‘CTO 亲自保管解密文件所需要的 key’--摘自某云数据安全白皮书。上帝视角?

2017-04-07 08:38:16 +08:00
 YUX

/t/352876

3387 次点击
所在节点    问与答
22 条回复
ryd994
2017-04-07 08:47:56 +08:00
信 CTO 不信 TPM
eyp82
2017-04-07 08:53:55 +08:00
忽悠外行的, 加密算法就那几种, 全是公开的, 有个毛可以保管的. 这东西都有很成熟很安全的方案了, 对称加密算法加密文件, 然后哈希一下拿到指纹连同秘钥用非对称加密算法加密, 需要保管的只有非对称的 private key 而已.

他们这么说反让我觉得他们是在自作聪明"发明"自己的加密算法, 而绝大多数情况下自己发明的所谓加密算法其实是漏洞百出的, 毕竟密码学是数学家的事, 而一批批数学家们穷极一生也未必发明一种可以数学证明有效且速度足够快的算法, 一个做安全的软件公司自己拍脑袋写出来的算法怎么保证安全?
momocraft
2017-04-07 09:08:35 +08:00
没想象出在实践中这个解密 key 是怎样使用的。要解密时打电话给 CTO?
xyjtou
2017-04-07 09:23:26 +08:00
简单朴素的方式:一个 key 分三段,三个人各负责输入一段。
YUX
2017-04-07 09:26:24 +08:00
@xyjtou #4 第三个人把前面的都删了 自己输入了完整的 key
xyjtou
2017-04-07 09:30:00 +08:00
@YUX 第三个人怎么会知道完整的 key ?
leavic
2017-04-07 09:30:38 +08:00
@YUX 这明明是我老婆保管银行卡密码的方法!
xyjtou
2017-04-07 09:34:26 +08:00
或者像银行很多业务一样,采用多层授权: A 先输入第一级授权 key ;通过后, B 再输入第二层;然后, C 再输入第三层 ... 依次需要越来越高的管理职级。

好像斯诺登透露的 CIA 对于加密信息的授权管理,也是通过类似的层级授权来管理的吧。
binsys
2017-04-07 09:56:00 +08:00
上硬件加密机+N 个授权卡
lyragosa
2017-04-07 09:58:28 +08:00
3 个人分 3 段输这个没问题。

硬件上再把这三个输密码的地方分割得非常开,并且要求所有人一起输入就行了。

核密码就是这样的方式。
xyjtou
2017-04-07 10:04:09 +08:00
@lyragosa 估计应该还有“人身”备灾方案,比如万一某一段密码的掌管人出意外了,有人可以备灾。
Quaintjade
2017-04-07 10:05:15 +08:00
@xyjtou
这只是一个段子。
银行卡密码夫妻共同保管,取款时老婆输前三位,老公输后三位,但其实老公输入时先把老婆的删掉,然后输入六位 :doge:
x00m3i
2017-04-07 10:12:15 +08:00
门限方案
Hxu2M811KVSJqN75
2017-04-07 11:39:35 +08:00
@Quaintjade

银行卡密码, 1\2\3 位老公输入, 4\5 位老婆输入, 第 6 位大家知道。
每次取款前, 随机由老公或者老婆输入最后一位即可。
mcfog
2017-04-07 11:50:32 +08:00
@Quaintjade 然后老婆故意输错一位 (手动滑稽
Xbluer
2017-04-07 12:05:31 +08:00
三个密钥直接异或,得到最终的 key ,这样每个人获取到的 key 与实际的 key 的没有直接关联。
cuebyte
2017-04-07 13:14:19 +08:00
翻译一下就是:开发人员写代码,运维管文件存储, CTO 则有所有 key 的访问权限。

这他妈不是废话?
rssf
2017-04-07 13:58:16 +08:00
@lchy 最后一位输入时删掉前五位
billytom
2017-04-07 14:51:43 +08:00
最安全的做法还是上传过程 https AES128 加密, 存储端文件分割存储并分段分数据片 AES256 加密,最后私钥在用户手里,他们公司不知道。貌似 Microsoft Onedrive Business (国外版)就是这么干的。 苹果的 icloud keychain 也是这样
sengxian
2017-04-07 20:57:22 +08:00
@rssf 最后一位是随机输入的啊,没人能作弊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/353093

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX