当前位置:主页>资 讯>安全动态>

云存储 没那么安全

一些希望在云安全获得领先优势的云存储供应商采用了“零知识”政策,这些供应商称,在这种政策中,客户数据不可能会被窥探。但约翰·霍普金斯大学的计算机科学家质疑这种零知识策略的安全性。

零知识云服务的工作原理是,以加密方式存储客户数据,只给客户解密密钥,供应商则不能获取这些密钥。但研究人员发现,如果数据在云服务中共享,这些密钥可能会受到攻击,让攻击者可以窥探客户数据。该研究对零知识云计算[注]产生了质疑,并建议最终用户应充分了解供应商是如何处理其数据的。

约翰·霍普金斯大学的研究人员对Spider Oak、Wuala和Tresorit等零知识供应商进行了检查,这些供应商采用的方法是,当数据存储到云中时就会被加密,而只有当用户从云端下载这些数 据时才会被解密。这种模式是安全的,但是,研究人员警告说,如果数据在云中共享,这意味着数据是通过云服务被发送,而不是用户下载到其系统,那么,供应商 将有机会查看这些数据。约翰·霍普金斯大学计算机科学系信息安全研究所博士生Duane Wilson表示:“当数据通过云存储服务与另一个接收者共享时,供应商能够访问其客户的文件和其他数据。”

这些供应商通常会依赖于中间人服务,在将密钥解密数据之前会验证用户。这些研究人员发现,供应商有时候会提供自己的验证。这给供应商提供了一个机会来发出假证书,解密数据,从而查看客户数据。这类似于传统的中间人攻击。

研究人员表示他们没有发现任何证据表明客户数据被泄露,他们也没有发现任何供应商的可疑行为,但研究人员称这可能是一个漏洞。“虽然我们没有发现任 何证据证明任何安全云存储供应商在访问其客户的隐私信息,但我们认为这种情况可能会发生,”该大学副教授Giuseppe Ateniese表示,“这就像是发现你的邻居家门没锁,可能还没有人从里面偷东西,但你不觉得这让盗贼很容易进去?”

其中一家供应商Spider Oak的代表人员表示,他们同意该研究的某些方面的结果。Spider Oak鼓励用户使用桌面应用程序来传输文件,而不是通过该公司的门户网站,利用Spider Oak的桌面应用程序将确保最终用户经过验证来解密这些数据,消除了供应商窥探这些数据的可能性。部署Spider Oak服务的用户被要求在合同中勾选这一项,即他们了解实现真正的零知识需要使用一个桌面应用程序。

Spider Oak表示希望围绕其云平台实 现协作服务,意味着数据将在其云中传输。为了实现这个功能,Spider Oak表示他们计划结合RSA安全标识和密钥及加密平台。他们还希望为用户提供一种方式来验证谁正在浏览文件。一些供应商(例如加密通信提供商 Silent Circle)使用语音识别工具来提供此项功能,而Spider Oak表示他们正在评估类似的方法来确保数据只在拥有者批准的人之间共享。

(责任编辑:)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

由蜜罐引发的物联网安全小谈

由蜜罐引发的物联网安全小谈

最近几年,物联网正以迅雷不及掩耳之势四处圈地,凡联网之物都能被黑的恶名也如影随形...[详细]

女子傻眼:银行卡刚存30万,瞬间只剩400

女子傻眼:银行卡刚存30万,瞬间只剩400

个人信息被泄露,在这个年代,好像已经屡见不鲜。但昨天,记者从海曙检察院听闻了一个...[详细]

黑客针对香港的网络攻击中利用了新型的IE浏

黑客针对香港的网络攻击中利用了新型的IE浏览器0day

微软公司在昨日修复了漏洞(CNNVD-201508-429),但攻击者已经在进行水坑攻击的过程中利...[详细]

骗子植入手机木马的10大招术:看完你将会“

骗子植入手机木马的10大招术:看完你将会“百毒不侵”

一、冒充移动客服10086 此类案件中,犯罪分子通过技术手段伪装成移动客服10086向不特...[详细]

滴滴打车有漏洞 淘宝买个软件免费打车

滴滴打车有漏洞 淘宝买个软件免费打车

近日,重庆晚报记者接到读者反映,不法商人用黑客软件刷券在淘宝网销售,声称只要几元...[详细]

返回首页 返回顶部