多管齊下 讓云端刪除更可信

趙建超 蔡麗霞

挑戰(zhàn)題描述

云應(yīng)用越來(lái)越普及，不過(guò)數(shù)據(jù)上傳保存到云端服務(wù)器后，當(dāng)我們出于需要想徹底清除云端這些數(shù)據(jù)時(shí)，卻可能無(wú)法完成。因?yàn)樵趧h除數(shù)據(jù)時(shí)，可能由于本地的數(shù)據(jù)不同步（指令沒(méi)有發(fā)出），或者由于云端自身的合法原因（為了防災(zāi)，多個(gè)地方備份），或者非法的原因（有隱秘備份、不執(zhí)行刪除指令），我們根本無(wú)法確認(rèn)是否完全刪除。有沒(méi)有一種“可信刪除”的解決方案呢？（題號(hào)：20142203）

解題思路

云存儲(chǔ)大都為免費(fèi)服務(wù)，使用又很方便，因此得到許多人的喜愛(ài)。不過(guò)它導(dǎo)致的隱私問(wèn)題也令人擔(dān)憂(yōu)，因?yàn)槟闵蟼鞯臄?shù)據(jù)有可能被廠(chǎng)商復(fù)制、修改，也可能被永久備份，當(dāng)你想要徹底刪除時(shí)往往無(wú)能為力。以修改后的谷歌云盤(pán)隱私協(xié)議（http：//tinyurl.com/l7r96q2）為例，就明確要求擁有用戶(hù)上傳產(chǎn)品的復(fù)制權(quán)利。

因此，上傳到網(wǎng)上的數(shù)據(jù)安全，只能靠自己來(lái)把握，如果對(duì)云端信息進(jìn)行合理的加密，就能有效防止別人偷窺自己的信息。當(dāng)加密方法采用密碼學(xué)中公認(rèn)的加密算法如AES、3DES等，在沒(méi)有密鑰的前提下，目前世界上尚沒(méi)有有效的破解方法。從密碼學(xué)意義上來(lái)說(shuō)，如果可靠加密的數(shù)據(jù)不能被解密，數(shù)據(jù)就是死的，跟刪除了的效果相似。而在此基礎(chǔ)上再運(yùn)用其他一些方法，即可達(dá)到高度的“可信刪除”效果了。

下面提供了多種方案，大家可以根據(jù)自己的實(shí)際情況選用。

解題方法

可信刪除首選安全云平臺(tái)

只有可信任的平臺(tái)，才可能有可信的刪除，這方面開(kāi)源的云存儲(chǔ)平臺(tái)是不錯(cuò)的選擇。因?yàn)閷?duì)于云存儲(chǔ)來(lái)說(shuō)，開(kāi)源的產(chǎn)品，大家能看得出程序內(nèi)部執(zhí)行的過(guò)程，自然對(duì)刪除比較放心。云存儲(chǔ)平臺(tái)有很多開(kāi)源項(xiàng)目，國(guó)外的Eucalyptus、OpenStack（典型的實(shí)現(xiàn)是惠普云http：//www.hpcloud.com），國(guó)內(nèi)的迷你云（http：//www.miniyun.cn，圖1）等。迷你云核心代碼托管在GitHub，遵循BSD許可證，因此不存在后門(mén)。迷你云能實(shí)現(xiàn)云計(jì)算的大多數(shù)功能，當(dāng)然也包括云存儲(chǔ)（圖2），而且迷你云為用戶(hù)提供有免費(fèi)版本。是不是有點(diǎn)動(dòng)心了？不過(guò)開(kāi)源的另一個(gè)特點(diǎn)就是技術(shù)門(mén)檻高，所以一般只適合專(zhuān)業(yè)人員使用。

另外的選擇就是有權(quán)威認(rèn)證的平臺(tái)。要想降低技術(shù)門(mén)檻，又想讓云存儲(chǔ)刪除可靠，就要靠權(quán)威的認(rèn)證了。如美國(guó)的FedRAMP（http：//cloud.cio.gov/fedramp），它是一個(gè)強(qiáng)制性的政府機(jī)構(gòu)，規(guī)范了云產(chǎn)品和服務(wù)的安全評(píng)估、授權(quán)和監(jiān)控，當(dāng)然云存儲(chǔ)也不例外。云計(jì)算的世界巨頭亞馬遜、微軟都通過(guò)了該認(rèn)證（圖3）。

值得注意的是，著名的云存儲(chǔ)及同步服務(wù) Dropbox和谷歌并沒(méi)有通過(guò)該認(rèn)證。斯諾登就曾指出Dropbox是對(duì)“隱私的巨大威脅”，同時(shí)還呼吁出現(xiàn)更多像Spideroak那樣不監(jiān)視用戶(hù)數(shù)據(jù)的“零知”服務(wù)?！傲阒奔础癦ero Knowledge”，提供云服務(wù)的公司雖然會(huì)提供主機(jī)并代表客戶(hù)處理文件、數(shù)據(jù)和信息，但沒(méi)有接入、監(jiān)視這些內(nèi)容的權(quán)限。

