趙建超 蔡麗霞

挑戰(zhàn)題描述

云應用越來越普及，不過數(shù)據(jù)上傳保存到云端服務器后，當我們出于需要想徹底清除云端這些數(shù)據(jù)時，卻可能無法完成。因為在刪除數(shù)據(jù)時，可能由于本地的數(shù)據(jù)不同步（指令沒有發(fā)出），或者由于云端自身的合法原因（為了防災，多個地方備份），或者非法的原因（有隱秘備份、不執(zhí)行刪除指令），我們根本無法確認是否完全刪除。有沒有一種“可信刪除”的解決方案呢？（題號：20142203）

解題思路

云存儲大都為免費服務，使用又很方便，因此得到許多人的喜愛。不過它導致的隱私問題也令人擔憂，因為你上傳的數(shù)據(jù)有可能被廠商復制、修改，也可能被永久備份，當你想要徹底刪除時往往無能為力。以修改后的谷歌云盤隱私協(xié)議（http：//tinyurl.com/l7r96q2）為例，就明確要求擁有用戶上傳產(chǎn)品的復制權利。

因此，上傳到網(wǎng)上的數(shù)據(jù)安全，只能靠自己來把握，如果對云端信息進行合理的加密，就能有效防止別人偷窺自己的信息。當加密方法采用密碼學中公認的加密算法如AES、3DES等，在沒有密鑰的前提下，目前世界上尚沒有有效的破解方法。從密碼學意義上來說，如果可靠加密的數(shù)據(jù)不能被解密，數(shù)據(jù)就是死的，跟刪除了的效果相似。而在此基礎上再運用其他一些方法，即可達到高度的“可信刪除”效果了。

下面提供了多種方案，大家可以根據(jù)自己的實際情況選用。

解題方法

可信刪除首選安全云平臺

只有可信任的平臺，才可能有可信的刪除，這方面開源的云存儲平臺是不錯的選擇。因為對于云存儲來說，開源的產(chǎn)品，大家能看得出程序內部執(zhí)行的過程，自然對刪除比較放心。云存儲平臺有很多開源項目，國外的Eucalyptus、OpenStack（典型的實現(xiàn)是惠普云http：//www.hpcloud.com），國內的迷你云（http：//www.miniyun.cn，圖1）等。迷你云核心代碼托管在GitHub，遵循BSD許可證，因此不存在后門。迷你云能實現(xiàn)云計算的大多數(shù)功能，當然也包括云存儲（圖2），而且迷你云為用戶提供有免費版本。是不是有點動心了？不過開源的另一個特點就是技術門檻高，所以一般只適合專業(yè)人員使用。

另外的選擇就是有權威認證的平臺。要想降低技術門檻，又想讓云存儲刪除可靠，就要靠權威的認證了。如美國的FedRAMP（http：//cloud.cio.gov/fedramp），它是一個強制性的政府機構，規(guī)范了云產(chǎn)品和服務的安全評估、授權和監(jiān)控，當然云存儲也不例外。云計算的世界巨頭亞馬遜、微軟都通過了該認證（圖3）。

值得注意的是，著名的云存儲及同步服務 Dropbox和谷歌并沒有通過該認證。斯諾登就曾指出Dropbox是對“隱私的巨大威脅”，同時還呼吁出現(xiàn)更多像Spideroak那樣不監(jiān)視用戶數(shù)據(jù)的“零知”服務?！傲阒奔础癦ero Knowledge”，提供云服務的公司雖然會提供主機并代表客戶處理文件、數(shù)據(jù)和信息，但沒有接入、監(jiān)視這些內容的權限。

修改后的谷歌云盤的隱私協(xié)議也受到大家的非議（圖4）。在協(xié)議中谷歌明確指出：當您將內容上傳、提交、存儲或發(fā)送到我們的服務，以及通過我們的服務上傳、提交、存儲、發(fā)送或接收內容時，您授予Google（以及我們的合作伙伴）一項全球性的許可，允許Google使用、托管、存儲、復制、修改、創(chuàng)建衍生作品。

工信部指導的數(shù)據(jù)中心聯(lián)盟已開啟了“可信云服務認證”，百度、騰訊、阿里等公司的云產(chǎn)品通過了可信云服務認證（圖5）。值得注意的是，有部分公司的云存儲并沒有通過該認證。所以大家要根據(jù)自己的情況，選擇通過認證的云存儲產(chǎn)品。

選擇可信任的第三方

通過可信任第三方對用戶頒發(fā)證書，用戶對文件數(shù)字簽名加密后上傳云端，這樣在云端的數(shù)據(jù)如果沒有用戶的私鑰，將無法解密，這其實是一種變相的可信刪除，雜志上以前已有過不少介紹。

不過考慮到部分證書企業(yè)數(shù)字證書制作過程不透明，用戶的私鑰（相當于鑰匙）由證書頒發(fā)企業(yè)生成后發(fā)給用戶，在這個過程中可能存在著證書私鑰備份問題（私自配鑰匙）。所以在選擇證書頒發(fā)機構時，一定要選可信任的機構。這里推薦VeriSign（已經(jīng)被賽門鐵克收購），世界500強企業(yè)中超過93%的企業(yè)采用VeriSign的數(shù)字證書，用戶包括支付寶、中國工商銀行等。在國內申請可以通過天威誠信（http：//www.itrus.com.cn/conduct/192.html）來申請試用，個人目前60天免費（圖6）。這一方法的優(yōu)點是沒有用戶的私鑰數(shù)據(jù)不能打開，但是它的加密解密速度慢，而且用戶只有一個私鑰，不能靈活對不同文件采用不同的密鑰（雞蛋在一個籃子里）。

分離加密實現(xiàn)“可信刪除”

1.密鑰和文件分離

求人不如求己，同時這也是密碼學可信刪除實現(xiàn)的基本理念。把文件和密鑰分別放在不同的服務商中，密鑰可以加密放在可信的郵件服務商中。該密鑰用公鑰加密。

文件加密密鑰可以由AxCrypt生成。公私鑰對生成可以使用GnuPG和Kleopatra組件來幫助解決這個問題。

首先，使用AxCrypt生成密鑰文件（圖7），密文內容是一些隨機的字符（圖8、圖9）。把這個文件，使用GnuPG加密后（圖10），上傳到自己認為安全的郵件即可。

這種方法加密強度高，目前公認無法破解。由于可以自己生成多個密鑰文件，所以可以靈活對不同文件使用不同的密鑰。但是缺點是實現(xiàn)比較麻煩。

2.文件分割保存

使用WinRAR軟件把文件分割成多個部分，然后進行加密，一個放進百度云，一個放入微軟云，等等。這樣即使某個云服務商想備份資料，那么它只有一個文件碎片，無法真正解密（等于文件的其他部分被刪除了）。這樣我們在刪除時，就無需擔心是不是被真正刪除了，這是一種很實用的“可信刪除”方法。

使用WinRAR軟件分割文件非常簡單，在壓縮分卷大小時，填入合適的數(shù)值即可（圖11）。這里注意填寫的數(shù)值大小與文件的大小密切相關，建議對文件分為3份，該數(shù)值就是文件的大小除以3。

這一方法的優(yōu)點是簡單易用，由于不同的云存儲服務商很難合謀，所以能夠實現(xiàn)可信刪除。但是缺點是文件真正進行隨機分割不容易，部分內容可能容易被查看。所以這一方法對文檔類資料比較安全，但是對圖像類如果分割不好，在密鑰丟失的情況下還是不能實現(xiàn)可信刪除。建議如果在云端保存圖片，還是要使用加密工具如AxCrypt進行加密，增加安全性。