數(shù)據(jù)。這類(lèi)似于傳統(tǒng)的中間人攻擊。

  研究人員表示他們沒(méi)有發(fā)現(xiàn)任何證據(jù)表明客戶(hù)數(shù)據(jù)被泄露,他們也沒(méi)有發(fā)現(xiàn)任何供應(yīng)商的可疑行為,但研究人員稱(chēng)這可能是一個(gè)漏洞?!半m然我們沒(méi)有發(fā)現(xiàn)任何證據(jù)證明任何安全云存儲(chǔ)供應(yīng)商在訪問(wèn)其客戶(hù)的隱私信息,但我們認(rèn)為這種情況可能會(huì)發(fā)生,”該大學(xué)副教授Giuseppe Ateniese表示,“這就像是發(fā)現(xiàn)你的鄰居家門(mén)沒(méi)鎖,可能還沒(méi)有人從里面偷東西,但你不覺(jué)得這讓盜賊很容易進(jìn)去?”

  其中一家供應(yīng)商Spider Oak的代表人員表示,他們同意該研究的某些方面的結(jié)果。Spider Oak鼓勵(lì)用戶(hù)使用桌面應(yīng)用程序來(lái)傳輸文件,而不是通過(guò)該公司的門(mén)戶(hù)網(wǎng)站,利用Spider Oak的桌面應(yīng)用程序?qū)⒋_保最終用戶(hù)經(jīng)過(guò)驗(yàn)證來(lái)解密這些數(shù)據(jù),消除了供應(yīng)商窺探這些數(shù)據(jù)的可能性。部署Spider Oak服務(wù)的用戶(hù)被要求在合同中勾選這一項(xiàng),即他們了解實(shí)現(xiàn)真正的零知識(shí)需要使用一個(gè)桌面應(yīng)用程序。

  Spider Oak表示希望圍繞其云平臺(tái)實(shí)現(xiàn)協(xié)作服務(wù),意味著數(shù)據(jù)將在其云中傳輸。為了實(shí)現(xiàn)這個(gè)功能,Spider Oak表示他們計(jì)劃結(jié)合RSA安全標(biāo)識(shí)和密鑰及加密平臺(tái)。他們還希望為用戶(hù)提供一種方式來(lái)驗(yàn)證誰(shuí)正在瀏覽文件。一些供應(yīng)商(例如加密通信提供商Silent Circle)使用語(yǔ)音識(shí)別工具來(lái)提供此項(xiàng)功能,而Spider Oak表示他們正在評(píng)估類(lèi)似的方法來(lái)確保數(shù)據(jù)只在擁有者批準(zhǔn)的人之間共享。

------分隔線----------------------------

推薦內(nèi)容