数据加密可以帮助企业保护其免受政府质量监督的敏感信息,以及防范的不良意图的第三方未经授权的访问,但正确实施和使用数据加密技术是不是一件容易的事,据安全专家称。
加密可能会限制执法和情报机构的访问数据的能力没有它的主人的知识,它的旅行在公共互联网上或通过强制第三方服务提供商像托管或云供应商把它交给下禁言令。然而,为了使这项工作的数据需要在任何时候进行加密,在运输过程中,在使用时和在休息时在服务器上。
最近有关美国国家安全局(NSA)运行电子监视项目的媒体报道都提出了网民的隐私问题,民权活动家和政治家不仅在美国,而且在欧洲,澳洲等世界各地。
虽然仍有约使用由国家安全局收集的数据作为一部分的方法悬而未决的问题的近日曝光Prism程序,信息泄露给媒体暗示,电子通信行业已聚集大批来自微软,雅虎,谷歌,AOL,Facebook的,的Paltalk,Skype公司,苹果公司和YouTube多年。
其中一些公司已经否认美国国家安全局直接访问了他们的服务器,或者在媒体报道之前他们甚至不知道这个监视项目。然而,美国国家安全局直接或间接访问存储在美国服务提供商服务器上的数据的可能性,必然会在已经或正在考虑将其系统和应用程序转移到云计算中的组织内部引起数据安全方面的担忧。
在一般情况下,加密技术可以用来限制由政府机构数据收集的范围,根据安全专家。即使政府确实有法律途径来迫使企业通过国家安全令,传票或其他方法,至少是使用加密技术可以让企业知道他们的数据被有针对性地解密和他们的数据提供访问,他们说。
“虽然所有信誉良好的公司将要遵守他们开展业务的国家的法律,加密可以让他们全面了解的是什么,以便监控他们可以在政府调查一个愿意和积极的合作伙伴,”马克·鲍尔说:在数据保护厂商电压安全产品管理的副总裁,通过电子邮件。“加密可以表示成合法拦截全面了解之间的差别,并了解他们的数据在媒体的下一个大的泄漏被拦截。”
加密可能是最有效的对抗上游的数据收集工作,说马修•格林,在约翰霍普金斯大学信息安全研究所在巴尔的摩一个密码专家和研究教授,通过电子邮件。
我们面临的挑战是什么样的加密使用,格林说。SSL是通过线路传输的保护数据的最常见方式,该协议实际上是相当强劲,但SSL密钥都比较小,它外面是不是可能性,像美国国家安全局的组织可能会在某个时候获得这些密钥的境界,他说过。
已经有证据表明,美国国家安全局执行上游流量拦截的高层isp网络运营互联网上支柱基础设施,如图所示,641房间的情况下,一个国家安全局互联网流量拦截设施位于旧金山的美国电话电报公司(AT&T)的建筑,在2006年被曝光。
“我们不知道国家安全局能做到的,”格林说。“不过这是合理的假设,即使他们能够打破现代加密方案 - 一个相当大的假设 - 这将是非常昂贵他们这样做的加密连接的规则出大量非目标窃听。”
的断裂SSL加密的可行性还通过在其可使用的协议的不同的配置来确定。例如,所述的Diffie-Hellman - DHE和ECDHE - SSL的配置是更难以抽头比RSA配置,绿色表示。
IT安全公司Tripwire的首席技术官德韦恩·梅兰肯(Dwayne Melancon)通过电子邮件表示,为了彻底防止不必要的监视,这些数据必须终生加密。“如果它在任何时候(静止、使用或运行中)都是畅通的,那么它就有可能被没有证书的其他人访问。”
这意味着,数据不仅需要在全球互联网上传输、通过不同辖区的路由器和服务器时保持加密,还需要在应用程序实时使用数据时以及为备份目的存储数据时保持加密。
确保用于对数据进行加密私钥在任何时候都保持秘密是至关重要的。这是不容易的运行时,现场应用和云服务器上托管的数据库或其他云服务依靠什么时候做。
“如果一个组织依赖云服务提供商(CSP)进行加密,CSP持有加密密钥,”PrivateCore的首席技术官史蒂夫·维斯(Steve Weis)说。PrivateCore是一家通过电子邮件开发程序执行期间加密数据技术的公司。“当有人试图合法访问加密数据时,该组织不知情或无法控制。这个组织是盲目的。”
公司应采用加密密钥的管理是“不信任任何人”的模式,Melancon说。私钥不应该与任何人,尤其是第三方服务提供者共享的,他说。
尽管有一些技术可以在涉及云服务器时安全使用加密,但要确保一切正常并确保整体实现中没有错误,可能需要大量资源。
“这是可以做到的,但它需要大量的深谋远虑,很多的努力,并采用真正的终端到终端的加密会增加你的成本,” Melancon说。“这也可能需要重新编写应用程序,或交换机供应商,以处理的终端到端到端加密的各个方面。”
当考虑到国家安全局的主要任务是对外情报搜集,未设在美国的公司也许应该更加关注最近关于该机构的监测工作的启示。
格林说:“如果你是一家处理敏感企业数据的欧洲公司,我认为你使用美国云服务肯定是疯了。”但他表示,这不会阻止企业这么做。
Tahoe-LAFS项目是一个分布式、容错和加密的云存储系统,其联合创始人Zooko Wilcox-O'Hearn说:“目前美国政治丑闻的很大一部分是美国国家安全局在监视美国人。”“然而,如果没有相反的证据,我就会认为,NSA在监听欧洲和其他地区的数据方面,至少和在美国一样有效。”
这就是说,威尔科克斯 - 奥赫恩认为,企业还应该关注刺探他们的其他演员。这些可能包括执法,军事和情报机构从其他国家,以及有组织犯罪团伙或电信公司和ISP的雇员贪污,他说。
银行和其他金融机构,以及从电信行业公司,处理非常敏感的数据通常倾向于保持在他们的服务器上,在他们的控制,主要是因为他们需要满足法规遵从性,不能在云中执行安全审计,Sergiu Zaharia说iSEC。Romania-based安全咨询公司首席运营官
他说,这些机构使用加密技术来保护不同分支机构之间的通信,或者客户与其公开服务之间的通信,但很少有机构在数据通过内部网络传输时加密数据,也很少有机构在服务器之间加密数据,至少在罗马尼亚是这样。
其他公司,如小的在线零售商,选择使用云服务器运行应用程序和存储客户数据不太关心加密或如果他们做加密数据,他们不在乎服务提供者能够访问他们的加密密钥,因为他们通常不会执行一个足够先进的风险分析,他说。
“我们所有的客户都强调他们的安全问题,尤其是当它涉及到一个第三方位置托管服务的关注,” Appnor MSP,管理专用服务器和云计算,在欧洲和两个基础计算提供商的CEO德拉戈什马纳克称the U.S., via email. "The current Prism scandal is a major blow for governments, but it also hurts service providers."
他说,就政府监控而言,服务提供商进退两难。“不帮助当局意味着你违反了法律。帮助他们意味着你可能侵犯了别人的权利。”
我们没有理由相信,国家安全局,或其他任何人,可以破解已研究并通过审核的科学家强大的加密算法,威尔科克斯 - 奥赫恩说。“在另一方面,很容易让程序员或服务提供者不正确或用户不正确地使用它们实现它们,在这种情况下,有可能的人谁曾获得网络流量来读取数据,”他说。