核心技术
以用户为中心加密

在QDocument的以用户为中心的加密技术的角度下来考虑Alice的问题。Alice喜欢时不时地照一些个人照片。她希望利用公共云来备份这些照片,并在她的多台设备进行同步,这样她就可以在她的任何设备(现有的和将来的)浏览这些照片。此外,她还想和与她信赖的朋友Bob、Eve等通过互联网(如电子邮件)分享其中的一些照片,让她的朋友们可以在他们各自的任意多台设备查看共享的照片。然而,安全性是Alice最担心的。为确保安全,她希望有以下安全属性:

1.她的照片无论是在传输中(通过互联网)还是存储在 非易失性存储器(她自己的设备、云和/或她朋友们的设备)上时都必须绝对安全;

2.即使她的设备丢失、她的云帐号被黑客攻击和/或她朋友的设备丢失,她的照片都不会泄露或遗失;

3.她的照片在她账户下的云端时,对于云服务提供商和其员工都不可见;

4.她分享的照片只能在她已授权的朋友的设备上可见并在这些授权设备上进行传输。

总而言之,Alice想确保(1)除非她愿意与人分享否则她是唯一能浏览照片的用户,同时享受云存储和多设备共享带来的便利和好处, 而且(2)她分享的照片不会从她朋友的设备中泄露出去且只能在她朋友各自的设备上浏览。怎样才能帮助Alice解决这些问题?

Alice的问题牵涉到了以下几个安全问题:在本设备、云存储下的信息安全; 恶意的内部攻击;安全传输;无需当事人互相交谈多方之间的密钥交换数据的安全性。这其中每个单独安全问题都难以解决,使Alice的问题更有挑战性的是这些安全问题必须被同时解决。传统思维将倾向于使用深层防御策略。然而,许多数据泄露情况包括斯诺登的披露和名人大范围的私照泄露,源头都是他们自己的设备或公共云,传统思维的策略未必有效。

结合加密算法与战争艺术, QDocument的以用户为中心加密的加密技术采用了新开发的隔离安全理念以解决Alice和与其相似的安全问题。在计算机安全领域,隔离往往是在用户的计算机上将病毒感染或怀疑包含病毒的文件放入隔离区中。为了解决Alice的问题和相似的信息安全问题,QDocument反其道而行之,不在用户设备中隔离保护明文文件,而是使用尖端技术与强加密算法。如图1,QDocument的以用户为中心加密系统包括自身的系统组件:被称为Q-Server的服务器以及处于每个用户设备上的名为Q-Client的客户端,每个设备都持有一个Q-Server。它的主要功能包括:

1.每个用户的设备上的Q-Client负责该设备在Q-Client和Q-Server之间通信的帮助下随机产生的文件加密和解密(FED)密钥来进行实时加密和解密操作。

2.每个FED密钥都是暂时的,这意味着它在加密一个文件时只被使用一次。总之,使用FED密钥(或同等)加密的所有加密文件都在用户使用增强版随机验证码的验证过的唯一设备上高度安全的存储。打破这种保障并不比攻破AES容易。

3.FED密钥无论是对使用者还是Q-Server而言都是不可知的,没有用户输入验证码授权的情况下Q-Client也无法获取。

4.当Q-Client运行,有任何文件最近被创建、修改或添加到Q-Client的管辖范围内, Q-Client均会自动对这些文件进行加密,除非Q-Client存在已加密的副本。

5.Q-Client上的文件不管是存储在非易失性存储器上或是因特网的任何位置时均永久自动加密,只有在Q-Client已安装的或合法用户已信赖的各自设备上收到合法用户通过单向验证发来的请求时才能被读写。因无需包括Q-Server在内的其他方牵涉到获取随机FED密钥,它们基本上是隔离安装在各自合法用户注册设备上的Q-Clinet内;在Q-Client之外,它们是“死”的,没有任何意义。

6.对于只对特定用户读/写的文件来说,他们的FED密钥或同等物可在同用户的所有Q-Client被自动加密和自动同步;对于在用户群间共享的文件来说,他们的FED密钥或同等物会在这组用户的所有Q-Client上自动加密和同步。

7.FED密钥或同等物的同步因现在在用的设备在未来可能会被售卖而不会直接在设备间进行交换,因而对于设备本身而言并不存在。FED密钥或同等物的同步传输反而通过不会泄露任何有关FED密钥信息的Q-Server,同时保证在此Q-Server以外任何合法用户的注册设备上的Q-Client上被零信息存储(即FED密钥与信息间通过Q-Server在 Q-Clients之间传播的Shannon互信息为零)。换句话说,FED密钥及同等物在Q-Server上的同步传输是绝对安全的。

8.在用户的设备上成功安装注册Q-Server,该设备上的Q-Client既可联机也可脱机工作。每当Q-Client的设备上成功运行且该设备和Q-Server之间存在网络连接,Q-Client会跟Q-Server不时地检查系统的状态和/或执行某些动作,如更改用户的验证码。

9.一个用户的验证码仅对该用户可知,如果用户忘记了他/她的验证码,系统可帮助该用户恢复。基于单向函数和安全秘密共享的发明与创新, BicDroid隔离安全系统有一个内置的数学函数可在用户信息成功验证之后从 Q-Client将验证码发送到任何设备 。以上就是用户、Q-Client、Q-Server以及BicDroid隔离安全系统管理员的协作过程。此外,在恢复过程中,Q-Server和BicDroid隔离的安全系统管理员都对验证码一无所知;验证码在被用户获取后,当前设备或当前Q-Client上不会残留任何与验证码有关的信息。

10.在任何时候,Q-Server都不可获取FED密钥,且无法访问用户的文件和验证码。此外,Q-Server是轻巧被动的,并且仅对来自已注册的Q-Server的请求做出回应,从而最大限度地减少针对Q-Server攻击和恶意的内部攻击可能引起的风险。

回到Alice的问题,我们开发的基于用户中心加密的系统产品名为QDocument,不仅完全解决了Alice的问题,而且还为云计算的安全性和企业加密提供了一个解决方案。