雲存儲 沒那麼安全?

一些希望在雲安全獲得領先優勢的雲存儲供應商採用了「零知識」政策，這些供應商稱，在這種政策中，客戶資料不可能會被窺探。 但約翰·霍普金斯大學的電腦科學家質疑這種零知識策略的安全性。

零知識雲服務的工作原理是，以加密方式存儲客戶資料，只給客戶解密金鑰，供應商則不能獲取這些金鑰。 但研究人員發現，如果資料在雲服務中共用，這些金鑰可能會受到攻擊，讓攻擊者可以窺探客戶資料。 該研究對零知識雲計算[注]產生了質疑，並建議最終使用者應充分瞭解供應商是如何處理其資料的。

約翰·霍普金斯大學的研究人員對HTTP://www.aliyun.com/zixun/aggregation/8313.html">Spider Oak、Wuala和Tresorit等零知識供應商進行了檢查， 這些供應商採用的方法是，當資料存儲到雲中時就會被加密，而只有當使用者從雲端下載這些資料時才會被解密。 這種模式是安全的，但是，研究人員警告說，如果資料在雲中共用，這意味著資料是通過雲服務被發送，而不是使用者下載到其系統，那麼，供應商將有機會查看這些資料。 約翰·霍普金斯大學電腦科學系資訊安全研究所博士生Duane Wilson表示：「當資料通過雲存儲服務與另一個接收者共用時，供應商能夠訪問其客戶的檔和其他資料。 」

這些供應商通常會依賴于中間人服務，在將金鑰解密資料之前會驗證使用者。 這些研究人員發現，供應商有時候會提供自己的驗證。 這給供應商提供了一個機會來發出假證書，解密資料，從而查看客戶資料。 這類似于傳統的中間人攻擊。

研究人員表示他們沒有發現任何證據表明客戶資料被洩露，他們也沒有發現任何供應商的可疑行為，但研究人員稱這可能是一個漏洞。 「雖然我們沒有發現任何證據證明任何安全雲存儲供應商在訪問其客戶的隱私資訊，但我們認為這種情況可能會發生，」該大學副教授Giuseppe Ateniese表示，「這就像是發現你的鄰居家門沒鎖，可能還沒有人從裡面偷東西， 但你不覺得這讓盜賊很容易進去?」

其中一家供應商Spider Oak的代表人員表示，他們同意該研究的某些方面的結果。 Spider Oak鼓勵使用者使用桌面應用程式來傳輸檔，而不是通過該公司的入口網站，利用Spider Oak的桌面應用程式將確保最終使用者經過驗證來解密這些資料，消除了供應商窺探這些資料的可能性。 部署Spider Oak服務的使用者被要求在合同中勾選這一項，即他們瞭解實現真正的零知識需要使用一個桌面應用程式。

Spider Oak表示希望圍繞其雲平臺實現協作服務，意味著資料將在其雲中傳輸。 為了實現這個功能，Spider Oak表示他們計畫結合RSA安全標識和金鑰及加密平臺。 他們還希望為使用者提供一種方式來驗證誰正在流覽檔。 一些供應商(例如加密通信供應商Silent Circle)使用語音辨識工具來提供此項功能，而Spider Oak表示他們正在評估類似的方法來確保資料只在擁有者批准的人之間共用。