文｜李莉莎

對Mega云存儲解決方案安全性的討論甚囂塵上，我們也來通過這樣的討論看看流行的個人云存儲提供商和他們的安全協(xié)議，看他們是如何保護我們的數(shù)據(jù)安全的。

云存儲提供商Mega聲稱他們的云存儲是十分安全的，但是很多證券分析師卻不相信這一點，他們認為Mega的安全協(xié)議存在明顯的漏洞。當(dāng)然，還有很多成功的云存儲可用，例如Google Drive和微軟的SkyDrive。但是，這些提供商就一定比Mega更安全嗎？下面我們就來對比一下……

Google Drive

當(dāng)使用Google Drive的時候，你會注意到，地址的前綴是：“https”，而不是公用的“http”，這是因為該網(wǎng)站使用安全套接層（SSL）， 這意味著你的瀏覽器和Google服務(wù)器之間的所有數(shù)據(jù)通信都是加密的！最重要的是，該網(wǎng)站需要出示有效的瀏覽器“證書”，這些“證書”是由受信任的權(quán)威機構(gòu)，例如VeriSign所簽發(fā)的。這些“證書”都是有期限的，一旦“證書”不被信任，那么瀏覽器就會發(fā)警告給用戶。這確保了類似“中間人”（黑客通過各種技術(shù)手段將自己虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計算機之間進行攻擊）這種攻擊是非常困難的。此外，Drive還提供了兩步驗證，在用戶成功登陸前，還需要輸入通過短信發(fā)給用戶的移動驗證碼。但是，令人不安的是，你的數(shù)據(jù)在Google的服務(wù)器上是非加密存儲的，這就意味著你的數(shù)據(jù)存儲在對方終端時，服務(wù)器僅能提供物理安全。雖然Google聲稱這樣做是為了用戶可以瀏覽他們的文件，但其實最關(guān)鍵的原因之一也可能是，Google需要對這些存儲的數(shù)據(jù)進行進一步的分析，以便能夠提供更有針對性的廣告服務(wù)，這也是他們主要的收入來源。在Google的隱私政策中還包含了一段關(guān)鍵語句“當(dāng)你上傳或提交一些內(nèi)容到我們的服務(wù)器上，你需要給Google一個全球許可，允許Google對您上傳的內(nèi)容進行存儲、復(fù)制、修改、創(chuàng)建衍生的內(nèi)容等等…”這就意味著，Google可以有效的使用你的數(shù)據(jù)和以不同的方式發(fā)布它，這是令人討厭的。

Dropbox

Dropbox也是世界著名的云存儲提供商之一，他們也強調(diào)了網(wǎng)站的安全性。Dropbox也使用SSL安全的傳輸數(shù)據(jù)，還使用AES-256加密來加密用戶文件。和Google Drive不同，這意味著存儲在亞馬遜S3服務(wù)器上的數(shù)據(jù)已經(jīng)有了防破解的保障。此外，亞馬遜S3存儲有著極其強大的安全協(xié)議，在所有的內(nèi)部和外部數(shù)據(jù)傳輸中，都提供SSL加密，并以冗余的方式將數(shù)據(jù)存儲在多地，防止因某地停電而導(dǎo)致服務(wù)中斷。Dropbox也提供兩步驗證，允許基于手機短信驗證碼或手機app提供身份驗證。

Microsoft SkyDrive

微軟的SkyDrive也使用SSL加密，讓用戶到微軟的數(shù)據(jù)中心安全地傳輸數(shù)據(jù)。然而與Drive類似，而與Dropbox不同，SkyDrive也不對用戶的靜態(tài)文件進行加密。當(dāng)然，這一方式有一個優(yōu)點，就是用戶可以瀏覽他們的文件，因為他們在微軟的服務(wù)器上是不加密的。SkyDrive也有兩步驗證，但是它是驗證用戶的email地址。微軟并沒有對保存在數(shù)據(jù)中心的數(shù)據(jù)提供任何安全協(xié)議文件。另外，在他們的隱私政策中也提出“微軟需要你授權(quán)微軟公司對你存儲的內(nèi)容進行使用、修改、改編、復(fù)制、分發(fā)、展示等操作”。這項政策相比于Google的政策有一些細微的差別，因為微軟保證，任何信息將只用于提高服務(wù)質(zhì)量，但Google的政策允許操作的內(nèi)容都是為他自己。

MEGA

Kim Dotcom的新的合資公司聲稱，Mega是“最安全”的云服務(wù)提供商。首先，它在將數(shù)據(jù)傳輸?shù)組ega服務(wù)器上之前，就對客戶端數(shù)據(jù)進行了AES-128的加密。其次，Mega使用SSL確保傳輸過程中的數(shù)據(jù)安全。數(shù)據(jù)在服務(wù)器上連同“管理員”密鑰一起，是使用哈希算法加密的。這就意味著，即使你的數(shù)據(jù)被非法獲取，黑客在破解你的密鑰之前，必須先破解強大的加密密碼。這就像是一把開鎖的鑰匙被鎖在另外一個只有你能打開的柜子里。RSA-2048是一種用于在用戶之間共享的秘密信息和文件的非對稱加密算法，這在理論上是不可能通過計算來破解的。雖然Mega沒有透露他們服務(wù)器的位置，但是他們也使用了數(shù)據(jù)冗余的存儲方式確保數(shù)據(jù)物理存儲的安全。另外，他們將無法使用你的數(shù)據(jù)用于廣告、宣傳等用途，因為所有這些數(shù)據(jù)都是加密的！

Box

Box也是流行的云存儲提供商，Box為用戶提供5GB的免費存儲空間用于團隊共享文檔等協(xié)作用途。Box使用高級別的SSL在傳輸過程中加密，以及對數(shù)據(jù)進行256-bit AES 加密。而加密密鑰被存儲在Box服務(wù)器上，這些密鑰被存儲在不同的位置并且經(jīng)常輪換。此外，Box采用“SSAE 16 TypeII”型數(shù)據(jù)中心，這表明Box提供的是較高水平的數(shù)據(jù)中心物理安全保障。Box有一個其他云存儲提供商不具備的關(guān)鍵功能：管理員的審計。這個功能允許共享文件夾的管理員可以跟蹤所有修改過文件夾的人的用戶名、IP、email 等信息。根據(jù)Box的隱私政策，“我們不會發(fā)表、出售、出租、分享或交易您的任何個人信息或您存儲在我們服務(wù)器上的任何數(shù)據(jù)給第三方，除非在本政策所列之外或您的允許之下?！彼麄兯傅奈ㄒ坏睦馐侵冈谟脩舻膫€人安全法律要求或個人緊急情況時。

總結(jié)

當(dāng)用戶多次上傳相同文件，或在云存儲中與人分享文件，一些提供商會做出一個文件的多個副本，而另一些提供商只是讓指針指向已經(jīng)存在的文件，而不是重新上傳整個文件，這就是所謂的重復(fù)數(shù)據(jù)刪除。如果一個提供商支持重復(fù)數(shù)據(jù)刪除，這意味著上傳的數(shù)據(jù)必須是未加密的，然而這損壞了用戶數(shù)據(jù)的安全性。

下表是對一些云存儲提供商的安全功能進行的簡單對比。目前看起來，Mega似乎是最安全的云存儲提供商，它不負眾望，為用戶提供許多的預(yù)防措施，利用本地數(shù)據(jù)加密、傳輸加密、密鑰加密等方式確保數(shù)據(jù)安全。這使得用戶數(shù)據(jù)幾乎不可能被任何第三方破解，因為加密密鑰只有你自己才知道，連提供商都無法對你的數(shù)據(jù)進行任何方式的篡改?！?/p>