端到端加密

云服务的发展已经成为互联网时代最爆炸的现象。然而，即便是包括Yahoo、Gmail、微软Outlook 365和Dropbox在内的最受欢迎的云服务厂商也非常容易遭到攻击，因为他们服务器的数据都是未加密的。 

云服务相比本地服务的优势简直数不胜数。比如高扩展性、高效成本控制、易于管理以及能够随时随地接入。

但由于云服务是一个集中的信息库，所以很容易成为别人攻击的目标。一旦用户的电脑或者手机被入侵，他的信息就会完全泄露。那么如果是一个服务器被入侵了，所有在服务器上的用户信息都会泄露。就比如最近Yahoo被指有超过10亿用户的信息被泄露。 

因此，公司投入了大量资源用于加强云服务器的安全性。其中包括防火墙、威胁监测和分析以及管理流程，这也相当于在服务器外筑了一堵高墙。但是尽管投入巨大，风险依然存在。 

假设服务器被攻破

将问题反过来思考。与其思考如何保护服务器，不如专注于保护数据。而数据保护可以通过端到端加密技术解决，意味着用户数据只能通过电脑或手机解密，而服务器无法解码。因此，如果服务器被攻击，泄露的也只是加密的数据。不幸的是，现在端到端加密几乎没人使用。 

许多云厂商都标榜自己使用了加密技术，但是加密技术的种类非常多。大多数服务运用的都是传输过程加密的方式。为了说明他的工作方式，我们来看下现在通用的云电子邮件服务。 

如下图所示，传输过程加密会在信息从手机或者电脑向服务器传输的过程中加密，一般会采用像SSL（安全套接层）或者TLS（传输层安全协议）。这能够防止监视网络流量收集交流的内容。由于解码信息在终端设备和服务器上都能够使用，这也就使得服务器极易受到攻击，因为只要攻陷了服务器，就能获得所有解码信息。

为了解决这个问题，一些云服务还用了在非激活状态下加密的方法，如下：

非激活状态下加密意味着数据在未被使用时，会在云服务器的存储介质上加密。这能够放着通过从数据中心偷磁盘的方式获取信息（虽然这种方法已经愈发罕见）。而且它还是解决不了数据泄露的问题，因为服务器还是能够“看见”解码信息。

端到端加密能够通过添加丢失链接---使用时加密的方式解决这个问题，如下：

通过端到端加密，服务器永远不会接触解码的数据。信息通过发送者的设备加密，而且在到达收取者设备前不会解码。因此，服务器被攻击不会泄露任何用户信息。 

Gmail、Outlook 365和Dropbox又是怎么做的呢？

不幸的是，大部分主流云服务厂商并没有使用端到端加密的方式，包括Gmail、Outlook、Dropbox、Yahoo等等。这是因为这些服务依靠服务器来处理邮件和文件。所以这些服务器必须能够接触到用户数据。 

总而言之，云安全需要不同的方式保障，服务器十分容易被入侵，所以存储在服务器上的所有东西都必须加密，并且只能通过用户的设备解码。关键在于，服务器不能访问未加密的数据或者该数据的加密密钥。如果服务器能看见解码信息，入侵者也同样能看到。只有考虑过服务器被破坏问题的精心设计的端到端加密系统才能为云提供更强的保护。

译：T客汇 张珅健

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。