首页 >> 通信技术 >> 云计算 >> 正文
零知识云服务存储策略没有那么安全
通信世界网 http://www.cww.net.cn 2014年5月14日 05:48
标签:云服务 安全 云存储
 

约翰霍普金斯大学的研究人员质疑“零知识”政策

一些希望在云安全获得领先优势的云存储供应商采用了“零知识”政策,这些供应商称,在这种政策中,客户数据不可能会被窥探。但约翰·霍普金斯大学的计算机科学家质疑这种零知识策略的安全性。

零知识云服务存储策略没有那么安全

零知识云服务的工作原理是,以加密方式存储客户数据,只给客户解密密钥,供应商则不能获取这些密钥。但研究人员发现,如果数据在云服务中共享,这些密钥可能会受到攻击,让攻击者可以窥探客户数据。该研究对零知识云计算[注]产生了质疑,并建议最终用户应充分了解供应商是如何处理其数据的。

约翰·霍普金斯大学的研究人员对Spider Oak、Wuala和Tresorit等零知识供应商进行了检查,这些供应商采用的方法是,当数据存储到云中时就会被加密,而只有当用户从云端下载这些数 据时才会被解密。这种模式是安全的,但是,研究人员警告说,如果数据在云中共享,这意味着数据是通过云服务被发送,而不是用户下载到其系统,那么,供应商 将有机会查看这些数据。约翰·霍普金斯大学计算机科学系信息安全研究所博士生Duane Wilson表示:“当数据通过云存储服务与另一个接收者共享时,供应商能够访问其客户的文件和其他数据。”

这些供应商通常会依赖于中间人服务,在将密钥解密数据之前会验证用户。这些研究人员发现,供应商有时候会提供自己的验证。这给供应商提供了一个机会来发出假证书,解密数据,从而查看客户数据。这类似于传统的中间人攻击。

研究人员表示他们没有发现任何证据表明客户数据被泄露,他们也没有发现任何供应商的可疑行为,但研究人员称这可能是一个漏洞。“虽然我们没有发现任 何证据证明任何安全云存储供应商在访问其客户的隐私信息,但我们认为这种情况可能会发生,”该大学副教授Giuseppe Ateniese表示,“这就像是发现你的邻居家门没锁,可能还没有人从里面偷东西,但你不觉得这让盗贼很容易进去?” 其中一家供应商Spider Oak的代表人员表示,他们同意该研究的某些方面的结果。

Spider Oak鼓励用户使用桌面应用程序来传输文件,而不是通过该公司的门户网站,利用Spider Oak的桌面应用程序将确保最终用户经过验证来解密这些数据,消除了供应商窥探这些数据的可能性。部署Spider Oak服务的用户被要求在合同中勾选这一项,即他们了解实现真正的零知识需要使用一个桌面应用程序。

Spider Oak表示希望围绕其云平台实 现协作服务,意味着数据将在其云中传输。为了实现这个功能,Spider Oak表示他们计划结合RSA安全标识和密钥及加密平台。他们还希望为用户提供一种方式来验证谁正在浏览文件。一些供应商(例如加密通信提供商 Silent Circle)使用语音识别工具来提供此项功能,而Spider Oak表示他们正在评估类似的方法来确保数据只在拥有者批准的人之间共享。通信世界网

 

来源:天极网
相关文章
 
文章评论
 
    昵称:  验证码:
 
关注通信世界网
 
 
官方微信
“cww-weixin”(或扫描下图二维码),即可于获得独家的CWW视点分析、最新的通信资讯。
 
 
专家观点
邬贺铨:频率紧张限..
“中国移动说今年要建20万个基站,到时就超过其他国家4G基站总和。但是..
 
 
最新专题
  • 1

  • 1

  • 1

  • 1

通信百科
 
华为IDC/ISP信息安全管理..
IDC需要加强信息安全管理互联网接入服务管理是互联网管理的重要组成部分..
 
 
 
新浪微博 腾讯微博 微信 rss
人民邮电出版社
工业和信息化部
人民邮电出版社图书专营店
中国通信企业协会
中国通信学会
中国互联网协会
无线电频谱管理中心
工业和信息化部电信研究院
中国通信标准化协会
中国移动通信联合会
中国邮电器材公司
中国电信
中国移动
中国联通
中国信息协会信息服务网络委员会
爱购服务器之家
新浪科技
搜狐IT
腾讯科技
凤凰网科技
人民网无线频道
中国通信网
移动Labs
中华电子网
通信产业网
企业网
In-Stat
IT价值联盟
中国软件资讯网
通信人才网
慧聪通信网
CTI论坛
CIO选型网
CTO技术网
美通社
赛立信竞争情报网
CRS通信学社
ZDNet至顶网
和讯科技
博趣·兴趣门户
呼叫中心频道
运营与增值
信天下企业短信
新电子
OFweek光通讯网
中云网