安全专家表示,数据加密可以帮助企业保护其敏感信息不受政府的大规模监控,也可以防止恶意第三方的未经授权访问,但正确实施和使用数据加密技术并非易事。
[也:如何退出美国国家安全局的间谍计划]
加密技术可能会限制执法和情报机构在数据在公共互联网上传播时,在所有者不知情的情况下获取数据的能力,或者迫使主机或云供应商等第三方服务提供商根据禁言令交出数据。然而,为了使其工作,数据需要在传输中、使用中和服务器上的静止状态下一直加密。
最近有关美国国家安全局(NSA)电子监控项目的媒体报道,不仅在美国,而且在欧洲、澳大利亚和其他地方,引起了互联网用户、民权活动人士和政界人士对隐私的担忧。
虽然对于美国国家安全局收集数据的方法仍有疑问最近曝光的Prism项目在美国,泄露给媒体的信息表明,微软、雅虎、谷歌、美国在线、Facebook、PalTalk、Skype、苹果和YouTube多年来一直在大规模收集电子通信。
其中一些公司已经否认,NSA直接访问其服务者,或者他们甚至意识到在媒体中提到的这项监视计划之前。但是,NSA直接或间接地访问属于U.服务提供商的服务器的数据的可能性必将在移动或正在考虑将其系统和应用程序移动到云中的组织中提高数据安全问题。
安全专家表示,一般来说,加密技术可以用来限制政府机构收集数据的范围。他们表示,即使政府确实有法律途径,可以通过国家安全命令、传票或其他方式,迫使企业解密并提供获取其数据的途径,但加密的使用至少可以让企业知道他们的数据何时成为目标。
“虽然所有有信誉的公司都希望遵守其业务所在州的法律,但加密技术可以让它们充分了解被监控的内容,从而成为政府调查的积极合作伙伴,”马克·鲍尔(Mark Bower)说。数据保护供应商电压安全的产品管理副总裁,通过电子邮件。“加密可能意味着完全可以看到合法的拦截,以及知道自己的数据被下一次媒体大泄露所拦截。”
密码学家、巴尔的摩约翰·霍普金斯大学信息安全研究所(Johns Hopkins University Information Security Institute)研究教授马修·格林(Matthew Green)通过电子邮件表示,加密可能是对抗上游数据收集工作最有效的方法。
格林说,挑战在于使用什么样的加密。他说,SSL是保护网络传输数据最常见的方式,而且该协议实际上相当强大,但SSL密钥相对较小,像美国国家安全局这样的组织在某个时候获得这些密钥的可能性并不大。
已经有证据表明,NSA在运行互联网骨干基础设施的高级ISP网络上执行上游流量拦截,如房间641A的情况所示,位于旧金山的AT&T建筑物中的NSA Internet流量拦截设施在2006年暴露。
“我们不知道美国国家安全局能做什么,”格林说。“然而,我们有理由假设,即使他们能够破解现代加密方案——这是一个相当大的假设——对他们来说,这么做的代价也会非常高。这就排除了大规模非目标监听加密连接的可能性。”
打破SSL加密的可行性还取决于协议可以使用的不同配置。Green说,例如,SSL的Diffie-Hellman (DHE和ECDHE)配置比RSA配置要难得多。
为了完全防止预防不必要的监视,IT安全公司Tripwire的首席技术官Dwaysne Melancon表示,数据必须加密,通过电子邮件。“如果在任何点处清楚(在休息,在使用,或在使用中,或运动中)可能会被其他人访问没有凭据的人。”
这意味着数据不仅需要在整个全球Internet上行驶并通过不同的司法管辖区的路由器和服务器来依赖于加密,而且在它是由应用程序实时使用的,以及在存储备份目的时使用。
确保用于加密数据的私钥在任何时候都保持机密是至关重要的。当在云服务器上运行实时应用程序和托管数据库或依赖其他云服务时,这并不容易做到。
“如果组织依赖于云服务提供者[CSP]进行加密,CSP持有加密密钥,”Privatecore的首席技术官Steve Weis表示,该公司通过电子邮件在程序执行期间加密数据的技术进行加密技术。“当有人合法地尝试访问加密数据时,该组织没有知识或控制。组织是盲目的。”
Melancon说,公司应该采用“不相信任何人”的模式来管理加密密钥。他说,私钥不应该与任何人共享,尤其是第三方服务提供商。
尽管存在有可用的技术可以在涉及云服务器时可以安全使用加密,但是,让所有事情都正确并确保整体实施中没有错误可能需要大量资源。
“这是可以做到的,但需要大量的预先考虑和努力,使用真正的端到端加密将增加你的成本,”Melancon说。“它还可能要求你重写应用程序,或切换提供商,以处理端到端加密的所有方面。”
考虑到美国国家安全局的主要任务是收集外国情报,总部不在美国的公司可能更应该担心最近有关该机构监控活动的曝光。
“如果您是欧洲公司处理敏感的企业数据,我觉得你会疯狂使用美国云服务,”格林说。然而,他说,这不会阻止公司这样做。
“目前美国政治丑闻的一大部分是NSA正在监视美国人的事实”,Tahoe-Lafs项目的联合创始人Zooko Wilcox-O'hearn说,分布式,容错和容错和加密云存储系统。“然而,不存在相反的证据,我认为NSA至少有效地在欧洲和其他地狱间谍数据中的数据,如美国地区。”
也就是说,Wilcox-O'Hearn认为,公司也应该担心其他行为者监视他们。他说,这些可能包括来自其他国家的执法、军事和情报组织,以及有组织的犯罪团伙或电信公司和互联网服务提供商的腐败雇员。
银行和其他金融组织以及电信行业的公司,处理非常敏感的数据通常宁愿在他们的控制下将其保存在他们的服务器上,主要是因为他们需要满足法规的合规性,并且无法在此处执行安全审核罗马尼亚的安全咨询公司ISEC的首席行动官Sergiu Zaharia表示,云塞尔盖利。
这些组织使用加密来保护他们不同分支机构之间的流量或客户之间的流量以及他们在其公开访问的服务之间,但它们非常少数在他们自己的服务器之间通过内部网络加密数据,至少在罗马尼亚之间,他说。
其他公司,如小型在线零售商,选择使用云服务器运行应用程序并存储客户数据不在乎加密或者他们确实加密数据,他们不在乎服务提供商是否可以访问他们的访问他说,加密键,因为它们通常不会进行足够先进的风险分析。
Appnor MSP首席执行官Dragos Manac通过电子邮件表示:“我们所有的客户都强调了他们对安全问题的担忧,特别是当涉及到托管在第三方位置的服务时。”Appnor MSP是一家管理专用服务器和云计算的供应商,在欧洲和美国都有基础设施。“目前的棱镜门丑闻是对政府的沉重打击,但也伤害了服务提供商。”
他说,就政府监督而言,服务提供商在岩石和一个艰难的地方捕获。“没有帮助当局意味着你违反了法律。帮助他们意味着你可能违反某人的权利。”
Wilcox-O'Hearn说,没有理由相信美国国家安全局或其他任何人能够破解科学家研究和审查过的强大加密算法。他说:“另一方面,程序员或服务提供商很容易错误地执行这些程序,或用户错误地使用这些程序,在这种情况下,任何人都有可能进入网络流量读取数据。”