修改后的谷歌云盤(pán)的隱私協(xié)議也受到大家的非議（圖4）。在協(xié)議中谷歌明確指出：當(dāng)您將內(nèi)容上傳、提交、存儲(chǔ)或發(fā)送到我們的服務(wù)，以及通過(guò)我們的服務(wù)上傳、提交、存儲(chǔ)、發(fā)送或接收內(nèi)容時(shí)，您授予Google（以及我們的合作伙伴）一項(xiàng)全球性的許可，允許Google使用、托管、存儲(chǔ)、復(fù)制、修改、創(chuàng)建衍生作品。

工信部指導(dǎo)的數(shù)據(jù)中心聯(lián)盟已開(kāi)啟了“可信云服務(wù)認(rèn)證”，百度、騰訊、阿里等公司的云產(chǎn)品通過(guò)了可信云服務(wù)認(rèn)證（圖5）。值得注意的是，有部分公司的云存儲(chǔ)并沒(méi)有通過(guò)該認(rèn)證。所以大家要根據(jù)自己的情況，選擇通過(guò)認(rèn)證的云存儲(chǔ)產(chǎn)品。

選擇可信任的第三方

通過(guò)可信任第三方對(duì)用戶(hù)頒發(fā)證書(shū)，用戶(hù)對(duì)文件數(shù)字簽名加密后上傳云端，這樣在云端的數(shù)據(jù)如果沒(méi)有用戶(hù)的私鑰，將無(wú)法解密，這其實(shí)是一種變相的可信刪除，雜志上以前已有過(guò)不少介紹。

不過(guò)考慮到部分證書(shū)企業(yè)數(shù)字證書(shū)制作過(guò)程不透明，用戶(hù)的私鑰（相當(dāng)于鑰匙）由證書(shū)頒發(fā)企業(yè)生成后發(fā)給用戶(hù)，在這個(gè)過(guò)程中可能存在著證書(shū)私鑰備份問(wèn)題（私自配鑰匙）。所以在選擇證書(shū)頒發(fā)機(jī)構(gòu)時(shí)，一定要選可信任的機(jī)構(gòu)。這里推薦VeriSign（已經(jīng)被賽門(mén)鐵克收購(gòu)），世界500強(qiáng)企業(yè)中超過(guò)93%的企業(yè)采用VeriSign的數(shù)字證書(shū)，用戶(hù)包括支付寶、中國(guó)工商銀行等。在國(guó)內(nèi)申請(qǐng)可以通過(guò)天威誠(chéng)信（http：//www.itrus.com.cn/conduct/192.html）來(lái)申請(qǐng)?jiān)囉?，個(gè)人目前60天免費(fèi)（圖6）。這一方法的優(yōu)點(diǎn)是沒(méi)有用戶(hù)的私鑰數(shù)據(jù)不能打開(kāi)，但是它的加密解密速度慢，而且用戶(hù)只有一個(gè)私鑰，不能靈活對(duì)不同文件采用不同的密鑰（雞蛋在一個(gè)籃子里）。

分離加密實(shí)現(xiàn)“可信刪除”

1.密鑰和文件分離

求人不如求己，同時(shí)這也是密碼學(xué)可信刪除實(shí)現(xiàn)的基本理念。把文件和密鑰分別放在不同的服務(wù)商中，密鑰可以加密放在可信的郵件服務(wù)商中。該密鑰用公鑰加密。

文件加密密鑰可以由AxCrypt生成。公私鑰對(duì)生成可以使用GnuPG和Kleopatra組件來(lái)幫助解決這個(gè)問(wèn)題。

首先，使用AxCrypt生成密鑰文件（圖7），密文內(nèi)容是一些隨機(jī)的字符（圖8、圖9）。把這個(gè)文件，使用GnuPG加密后（圖10），上傳到自己認(rèn)為安全的郵件即可。

這種方法加密強(qiáng)度高，目前公認(rèn)無(wú)法破解。由于可以自己生成多個(gè)密鑰文件，所以可以靈活對(duì)不同文件使用不同的密鑰。但是缺點(diǎn)是實(shí)現(xiàn)比較麻煩。

2.文件分割保存

使用WinRAR軟件把文件分割成多個(gè)部分，然后進(jìn)行加密，一個(gè)放進(jìn)百度云，一個(gè)放入微軟云，等等。這樣即使某個(gè)云服務(wù)商想備份資料，那么它只有一個(gè)文件碎片，無(wú)法真正解密（等于文件的其他部分被刪除了）。這樣我們?cè)趧h除時(shí)，就無(wú)需擔(dān)心是不是被真正刪除了，這是一種很實(shí)用的“可信刪除”方法。

使用WinRAR軟件分割文件非常簡(jiǎn)單，在壓縮分卷大小時(shí)，填入合適的數(shù)值即可（圖11）。這里注意填寫(xiě)的數(shù)值大小與文件的大小密切相關(guān)，建議對(duì)文件分為3份，該數(shù)值就是文件的大小除以3。

這一方法的優(yōu)點(diǎn)是簡(jiǎn)單易用，由于不同的云存儲(chǔ)服務(wù)商很難合謀，所以能夠?qū)崿F(xiàn)可信刪除。但是缺點(diǎn)是文件真正進(jìn)行隨機(jī)分割不容易，部分內(nèi)容可能容易被查看。所以這一方法對(duì)文檔類(lèi)資料比較安全，但是對(duì)圖像類(lèi)如果分割不好，在密鑰丟失的情況下還是不能實(shí)現(xiàn)可信刪除。建議如果在云端保存圖片，還是要使用加密工具如AxCrypt進(jìn)行加密，增加安全性。