neprihlásený Streda, 8. februára 2023, dnes má meniny Zoja
Nový trend v cloudovom úložisku, v Boxe kľúče k súborom manažuje užívateľ

Značky: cloudbezpečnosťInternet

DSL.sk, 11.2.2015


Služba cloudového úložiska súborov Box, už v súčasnosti populárna medzi firmami, aktuálne predstavila novú výrazne bezpečnejšiu možnosť jej používania dávajúcu kontrolu nad kľúčmi k súborom užívateľom.

Nový produkt nesie označenie Box EKM, Enterprise Key Management, a určený bude najmä pre väčších firemných zákazníkov.

Box aj v súčasnosti všetky súbory uložené do cloudu šifruje, kontrolu nad kľúčmi má v doterajšej podobe ako u iných služieb samotná služba a nie zákazník. Ten tým samozrejme nemá kontrolu ani nad prístupom k súborom. Napríklad v prípade súdneho príkazu je služba povinná súbory užívateľa sprístupniť a to potenciálne aj bez informovania užívateľa, podobne bránenie získania prístupu ku kľúčom a súborom napríklad útočníkom je plne v réžii služby.

Službu rovnako ako ostatné bežné cloudové služby tak firmy často nevyužívajú z obáv z nedostatočnej kontroly nad dátami, pričom niektorým typom firiem to dokonca nedovoľuje prísna regulácia stanovujúca minimálnu úroveň ochrany dát.

K dispozícii sú v súčasnosti okrem iného aj cloudové služby a riešenia, ktoré do cloudu ukladujú už na strane zákazníka šifrované súbory. Takéto služby ale majú výrazné technické limity, ako so súbormi následne služba umožňuje nakladať a pracovať, napríklad v oblasti zdieľania, hľadania a ďalších funkcií.

Pri Box EKM je každá verzia súboru šifrovaná po nahratí do systémov Boxu samostatným kľúčom, ten je následne zašifrovaný kľúčom užívateľa a Box si uchová len zašifrovanú podobu kľúča pre každý súbor. Bez rozšifrovania tohto kľúča kľúčom užívateľa tak systémy Boxu nevedia pristupovať k nešifrovanej podobe súboru.

Kľúč užívateľa je uložený a šifrovanie a dešifrovanie prebieha v hardvérovom bezpečnostnom module, HSM, uloženom v dátovom centre Amazonu a prenajatom zákazníkovi, pričom záložná synchronizovaná kópia modulu je u zákazníka.


Schéma fungovania Box EKM (obrázok: Box)



Pri potrebe prístupu k súboru systémy Boxu musia požiadať o dešifrovanie kľúča HSM modul, ktorý každé dešifrovanie bezpečne loguje a pre ktorý sú nastavené pravidlá aké požiadavky automaticky akceptuje a aké automaticky zamieta. Štandardne napríklad akceptuje požiadavky vyzerajúce ako individuálne požiadavky na prístup k súborom ale zamieta požiadavky vykazujúce charakter hromadného prístupu.

Aj nad funkčnosťou HSM modulu uloženého v Amazone má mať plnú kontrolu zákazník, akým spôsobom sa voči HSM autentifikuje a ako môže konfigurovať pravidlá pre akceptovanie požiadaviek na dešifrovanie súborov Box neinformuje.

Použité HSM moduly pochádzajú od SafeNet a mali by byť bezpečné proti manipulácii, nemalo by byť možné podobne ako u iných HSM z nich získať kľúče ani donútiť ich k neautorizovanému dešifrovaniu. Umiestnené primárne v dátových centrách Amazonu boli kvôli zabezpečeniu dostatočnej odozvy pri komunikácii so systémami Boxu, do budúcnosti služba počíta aj s verziou služby s HSM modulmi len u zákazníka.

Služba Box EKM je v súčasnosti dostupná v beta teste niekoľkým zákazníkom, všeobecne dostupná bude na jar za bližšie nešpecifikovaný dodatočný poplatok.


      Zdieľaj na Twitteri



Najnovšie články:

LTS podpora linuxových jadier sa opäť zlepšila, bolo oznámené nové LTS jadro
Intel údajne zvýši v nových 7-nm CPU efektivitu o 50%
Webbov teleskop neplánovane objavil aj malý asteroid
Samsung údajne vyvíja 10-jadrový CPU pre smartfóny
Musk znovu avizuje termín orbitálneho letu Starship
Samsung priznal chybu v SSD disku 990 Pro, pripravuje nový firmvér
Apple údajne zvažuje ešte vyšší model iPhonu Ultra
Na sieť bola pripojená aj druhá turbína tretieho bloku Mochoviec
Pre sneženie a vietor boli bez elektriny opäť desiatky tisíc domácností
Objavených 12 nových mesiacov Jupitera, znovu predbehol Saturn


Diskusia:
                               
 

Za chvilu Kim Dotcom povie ze to bol jeho napad :-D
Odpovedať Známka: 2.0 Hodnotiť:
 

a nebol?
Odpovedať Známka: 9.1 Hodnotiť:
 

> nad HSM modulom uloženom v Amazone má plnú kontrolu zákazník

Oxymoron.
Odpovedať Známka: 10.0 Hodnotiť:
 

Oxykvakal.
Odpovedať Známka: -6.9 Hodnotiť:
 

pri boxe s klucami v ruke mozes zranit supera alebo mu aj vypichnut oko :-(
Odpovedať Známka: 9.3 Hodnotiť:
 

Podla mna by si ho dokazal aj zabit. Napr. Trafit tepnu a potom uz neprestavat bit, aby nemal sancu sa zachranit.
Odpovedať Známka: 4.0 Hodnotiť:
 

To si snad robia srandu nie? Naco taky komplikovany system ked privatny kluc maju aj tak oni. To sifrovanie je tam uplne zbytocne.
Odpovedať Známka: 8.8 Hodnotiť:
 

Korektne riesenie je taketo: Vytvorite tolko kopii suboru kolko osob ma vediet citat dany subor. Zasifrujete ich pomocou verejnych klucov prijemcov a narate vsetky subory na cloud, kludne aj v rusku. Vyoda pre usera je ze je to 100% bezpecne, vyhoda pre cloud je ze kazdy subor je tam napr 10x takze si mozu nauctovat 10x viac. Je to win-win. Vsetci su spokojny.
Odpovedať Známka: 5.6 Hodnotiť:
 

jasne, vsa uplne kazdy uzivatel ma tak vykonny PC, ze zvladne desifrovat 1 GB subory sifrovane asymetrickou kryptografiou (RSA)
Odpovedať Známka: 4.3 Hodnotiť:
 

Asi aby oblbli pocetnu skupinu ludi co niekde pocula ze nesifrovane je zle, ale uz sa nezaujima/nerozumie tomu ako veci funguju.
Mozno sa casom ukaze aj to, ze projekt sponzorovala NSA.
Odpovedať Známka: 10.0 Hodnotiť:
 

Čo myslíte tým, že privátny kľúč majú oni? Ktorý, ten v HSM module?
Odpovedať Známka: 7.8 Hodnotiť:
 

Fakt divadielko pre blbych. Uz pri uploade dat si robia v druhom cloude vlastnu nesifrovanu kopiu, nielen oni ale aj kopec dalsich parazitov.
Cloud je hovadina, pouzivaju to len ma..ri, ktori si nevazia seba, svoje sukromie a hodnoty, ktore tvoria.

Odpovedať Známka: 7.3 Hodnotiť:
 

Nikomu nebrani do cloudu nahravat uz sifrovane udaje, nie?
Odpovedať Známka: 7.1 Hodnotiť:
 

otazka je ako dlho bude pouzite sifrovanie neprekonane :)
ak sa stanes celebritou, za 200 rokov na wiki bude o tebe ze ti v cloude v minulom storoci nasli tranny porno.
Odpovedať Známka: 7.5 Hodnotiť:
 

riesenie je jednoduche, ak sa ukazu bezpecnostne slabiny, staci data (popripade aj uz zasifrovane data :D) znova zasifrovat vylepsenym algoritmom
Odpovedať Známka: -4.0 Hodnotiť:
 

Brilantne... Teraz zostava uz len prist na to, ako takto zasifrovat data ku ktorym nemas pristup.
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár