neprihlásený Utorok, 15. októbra 2024, dnes má meniny Terézia, Tereza
Nový trend v cloudovom úložisku, v Boxe kľúče k súborom manažuje užívateľ

Značky: cloudbezpečnosťInternet

DSL.sk, 11.2.2015


Služba cloudového úložiska súborov Box, už v súčasnosti populárna medzi firmami, aktuálne predstavila novú výrazne bezpečnejšiu možnosť jej používania dávajúcu kontrolu nad kľúčmi k súborom užívateľom.

Nový produkt nesie označenie Box EKM, Enterprise Key Management, a určený bude najmä pre väčších firemných zákazníkov.

Box aj v súčasnosti všetky súbory uložené do cloudu šifruje, kontrolu nad kľúčmi má v doterajšej podobe ako u iných služieb samotná služba a nie zákazník. Ten tým samozrejme nemá kontrolu ani nad prístupom k súborom. Napríklad v prípade súdneho príkazu je služba povinná súbory užívateľa sprístupniť a to potenciálne aj bez informovania užívateľa, podobne bránenie získania prístupu ku kľúčom a súborom napríklad útočníkom je plne v réžii služby.

Službu rovnako ako ostatné bežné cloudové služby tak firmy často nevyužívajú z obáv z nedostatočnej kontroly nad dátami, pričom niektorým typom firiem to dokonca nedovoľuje prísna regulácia stanovujúca minimálnu úroveň ochrany dát.

K dispozícii sú v súčasnosti okrem iného aj cloudové služby a riešenia, ktoré do cloudu ukladujú už na strane zákazníka šifrované súbory. Takéto služby ale majú výrazné technické limity, ako so súbormi následne služba umožňuje nakladať a pracovať, napríklad v oblasti zdieľania, hľadania a ďalších funkcií.

Pri Box EKM je každá verzia súboru šifrovaná po nahratí do systémov Boxu samostatným kľúčom, ten je následne zašifrovaný kľúčom užívateľa a Box si uchová len zašifrovanú podobu kľúča pre každý súbor. Bez rozšifrovania tohto kľúča kľúčom užívateľa tak systémy Boxu nevedia pristupovať k nešifrovanej podobe súboru.

Kľúč užívateľa je uložený a šifrovanie a dešifrovanie prebieha v hardvérovom bezpečnostnom module, HSM, uloženom v dátovom centre Amazonu a prenajatom zákazníkovi, pričom záložná synchronizovaná kópia modulu je u zákazníka.


Schéma fungovania Box EKM (obrázok: Box)



Pri potrebe prístupu k súboru systémy Boxu musia požiadať o dešifrovanie kľúča HSM modul, ktorý každé dešifrovanie bezpečne loguje a pre ktorý sú nastavené pravidlá aké požiadavky automaticky akceptuje a aké automaticky zamieta. Štandardne napríklad akceptuje požiadavky vyzerajúce ako individuálne požiadavky na prístup k súborom ale zamieta požiadavky vykazujúce charakter hromadného prístupu.

Aj nad funkčnosťou HSM modulu uloženého v Amazone má mať plnú kontrolu zákazník, akým spôsobom sa voči HSM autentifikuje a ako môže konfigurovať pravidlá pre akceptovanie požiadaviek na dešifrovanie súborov Box neinformuje.

Použité HSM moduly pochádzajú od SafeNet a mali by byť bezpečné proti manipulácii, nemalo by byť možné podobne ako u iných HSM z nich získať kľúče ani donútiť ich k neautorizovanému dešifrovaniu. Umiestnené primárne v dátových centrách Amazonu boli kvôli zabezpečeniu dostatočnej odozvy pri komunikácii so systémami Boxu, do budúcnosti služba počíta aj s verziou služby s HSM modulmi len u zákazníka.

Služba Box EKM je v súčasnosti dostupná v beta teste niekoľkým zákazníkom, všeobecne dostupná bude na jar za bližšie nešpecifikovaný dodatočný poplatok.


