力挺云安全 Nasuni出5000美元悬赏黑客

云存储供应商Nasuni日前提出了一项挑战。该公司声称没人能够攻破通过Amazon简单存储服务（S3）平台使用的Nasuni Filer虚拟应用，并提供5000美元悬赏黑客。

　　Nasuni CEO Andres Rodriguez表示，他想证明云计算安全性的基本假设是值得依赖的。先不考虑数据安全的问题，众多公司首先要应该了解这样一个事实：无论文件存储在何处，用户都可以依靠现代加密技术来安全的使用。

　　“几乎每个人都为云中的数据泄露问题感到担忧。”Rodriguez说，他之前创办的Archivas在2007年以1.2亿美元的价格被日立数据系统收购。他表示，正试图证明当前的加密技术不仅完全可靠，而且用户也完全承担的起其费用。

　　“在纯粹的云存储中，你完全支付得起现代加密技术服务的费用。”他表示。

　　Nasuni加密技术的原理是，每个图像中包含一个随机数字序列，它在OpenPGP协议下以一个2048位密钥使用AES-256加密技术进行加密。使用Nasuni Filer是基于用户Amazon S3 帐户的虚拟机而完成的。

　　挑战者必须下载相应文件，并向Nasuni提供解密图像来证明自己的入侵，从而赢得悬赏奖金。一般来看，这几乎是不可能完成的。破解以AES-256加密技术进行加密的文件需要一个随机产生的密钥，而通过计算机进行暴力破解解密则几乎是不可能实现的。专家表示，对于正确实施该加密措施的文件，即使是集合整个世界的所有CPU的计算能力也无法在短期内获取密钥，甚至是用百万年的时间也无法完成这项任务。

　　鉴于OpenPGP标准的作者之一David Shaw目前就职于Nasuni，因此该公司必将能够正确地实施OpenPGP标准。CEO Rodriguez表示他对加密技术很有信心，对于这次赏金竞赛的担忧主要在于自己的通信方面。加密技术的基础是非常保险的，但Rodriguez担心参赛人员攻破的自己的邮件服务器或者内部网络，从而发现与加密有关的线索。

　　“完全不用担心加密技术。”他说。

　　Nasuni这一举措是否能给云安全带来一线希望，现在还不得而知。

　　Nasuni的该项加密技术到底蕴藏多少价值？

　　“这样的特殊技术并不能够证明，使用工业标准算法和协议进行加密的数据就能够安全地存储在云中。”一个欧洲的安全专家Craig Balding表示。他说毫无疑问，除非Nasuni自身安全出了问题，否则这个悬赏奖金是没人能够赢得的。这也未能解决人们对于承诺加密文件安全性的疑虑。

　　“这并不意味着供应商提供的这些服务是值得信任的，还存在许多技术因素，比如密钥管理、定制软件以及平台安全等问题。”Balding通过电子邮件做出这样的表示。 他还补充道，为供应商定制代码或应用平台的安全性感到担忧。

　　Balding说，这个“悬赏黑客”的挑战表明，Nasunk公司对市场是非常了解的，但并不能为企业安全带来改善。