neprihlásený
|
Utorok, 15. októbra 2024, dnes má meniny Terézia, Tereza |
|
Nový trend v cloudovom úložisku, v Boxe kľúče k súborom manažuje užívateľ
Značky:
cloudbezpečnosťInternet
DSL.sk, 11.2.2015
|
|
Služba cloudového úložiska súborov Box, už v súčasnosti populárna medzi firmami, aktuálne predstavila novú výrazne bezpečnejšiu možnosť jej používania dávajúcu kontrolu nad kľúčmi k súborom užívateľom.
Nový produkt nesie označenie Box EKM, Enterprise Key Management, a určený bude najmä pre väčších firemných zákazníkov.
Box aj v súčasnosti všetky súbory uložené do cloudu šifruje, kontrolu nad kľúčmi má v doterajšej podobe ako u iných služieb samotná služba a nie zákazník. Ten tým samozrejme nemá kontrolu ani nad prístupom k súborom. Napríklad v prípade súdneho príkazu je služba povinná súbory užívateľa sprístupniť a to potenciálne aj bez informovania užívateľa, podobne bránenie získania prístupu ku kľúčom a súborom napríklad útočníkom je plne v réžii služby.
Službu rovnako ako ostatné bežné cloudové služby tak firmy často nevyužívajú z obáv z nedostatočnej kontroly nad dátami, pričom niektorým typom firiem to dokonca nedovoľuje prísna regulácia stanovujúca minimálnu úroveň ochrany dát.
K dispozícii sú v súčasnosti okrem iného aj cloudové služby a riešenia, ktoré do cloudu ukladujú už na strane zákazníka šifrované súbory. Takéto služby ale majú výrazné technické limity, ako so súbormi následne služba umožňuje nakladať a pracovať, napríklad v oblasti zdieľania, hľadania a ďalších funkcií.
Pri Box EKM je každá verzia súboru šifrovaná po nahratí do systémov Boxu samostatným kľúčom, ten je následne zašifrovaný kľúčom užívateľa a Box si uchová len zašifrovanú podobu kľúča pre každý súbor. Bez rozšifrovania tohto kľúča kľúčom užívateľa tak systémy Boxu nevedia pristupovať k nešifrovanej podobe súboru.
Kľúč užívateľa je uložený a šifrovanie a dešifrovanie prebieha v hardvérovom bezpečnostnom module, HSM, uloženom v dátovom centre Amazonu a prenajatom zákazníkovi, pričom záložná synchronizovaná kópia modulu je u zákazníka.
Schéma fungovania Box EKM (obrázok: Box)
Pri potrebe prístupu k súboru systémy Boxu musia požiadať o dešifrovanie kľúča HSM modul, ktorý každé dešifrovanie bezpečne loguje a pre ktorý sú nastavené pravidlá aké požiadavky automaticky akceptuje a aké automaticky zamieta. Štandardne napríklad akceptuje požiadavky vyzerajúce ako individuálne požiadavky na prístup k súborom ale zamieta požiadavky vykazujúce charakter hromadného prístupu.
Aj nad funkčnosťou HSM modulu uloženého v Amazone má mať plnú kontrolu zákazník, akým spôsobom sa voči HSM autentifikuje a ako môže konfigurovať pravidlá pre akceptovanie požiadaviek na dešifrovanie súborov Box neinformuje.
Použité HSM moduly pochádzajú od SafeNet a mali by byť bezpečné proti manipulácii, nemalo by byť možné podobne ako u iných HSM z nich získať kľúče ani donútiť ich k neautorizovanému dešifrovaniu. Umiestnené primárne v dátových centrách Amazonu boli kvôli zabezpečeniu dostatočnej odozvy pri komunikácii so systémami Boxu, do budúcnosti služba počíta aj s verziou služby s HSM modulmi len u zákazníka.
Služba Box EKM je v súčasnosti dostupná v beta teste niekoľkým zákazníkom, všeobecne dostupná bude na jar za bližšie nešpecifikovaný dodatočný poplatok.
Najnovšie články:
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
kimcong
Od: martincc
|
Pridané:
11.2.2015 11:02
Za chvilu Kim Dotcom povie ze to bol jeho napad :-D
|
|
Re: kimcong
Od: chocholusik2
|
Pridané:
11.2.2015 12:10
a nebol?
|
|
To je ...
Od: sensei-san
|
Pridané:
11.2.2015 11:03
> nad HSM modulom uloženom v Amazone má plnú kontrolu zákazník
Oxymoron.
|
|
Re: To je ...
Od: karolkooooo
|
Pridané:
11.2.2015 11:35
Oxykvakal.
|
|
torcha nebezpecne
Od: asera
|
Pridané:
11.2.2015 11:06
pri boxe s klucami v ruke mozes zranit supera alebo mu aj vypichnut oko :-(
|
|
Re: torcha nebezpecne
Od: Deer
|
Pridané:
11.2.2015 17:08
Podla mna by si ho dokazal aj zabit. Napr. Trafit tepnu a potom uz neprestavat bit, aby nemal sancu sa zachranit.
|
|
WTF?!
Od: dusan2
|
Pridané:
11.2.2015 11:19
To si snad robia srandu nie? Naco taky komplikovany system ked privatny kluc maju aj tak oni. To sifrovanie je tam uplne zbytocne.
|
|
Re: WTF?!
Od: dusan2
|
Pridané:
11.2.2015 11:28
Korektne riesenie je taketo: Vytvorite tolko kopii suboru kolko osob ma vediet citat dany subor. Zasifrujete ich pomocou verejnych klucov prijemcov a narate vsetky subory na cloud, kludne aj v rusku. Vyoda pre usera je ze je to 100% bezpecne, vyhoda pre cloud je ze kazdy subor je tam napr 10x takze si mozu nauctovat 10x viac. Je to win-win. Vsetci su spokojny.
|
|
Re: WTF?!
Od: Analytik-.-
|
Pridané:
11.2.2015 15:51
jasne, vsa uplne kazdy uzivatel ma tak vykonny PC, ze zvladne desifrovat 1 GB subory sifrovane asymetrickou kryptografiou (RSA)
|
|
Re: WTF?!
Od: 42AF8DE
|
Pridané:
11.2.2015 11:28
Asi aby oblbli pocetnu skupinu ludi co niekde pocula ze nesifrovane je zle, ale uz sa nezaujima/nerozumie tomu ako veci funguju.
Mozno sa casom ukaze aj to, ze projekt sponzorovala NSA.
|
|
Re: WTF?!
Od reg.: Redakcia DSL.sk
|
Pridané:
11.2.2015 11:49
Čo myslíte tým, že privátny kľúč majú oni? Ktorý, ten v HSM module?
|
|
Cloud 1
Od: Jarko 214477
|
Pridané:
11.2.2015 12:22
Fakt divadielko pre blbych. Uz pri uploade dat si robia v druhom cloude vlastnu nesifrovanu kopiu, nielen oni ale aj kopec dalsich parazitov.
Cloud je hovadina, pouzivaju to len ma..ri, ktori si nevazia seba, svoje sukromie a hodnoty, ktore tvoria.
|
|
sifruj
Od: tom761924
|
Pridané:
11.2.2015 13:41
Nikomu nebrani do cloudu nahravat uz sifrovane udaje, nie?
|
|
Re: sifruj
Od: kekeket
|
Pridané:
11.2.2015 14:46
otazka je ako dlho bude pouzite sifrovanie neprekonane :)
ak sa stanes celebritou, za 200 rokov na wiki bude o tebe ze ti v cloude v minulom storoci nasli tranny porno.
|
|
Re: sifruj
Od: Analytik-.-
|
Pridané:
11.2.2015 15:52
riesenie je jednoduche, ak sa ukazu bezpecnostne slabiny, staci data (popripade aj uz zasifrovane data :D) znova zasifrovat vylepsenym algoritmom
|
|
Re: sifruj
Od: 42AF8DE
|
Pridané:
11.2.2015 15:59
Brilantne... Teraz zostava uz len prist na to, ako takto zasifrovat data ku ktorym nemas pristup.
|
Pridať komentár
|
|
|
|