谁能为云存储提供更好的保障

文｜李莉莎

对Mega云存储解决方案安全性的讨论甚嚣尘上，我们也来通过这样的讨论看看流行的个人云存储提供商和他们的安全协议，看他们是如何保护我们的数据安全的。

云存储提供商Mega声称他们的云存储是十分安全的，但是很多证券分析师却不相信这一点，他们认为Mega的安全协议存在明显的漏洞。当然，还有很多成功的云存储可用，例如Google Drive和微软的SkyDrive。但是，这些提供商就一定比Mega更安全吗？下面我们就来对比一下……

Google Drive

当使用Google Drive的时候，你会注意到，地址的前缀是：“https”，而不是公用的“http”，这是因为该网站使用安全套接层（SSL）， 这意味着你的浏览器和Google服务器之间的所有数据通信都是加密的！最重要的是，该网站需要出示有效的浏览器“证书”，这些“证书”是由受信任的权威机构，例如VeriSign所签发的。这些“证书”都是有期限的，一旦“证书”不被信任，那么浏览器就会发警告给用户。这确保了类似“中间人”（黑客通过各种技术手段将自己虚拟放置在网络连接中的两台通信计算机之间进行攻击）这种攻击是非常困难的。此外，Drive还提供了两步验证，在用户成功登陆前，还需要输入通过短信发给用户的移动验证码。但是，令人不安的是，你的数据在Google的服务器上是非加密存储的，这就意味着你的数据存储在对方终端时，服务器仅能提供物理安全。虽然Google声称这样做是为了用户可以浏览他们的文件，但其实最关键的原因之一也可能是，Google需要对这些存储的数据进行进一步的分析，以便能够提供更有针对性的广告服务，这也是他们主要的收入来源。在Google的隐私政策中还包含了一段关键语句“当你上传或提交一些内容到我们的服务器上，你需要给Google一个全球许可，允许Google对您上传的内容进行存储、复制、修改、创建衍生的内容等等…”这就意味着，Google可以有效的使用你的数据和以不同的方式发布它，这是令人讨厌的。

Dropbox

Dropbox也是世界著名的云存储提供商之一，他们也强调了网站的安全性。Dropbox也使用SSL安全的传输数据，还使用AES-256加密来加密用户文件。和Google Drive不同，这意味着存储在亚马逊S3服务器上的数据已经有了防破解的保障。此外，亚马逊S3存储有着极其强大的安全协议，在所有的内部和外部数据传输中，都提供SSL加密，并以冗余的方式将数据存储在多地，防止因某地停电而导致服务中断。Dropbox也提供两步验证，允许基于手机短信验证码或手机app提供身份验证。

Microsoft SkyDrive

微软的SkyDrive也使用SSL加密，让用户到微软的数据中心安全地传输数据。然而与Drive类似，而与Dropbox不同，SkyDrive也不对用户的静态文件进行加密。当然，这一方式有一个优点，就是用户可以浏览他们的文件，因为他们在微软的服务器上是不加密的。SkyDrive也有两步验证，但是它是验证用户的email地址。微软并没有对保存在数据中心的数据提供任何安全协议文件。另外，在他们的隐私政策中也提出“微软需要你授权微软公司对你存储的内容进行使用、修改、改编、复制、分发、展示等操作”。这项政策相比于Google的政策有一些细微的差别，因为微软保证，任何信息将只用于提高服务质量，但Google的政策允许操作的内容都是为他自己。

MEGA

Kim Dotcom的新的合资公司声称，Mega是“最安全”的云服务提供商。首先，它在将数据传输到Mega服务器上之前，就对客户端数据进行了AES-128的加密。其次，Mega使用SSL确保传输过程中的数据安全。数据在服务器上连同“管理员”密钥一起，是使用哈希算法加密的。这就意味着，即使你的数据被非法获取，黑客在破解你的密钥之前，必须先破解强大的加密密码。这就像是一把开锁的钥匙被锁在另外一个只有你能打开的柜子里。RSA-2048是一种用于在用户之间共享的秘密信息和文件的非对称加密算法，这在理论上是不可能通过计算来破解的。虽然Mega没有透露他们服务器的位置，但是他们也使用了数据冗余的存储方式确保数据物理存储的安全。另外，他们将无法使用你的数据用于广告、宣传等用途，因为所有这些数据都是加密的！

Box

Box也是流行的云存储提供商，Box为用户提供5GB的免费存储空间用于团队共享文档等协作用途。Box使用高级别的SSL在传输过程中加密，以及对数据进行256-bit AES 加密。而加密密钥被存储在Box服务器上，这些密钥被存储在不同的位置并且经常轮换。此外，Box采用“SSAE 16 TypeII”型数据中心，这表明Box提供的是较高水平的数据中心物理安全保障。Box有一个其他云存储提供商不具备的关键功能：管理员的审计。这个功能允许共享文件夹的管理员可以跟踪所有修改过文件夹的人的用户名、IP、email 等信息。根据Box的隐私政策，“我们不会发表、出售、出租、分享或交易您的任何个人信息或您存储在我们服务器上的任何数据给第三方，除非在本政策所列之外或您的允许之下。”他们所指的唯一的例外是指在用户的个人安全法律要求或个人紧急情况时。

总结

当用户多次上传相同文件，或在云存储中与人分享文件，一些提供商会做出一个文件的多个副本，而另一些提供商只是让指针指向已经存在的文件，而不是重新上传整个文件，这就是所谓的重复数据删除。如果一个提供商支持重复数据删除，这意味着上传的数据必须是未加密的，然而这损坏了用户数据的安全性。

下表是对一些云存储提供商的安全功能进行的简单对比。目前看起来，Mega似乎是最安全的云存储提供商，它不负众望，为用户提供许多的预防措施，利用本地数据加密、传输加密、密钥加密等方式确保数据安全。这使得用户数据几乎不可能被任何第三方破解，因为加密密钥只有你自己才知道，连提供商都无法对你的数据进行任何方式的篡改。■