文 / 精品科技 資安顧問兼資安部經理 陳伯榆
雲端加密軟體整體評測
伴隨相關雲端硬儲存或是雲端服務的逐漸普及,不論在企業組織或是個人使用,這一條「公」與「私」的界線也越來越模糊,企業組織的機敏性資料也暴露在網際網路世界中,資訊安全所重視所謂的「Access Control」面臨很大的衝擊。在前篇「企業雲端安全使用」,已經提供企業織對於雲端防護的可能性作為,在本篇將完全聚焦在雲端加密軟體的應用與功能的優異與缺點說明。
雲端資料加密不論在個人或是企業,都是必須盡快建立的安全素養與程序,他可以大幅降低敏感性資料的外洩,以及提高對個人或是企業組織在資訊安全CIA 的成效。
在華人世界,有著許多使用特性與文化,雲端加密機制也會受到這些特性及文化的干擾。我共測試了網路評價頗高雲端加密軟體,並實際應用與測試,以較大量與多樣資料類型進行驗證測試,歸納出以下幾項重要評估要素。
中文目錄與中文檔名加解密相容性問題
為何需要將這一項列為首要呢!?國際知名雲端加解密軟體,幾乎鮮少考慮字元編碼問題,測試過程中發現,有些可以對中文檔案加密,在PC 端的解密也沒有問題,可是到了行動裝置,就出現無法解開中文檔案的問題。多數雲端加密都會建構虛擬磁碟,作為加密作業與同步雲端使用,在某些雲端加密過程中,處理次中文目錄時,發現虛擬磁碟所在的目錄下,中文檔名檔案會有缺漏假象( 在雲端同步目錄與雲端加密目錄檔案數量視覺上的不一致,分析檔案數量卻是一致的假象),也是中文字元處理的問題。所以在評估雲端加密必須注意到這樣的問題。
對於個人使用及企業使用的功能性差異
雲端檔案分享是一個重要的機制。在評估過程中,某些個人版的雲端加密,幾乎缺乏分享的機制,或許是著重在個人使用沒有考慮相關的設計。少數的雲端加密提供以「群組」分享或是在檔案加密過程中「個別指派」方式進行分享,但必須在相同加密服務機制前提下進行。與雲端服務是否提供支援AD、LDAP 服務無關,因為加密後檔案必要一把群組可以辨識解密的「Key」才能開啟檔案。但是對於身分識別以及存取權限管控,對企業就十分重要。
持有金鑰十分重要,那是打開加密檔案的重要元素。對於企業來說,「A君」加密檔案,當然希望以「A君」的Key 加解密,「B君」加密檔案,當然希望以「B君」的Key 加解密,不然就是失去加密的價值。
對企業來說,這是全公司的重要資訊資產,企業組織必須擁有一把Master Key,統一處理這些加解密檔案,總不能「乙君」離職就無法開啟「乙君」為企業創造的有價資產,這是企業在使用雲端加解密時必須關注的問題。現有的產品比較可惜的是Master Key 在相關雲端加解密公司身上,會讓企業不敢採用相對應的產品,甚至去使用雲端服務。
加解密技術的穩定效能問題
雲端加密技術是一門很深的學問,本身須兼容加密技術以及雲端服務環境⋯等要素才能符合企業組織及個人期待。有些加密方式雖然號稱AES256,但是要在效能上取的平衡,只採用Header 加密處理方式,並不是很安全作法。而如果採行透明加解密,又會有各類檔案版本處理上的無窮舉盡的困擾,甚至在跨平台與裝置的相容性問題。必須逐一取的平衡。
跨平台與行動裝置的支持與使用
在這次評測過程中,發現在跨平台(Windows vs. Apple OS),行動裝置(Windows, iOS⋯等),都有著不一樣的運作方式,有些必須搭配雲端服務的APP,在開啟過程中再去呼叫執行雲端加密軟體進行解密;有的雲端加解密則是預載雲端服務的帳號密碼,在加解密APP 啟用暫存與View 的方式提供使用者再去選擇儲存至其他APP 可供開啟的位置。但是行動裝置解密後的「明文」,是否又成為企業組織在跨平台裝置另一個外洩的漏洞呢?這是企業再使用雲端加密機制必要考慮因素。
結論
還有許多很精細的驗證測試,無法在此一一列舉,這些問題與流程,將會在產品本身具體的呈現與改善,設計出一套能滿滿與平衡相關需求的產品,讓雲端服務使用更為安全與穩定。