通過證明服務(wù)器有能力處理加密數(shù)據(jù)并發(fā)回仍處于加密狀態(tài)的處理結(jié)果�,麻省理工學(xué)院研究人員推動云安全性向前邁進(jìn)了重要一步。
麻省理工學(xué)院研發(fā)的這種技術(shù)基于同態(tài)加密技術(shù)�����。通過這種技術(shù)��,云服務(wù)器無需解密即可處理加密數(shù)據(jù)����。
新方法涉及將同態(tài)加密技術(shù)與其它兩種技術(shù)整合至一種被研發(fā)人員稱為“功能性加密方案”的方案中。目前這一技術(shù)還不適合大規(guī)模應(yīng)用����。研究人員認(rèn)為�,由于這一技術(shù)需要相當(dāng)強(qiáng)大的計算能力�����,以至于目前還無法投入實(shí)用���。
盡管如此����,隨著時間的流逝�����,這一問題終究會被解決���。目前研究人員已經(jīng)清楚����,在不解密的情況下處理加密數(shù)據(jù)是可以實(shí)現(xiàn)的���。該研究的共同作者���,麻省理工學(xué)院電子工程和計算機(jī)科學(xué)系的Raluca Ada Popa表示:“在此之前�,我們并不清楚這種方法是否存在可能性�。”
在現(xiàn)有技術(shù)條件下,如果被加密的檢索項沒有先經(jīng)過解密����,那么接收服務(wù)器沒有另的選擇,只能發(fā)回每一個數(shù)據(jù)庫記錄中的信息���。因此,接收者的計算機(jī)必須要進(jìn)行解密并處理必要的計算指令以確定適用的結(jié)果�����。
同態(tài)加密是密碼學(xué)中非常具有前景的研究課題�,其使得在保持端對端加密的同時處理數(shù)據(jù)成為了可能。通過讓云服務(wù)器能夠針對同態(tài)加密結(jié)果運(yùn)行單一的特定計算——如�,“這是不是記錄了一對匹配項?”——無需提取任何其它的信息,研究人員研發(fā)的新的功能性加密方案將這一技術(shù)又向前推進(jìn)了一步���。
為了實(shí)現(xiàn)這一功能����,研究人員還使用了兩種其它的方案,即亂碼電路和基于屬性的加密方案���。每一種方案都含有功能性加密所必需的功能���。
新系統(tǒng)首先進(jìn)行同態(tài)加密,然后將解密算法嵌入亂碼電路中�。亂碼電路的密鑰會受到基于屬性的加密方案的保護(hù),同時后者將保持整個處理程序處于加密狀態(tài)�。
云加密公司HighCloud Security的聯(lián)合創(chuàng)始人兼首席技術(shù)官Steve Pate認(rèn)為,這一新研究非常“振奮人心”��。與此同時��,他還指出其中所面臨的障礙:“在計算資源方面��,同態(tài)加密所需要的計算量已經(jīng)遠(yuǎn)遠(yuǎn)超過了我們的現(xiàn)有能力�����。”他指出�����,在這一技術(shù)投入使用前��,用戶還需要提升硬件,因為加密與密鑰管理需要在處理器或其它硬件模塊中進(jìn)行�。
CloudPassage的應(yīng)用安全研究總監(jiān)Andrew Hay認(rèn)為,同態(tài)加密未來可能將提升多租戶公有云環(huán)境的安全性��,屆時服務(wù)器���、應(yīng)用和程序?qū)o法獲取彼此的加密數(shù)據(jù)���。亞馬遜EC2、谷歌計算引擎與Rackspace是這類環(huán)境的典型代表��。
盡管如此����,在進(jìn)入生產(chǎn)環(huán)境中進(jìn)行測試之前����,這一最新研究的效果到底如何還不清楚。除了大學(xué)外�,這一技術(shù)的理論前提還需要內(nèi)業(yè)安全從業(yè)者進(jìn)行審查。
麻省理工學(xué)院的這一研究成果在上周出現(xiàn)在了美國計算機(jī)協(xié)會第45屆計算理論研討會上����。除了麻省理工學(xué)院研究人員外�,參與這一研究的人員還包括來自多倫多大學(xué)和微軟的科研人員����。
