企業端到端加密正在興起
端到端加密多年來一直是WhatsApp、Viber和Skype等客戶消息應用程序不可或缺的一部分。在過去的六個月中,Zoom公司將安全功能添加到了視頻會議平臺上,微軟公司不久也將端到端加密功能添加到了Teams中,這凸顯出端到端加密作為一種強大的安全選項越來越受到客戶歡迎,特別是對于那些將云計算作為標準商業模式的企業來說。
但是,端到端加密也有其不利之處。創建端到端加密的目的是確保消息在通信雙方之間不公開,它一直是執法機構和情報機構面臨的棘手問題,情報機構試圖獲取人們的加密消息,而科技公司則希望對其客戶的通信保密。
什么是端到端加密?
端到端加密是一種加密技術,它使用加密密鑰在發送方和接收方之間對消息進行加密。發件人設備上的程序會生成兩個密鑰(公共密鑰和私有密鑰),采用這些密鑰對郵件進行加密,然后將其發送給收件人。這種技術可經確保其消息在傳輸過程中,任何人(包括通信提供者)都無法閱讀或訪問,因為消息在窺探者或惡意行為者看來是無法理解的亂碼。
隨著冠狀病毒疫情仍在重塑勞動力模式,并且加快數字化轉型的步伐,企業端到端加密的好處正在顯現。
企業端到端加密的好處
盡管端到端加密在消費級設備中的應用已經存在了多年,但企業級應用最近才得到快速發展。隨著疫情迫使各種規模的企業加快實施數字轉型計劃,對于關注云平臺和內部部署環境的數據安全的企業來說,端到端加密成為一個更具吸引力的考慮因素。
擁有云計算運營環境的企業通常依賴其云計算提供商提供的安全措施。盡管這種安全機制提供靜態數據加密服務,但如果黑客訪問和攻擊存儲加密密鑰的云計算提供商服務器,其數據就會變得易受攻擊。因為端到端加密將加密密鑰存儲在用戶設備上而不是服務器上,所以在攻擊和破壞期間不可能訪問加密數據。
瑞士端到端加密解決方案提供商Tresorit公司首席執行官Istan Lam說,“端到端加密可以確保數據本身受到保護,無論數據存儲在哪里。除了提供最高的安全級別,端到端加密還將基于云計算的服務的便利性與企業的數據安全性和內部部署解決方案的可控性相結合:它實現了便捷性、靈活性、可訪問性和可擴展性,以及最高級別的數據安全性、完整性和機密性。
端到端加密確保對加密密鑰和數據本身的控制權仍在所有者手中,從而為企業提供對其數據的最終控制。第三方不能訪問端到端的加密數據,甚至連服務提供商也不能訪問。因此,端到端加密可以幫助企業滿足嚴格的數據保護合規性要求,并降低數據泄露和破壞的風險。”
隨著員工隊伍的多樣化,以協作和效率的名義允許遠程工作者訪問文件已經引起人們對網絡釣魚詐騙和潛在惡意軟件威脅的擔憂。這些潛在的漏洞也存在于企業的IT團隊中,而缺乏經驗和急于構建數字驅動的流程可能會導致配置問題,從而打開威脅的窗口或擴展攻擊面。
總部位于新西蘭的E2EE解決方案提供商Mega公司首席技術官Mathias Ortmann說:“企業IT不再是所有部分都位于受管和完全受控的基礎設施上的一個‘已知實體’。移動用戶、遠程工作人員和獨立的第三方可能使企業網絡安全變得脆弱。在這種情況下端到端加密可以添加重要的保護層,還允許企業將存儲和通信服務進行外包,也不必從頭開始構建成本高昂且性能較低的系統。”
使用企業端到端加密面臨的挑戰
Ortmann指出,如果實施得當,端到端加密提供者就不能解密駐留在其基礎設施中或在其基礎設施中移動的用戶數據或通信。但是如果加密憑據丟失,對數據的訪問權限也會丟失。
Ortmann解釋說:“簡單地說,有了正確的端到端加密就不會重置密碼。”密碼丟失是企業面臨的與端到端加密相關的最大風險。Mega公司意識到了這一點,并經常提醒其用戶保護恢復密鑰的重要性,這使他們能夠在保留對數據的訪問權的同時設置新密碼。健壯和安全的密鑰管理是企業級端到端加密使用的重要組成部分。”
Lam還承認,云計算服務提供商提供的端到端加密提供程序存在一些功能上的差距,例如文件和內容搜索,這是端到端加密技術本身的缺點。
Lam指出,“由于端到端加密確保數據不會以可讀格式到達服務器,因此處理用戶數據的功能(例如搜索文件內容)將為開發人員解決復雜的問題。但是,有一些很有前途的科學研究(例如在同態加密領域),應該可以幫助供應商在未來克服這些技術挑戰。”
企業級端到端加密使用量上升
隨著Zoom公司和微軟等全球公司在其平臺和產品中實施端到端加密,這種強大的安全措施正逐漸成為行業標準。人們越來越認識到端到端加密的好處,與此同時,一些國家的執法機構也在努力制定法規,要求端到端加密提供商創建允許他們訪問客戶數據的方法(例如主密鑰),但這違背了端到端加密的創建目的(用戶可以完全控制數據的訪問和共享方式)。
Ortmann預測:“MEGA公司認為,端到端加密將成為企業音頻和視頻通話及會議的規范。由于機密性和法規要求,端到端加密還將幫助保護那些根本無法讓其數據暴露給任何未經授權的部門,更不用說將會損害其聲譽。這些部門可能是律師事務所、醫療保健機構、保險公司和金融部門。”
與Ortmann一樣,Lam認為,端到端加密將成為一種行業流行的安全工具,其用例遍及消費者和企業數據保護領域。
他說,“對數據安全性的需求隨著數據量快速增長而增長,我預計會有更多的企業IT供應商將端到端加密集成到他們的產品中,并且在企業中的采用率將會提高。”
