云存储供应商Nasuni日前提出了一项挑战。该公司声称没人能够攻破通过Amazon简单存储服务(S3)平台使用的Nasuni Filer虚拟应用,并提供5000美元悬赏黑客。
Nasuni CEO Andres Rodriguez表示,他想证明云计算安全性的基本假设是值得依赖的。先不考虑数据安全的问题,众多公司首先要应该了解这样一个事实:无论文件存储在何处,用户都可以依靠现代加密技术来安全的使用。
“几乎每个人都为云中的数据泄露问题感到担忧。”Rodriguez说,他之前创办的Archivas在2007年以1.2亿美元的价格被日立数据系统收购。他表示,正试图证明当前的加密技术不仅完全可靠,而且用户也完全承担的起其费用。
“在纯粹的云存储中,你完全支付得起现代加密技术服务的费用。”他表示。
Nasuni加密技术的原理是,每个图像中包含一个随机数字序列,它在OpenPGP协议下以一个2048位密钥使用AES-256加密技术进行加密。使用Nasuni Filer是基于用户Amazon S3 帐户的虚拟机而完成的。
挑战者必须下载相应文件,并向Nasuni提供解密图像来证明自己的入侵,从而赢得悬赏奖金。一般来看,这几乎是不可能完成的。破解以AES-256加密技术进行加密的文件需要一个随机产生的密钥,而通过计算机进行暴力破解解密则几乎是不可能实现的。专家表示,对于正确实施该加密措施的文件,即使是集合整个世界的所有CPU的计算能力也无法在短期内获取密钥,甚至是用百万年的时间也无法完成这项任务。
鉴于OpenPGP标准的作者之一David Shaw目前就职于Nasuni,因此该公司必将能够正确地实施OpenPGP标准。CEO Rodriguez表示他对加密技术很有信心,对于这次赏金竞赛的担忧主要在于自己的通信方面。加密技术的基础是非常保险的,但Rodriguez担心参赛人员攻破的自己的邮件服务器或者内部网络,从而发现与加密有关的线索。
“完全不用担心加密技术。”他说。
Nasuni这一举措是否能给云安全带来一线希望,现在还不得而知。
Nasuni的该项加密技术到底蕴藏多少价值?
“这样的特殊技术并不能够证明,使用工业标准算法和协议进行加密的数据就能够安全地存储在云中。”一个欧洲的安全专家Craig Balding表示。他说毫无疑问,除非Nasuni自身安全出了问题,否则这个悬赏奖金是没人能够赢得的。这也未能解决人们对于承诺加密文件安全性的疑虑。
“这并不意味着供应商提供的这些服务是值得信任的,还存在许多技术因素,比如密钥管理、定制软件以及平台安全等问题。”Balding通过电子邮件做出这样的表示。 他还补充道,为供应商定制代码或应用平台的安全性感到担忧。
Balding说,这个“悬赏黑客”的挑战表明,Nasunk公司对市场是非常了解的,但并不能为企业安全带来改善。
