多管齐下 让云端删除更可信

软件先锋 2016-01-01 07:23网络整理点击: 标签:

云应用越来越普及,不过数据上传保存到云端服务器后,当我们出于需要想彻底清除云端这些数据时,却可能无法完成。因为在删除数据时,可能由于本地的数据不同步(指令没有发出),或者由于云端自身的合法原因(为了防灾,多个地方备份),或者非法的原因(有隐秘备份、不执行删除指令),我们根本无法确认是否完全删除。有没有一种“可信删除”的解决方案呢?

【解题思路】

云存储大都为免费服务,使用又很方便,因此得到许多人的喜爱。不过它导致的隐私问题也令人担忧,因为你上传的数据有可能被厂商复制、修改,也可能被永久备份,当你想要彻底删除时往往无能为力。以修改后的谷歌云盘隐私协议(http://tinyurl.com/l7r96q2)为例,就明确要求拥有用户上传产品的复制权利。

因此,上传到网上的数据安全,只能靠自己来把握,如果对云端信息进行合理的加密,就能有效防止别人偷窥自己的信息。当加密方法采用密码学中公认的加密算法如AES、3DES等,在没有密钥的前提下,目前世界上尚没有有效的破解方法。从密码学意义上来说,如果可靠加密的数据不能被解密,数据就是死的,跟删除了的效果相似。而在此基础上再运用其他一些方法,即可达到高度的“可信删除”效果了。

下面提供了多种方案,大家可以根据自己的实际情况选用。

【解题方法】

可信删除首选安全云平台

只有可信任的平台,才可能有可信的删除,这主面开源的云存储平台是不错的选择。因为对于云存储来说,开源的产品,大家能看得出程序内部执行的过程,自然对删除比较放心。云存储平台有很多开源项目,国外的Eucalyptus、OpenStack(典型的实现是惠普云http://www.hpcloud.com),国内的迷你云(http://www.miniyun.cn,图1)等。迷你云核心代码托管在GitHub,遵循BSD许可证,因此不存在后门。迷你云能实现云计算的大多数功能,当然也包括云存储(图2),而且迷你云为用户提供有免费版本。是不是有点动心了,不过开源的另一个特点就是技术门槛高,所以一般只适合专业人员使用。

1423kxsc01

1423kxsc02

另外的选择就是有权威认证的平台。要想降低技术门槛,又想让云存储删除可靠,就要靠权威的认证了。如美国的FedRAMP(http://cloud.cio.gov/fedramp),它是一个强制性的政府机构,规范了云产品和服务的安全评估、授权和监控,当然云存储也不例外。云计算的世界巨头亚马逊、微软都通过了该认证(图3)。

1423kxsc03

值得注意的是,著名的云存储及同步服务 Dropbox和谷歌并没有通过该认证。斯诺登就曾指出Dropbox是对“隐私的巨大威胁”,同时还呼吁出现更多像Spideroak那样不监视用户数据的“零知”服务。“零知”即“Zero Knowledge”,提供云服务的公司虽然会提供主机并代表客户处理文件、数据和信息,但没有接入、监视这些内容的权限。

修改后的谷歌云盘的隐私协议也受到大家的非议(图4)。在协议中谷歌明确指出:当您将内容上传、提交、存储或发送到我们的服务,以及通过我们的服务上传、提交、存储、发送或接收内容时,您授予Google(以及我们的合作伙伴)一项全球性的许可,允许Google使用、托管、存储、复制、修改、创建衍生作品。

1423kxsc04

工信部指导的数据中心联盟已开启了“可信云服务认证”,百度、腾讯、阿里等公司的云产品通过了可信云服务认证(图5)。值得注意的是,有部分公司的云存储并没有通过该认证。所以大家要根据自己的情况,选择通过认证的云存储产品。

1423kxsc05

选择可信任的第三方

通过可信任第三方对用户颁发证书,用户对文件数字签名加密后上传云端,这样在云端的数据如果没有用户的私钥,将无法解密,这其实是一种变相的可信删除,杂志上以前已有过不少介绍。

不过考虑到部分证书企业数字证书制作过程不透明,用户的私钥(相当于钥匙)由证书颁发企业生成后发给用户,在这个过程中可能存在着证书私钥备份问题(私自配钥匙)。所以在选择证书颁发机构时,一定要选可信任的机构。这里推荐VeriSign(已经被赛门铁克收购),世界500强企业中超过93%的企业采用VeriSign的数字证书,用户包括支付宝、中国工商银行等。在国内申请可以通过天威诚信(http://www.itrus.com.cn/conduct/192.html)来申请试用,个人目前60天免费(图6)。这一方法的优点是没有用户的私钥数据不能打开,但是它的加密解密速度慢,而且用户只有一个私钥,不能灵活对不同文件采用不同的密钥(鸡蛋在一个篮子里)。

1423kxsc06

小提示:

比较理想的方法是每个用户都有自己的公私钥对,把文件密钥用公钥加密之后放在可信任的第三方。第三方定时与客户通信(时间可以设定,可以随时更换加密方法),如果指定时间没有通信,第三方删除该密钥。由于没有密钥,该文件将永远不能解密。这样就非常安全了,是实现可信删除的专业方法。但是遗憾的是,这种方法目前没有实现,也与除用户本人以外都不可信的理念相悖。

分离加密实现“可信删除”

1.密钥和文件分离

求人不如求己,同时这也是密码学可信删除实现的基本理念。把文件和密钥分别放在不同的服务商中,密钥可以加密放在可信的邮件服务商中。该密钥用公钥加密。

文件加密密钥可以由AxCrypt生成。公私钥对生成可以使用GnuPG和Kleopatra组件来帮助解决这个问题。这三个软件的具体使用方法,可以参考本刊19期文章《活用专业加密,让谷歌偷窥邮件无法得逞》,这里只叙述相关内容。