      Zdieľaj na Twitteri



Najnovšie články:

Apple navrhuje skrátiť platnosť SSL certifikátov pre servery na maximálne 45 dní
Trailer druhej série postapokalyptického seriálu od Apple
Windows 10 má pred sebou posledný rok podpory
Sonda k Európe úspešne odštartovala
Český Turris výkonný prenosný router zrušil, kvôli zdraženiu komponentov
Vydaná nová verzia distribuovaného súborového systému Ceph 19
SpaceX úspešne zachytila prvý stupeň Starship na prvý pokus, video
Česi neuvedú nový Turris router ani tento rok
Ďalší let Starship má byť zajtra, SpaceX sa pokúsi rampou zachytiť prvý stupeň
Nové .sk domény budú opäť dočasne lacnejšie


Diskusia:
                               
 

Za chvilu Kim Dotcom povie ze to bol jeho napad :-D
Odpovedať Známka: 2.0 Hodnotiť:
 

a nebol?
Odpovedať Známka: 9.1 Hodnotiť:
 

> nad HSM modulom uloženom v Amazone má plnú kontrolu zákazník

Oxymoron.
Odpovedať Známka: 10.0 Hodnotiť:
 

Oxykvakal.
Odpovedať Známka: -6.9 Hodnotiť:
 

pri boxe s klucami v ruke mozes zranit supera alebo mu aj vypichnut oko :-(
Odpovedať Známka: 9.3 Hodnotiť:
 

Podla mna by si ho dokazal aj zabit. Napr. Trafit tepnu a potom uz neprestavat bit, aby nemal sancu sa zachranit.
Odpovedať Známka: 4.0 Hodnotiť:
 

To si snad robia srandu nie? Naco taky komplikovany system ked privatny kluc maju aj tak oni. To sifrovanie je tam uplne zbytocne.
Odpovedať Známka: 8.8 Hodnotiť:
 

Korektne riesenie je taketo: Vytvorite tolko kopii suboru kolko osob ma vediet citat dany subor. Zasifrujete ich pomocou verejnych klucov prijemcov a narate vsetky subory na cloud, kludne aj v rusku. Vyoda pre usera je ze je to 100% bezpecne, vyhoda pre cloud je ze kazdy subor je tam napr 10x takze si mozu nauctovat 10x viac. Je to win-win. Vsetci su spokojny.
Odpovedať Známka: 5.6 Hodnotiť:
 

jasne, vsa uplne kazdy uzivatel ma tak vykonny PC, ze zvladne desifrovat 1 GB subory sifrovane asymetrickou kryptografiou (RSA)
Odpovedať Známka: 4.3 Hodnotiť:
 

Asi aby oblbli pocetnu skupinu ludi co niekde pocula ze nesifrovane je zle, ale uz sa nezaujima/nerozumie tomu ako veci funguju.
Mozno sa casom ukaze aj to, ze projekt sponzorovala NSA.
Odpovedať Známka: 10.0 Hodnotiť:
 

Čo myslíte tým, že privátny kľúč majú oni? Ktorý, ten v HSM module?
Odpovedať Známka: 7.8 Hodnotiť:
 

Fakt divadielko pre blbych. Uz pri uploade dat si robia v druhom cloude vlastnu nesifrovanu kopiu, nielen oni ale aj kopec dalsich parazitov.
Cloud je hovadina, pouzivaju to len ma..ri, ktori si nevazia seba, svoje sukromie a hodnoty, ktore tvoria.

Odpovedať Známka: 7.3 Hodnotiť:
 

Nikomu nebrani do cloudu nahravat uz sifrovane udaje, nie?
Odpovedať Známka: 7.1 Hodnotiť:
 

otazka je ako dlho bude pouzite sifrovanie neprekonane :)
ak sa stanes celebritou, za 200 rokov na wiki bude o tebe ze ti v cloude v minulom storoci nasli tranny porno.
Odpovedať Známka: 7.5 Hodnotiť:
 

riesenie je jednoduche, ak sa ukazu bezpecnostne slabiny, staci data (popripade aj uz zasifrovane data :D) znova zasifrovat vylepsenym algoritmom
Odpovedať Známka: -4.0 Hodnotiť:
 

Brilantne... Teraz zostava uz len prist na to, ako takto zasifrovat data ku ktorym nemas pristup.
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár