紅極一時的 Megaupload 創辦人 Kim Dotcom 最近捲土重來,推出名為 Mega 的網路雲端服務。有別於一般的網路硬碟,Mega 的首要考量是資料安全,在設計上大量使用了密碼學,來消除用戶對資料安全的疑慮。因為在雲端口號越喊越響的今日,很多人心中同時也擔心當我把資料放在雲端時,要怎樣確信服務提供者不會偷看我的資料?
雖然 Mega 的設計仍有潛在的缺點,但是以資料安全為核心目標的新創雲端服務仍數少見。網站上 Mega 更自稱為「隱私公司」(The Privacy Company)
筆者將介紹 Mega 保護用戶資料安全的方法,並討論使用上的優缺點。不過 Mega 問市不久,公開資料不足,若推斷錯誤請多包涵。
編按:Kim Dotcom :原名 Tim Schmitz,天才駭客。青少年時期就因為竊取資料與內線交易而被逮捕過。創辦網路下載服務 Megaupload 後大賺其錢,移居紐西蘭,生活豪奢、作風爭議。於2012年初被紐西蘭警方經美國警方要求後逮捕,美國政府指控其 Megaupload 害美國的娛樂事業損失高達5億美金。現正努力交涉不被遣送至美國。但在這段期間,又推出了新的網路硬碟服務 Mega。
隨機的金鑰加密文件
Mega 公開的開發者文件指出,Mega 使用對稱式加密演算法符合高階加密標準(Advanced Encryption Standard,參見 AES-128 的 Wikipedia)。
「所有的對稱加密方法都奠基於 AES-128 . . . 每一個檔案與每一個檔案夾都有各自隨機產生的 128 bit 鑰匙。」
“All symmetric cryptographic operations are based on AES-128.… Each file and each folder node uses its own randomly generated 128 bit key.”
並且,Mega 做為網路硬碟,會針對每一個檔案和資料夾,都特別打一把長度為128bits的金鑰,如下圖所示:
Mega 加密檔案的概念如同把文件放在一個盒子裡,掛上密碼鎖後,使用者再隨手按了一組號碼鎖起來。每當使用者上傳一個檔案,瀏覽器上的 JavaScript 會設定一個128bits的隨機密碼。所以,加密的過程是在用戶電腦(瀏覽器)上進行,而不是透過 Mega 的伺服器。因此只有你自己的電腦知道這個隨機的密碼,可以解開它。
用主鑰加密金鑰
接著你的文件在隨機加密過後,傳給 Mega。但要是 Mega 知道了這個隨機金鑰,他們就能存取你的檔案,加密就白作工了。因此,還需要另一個屬於你個人的主鑰來加密第一把隨機金鑰。
為尊重《有物報告》的經營方針:原站文章在刊登後過幾天要登入才能觀看,而登入《有物報告》是免費的,想閱讀全文的人,可以到以下網址繼續閱讀:
作者:約翰 史密斯
熱愛電腦,主修 Computer Science,專業研究領域為資訊安全、密碼學等,但不務正業,喜歡吐嘈。
關於有物報告網站
有物報告取名自言之有物、互通有無。我們針對中文世界的科技業人士,致力於打造一個鼓勵更多言之有物的內容的平台。我們已經寫過許多科技業人士有興趣的議題,並且持續的擴大作者陣容。其中一些題目包括:科技、設計、領袖、國際化、創業、法律、談判、職場生活、公司管理、人才。有物報告粉絲團。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!