Даже в облачных сервисах хранения данных с шифрованием возможны утечки

22:53 21.04.2014 |   720



Проблема, подчеркивают исследователи, заключается в том, что сервисы самостоятельно осуществляют выпуск и проверку сертификатов пользователей, а открытые ключи публикуются на том же сервисе.

Аспирант университета им. Джона Гопкинса проанализировал технологии работы облачных сервисов Spider Oak, Wuala и Tresorit, реализующих хранение данных с «нулевым знанием». Такие сервисы хранят данные в зашифрованном виде, а ключи шифрования имеются только у пользователя. Таким образом, как утверждается, компания, предоставляющая сервис, не может получить доступ к данным. Однако уязвимое место в работе сервисов все-таки есть, утверждает исследователь.

Многие облачные сервисы, в том числе и те, работу которых изучил автор, обладают возможностями организации совместного доступа к данным для нескольких пользователей. При этом защита данных и аутентификация пользователей обеспечивается методами шифрования с открытым ключом. Но проблема, подчеркивает автор, заключается в том, что сервисы самостоятельно осуществляют выпуск и проверку сертификатов пользователей, а открытые ключи публикуются на том же сервисе. Это значит, что у сервиса есть возможность проведения типичной атаки через посредника с подменой ключей и расшифровкой данных. Исследователь подтверждает свои выводы анализом сетевого трафика и программного кода приложений для работы с облачными сервисами. Впрочем, никаких признаков того, что сервисы осуществляют подобные атаки, обнаружено не было.


Теги: Информационная безопасность