云端之间的加密过程

2019-08-01 02

云端之间的加密过程

如果您正在使用云存储来保存文件,那么您很可能希望确保这些文件始终在云中受到保护 - 无论这些文件是重要文档还是您上次拍摄的图片假期旅行.除了你之外没有人应该能够访问这些文件.一些云存储提供商提供某种保护(防止未经授权的访问).尽管如此,作为此类服务的用户,您仍然可以在晚上睡得更好,因为您知道您最有价值的文件在您自己的个人设备之外(即在服务器上或在到服务器的传输过程中)不易存在.这只能通过安全的端到端加密实现.在本文中,我们希望为您介绍端到端加密,并在一定程度上解释其功能.

什么是端到端加密(E2EE)?

当发送者对消息(或文件)进行加密并且只能由预期的接收者解密时,E2EE才真正实现.在整个传输过程中,文件必须保持加密状态.为了确保消息或文件在传输期间保持加密,用于加密和解密消息的密钥可能仅由发送者和接收者拥有.这是真正的端到端加密的关键方面.

如果加密密钥保存在转发消息的服务器上,则这不是真正的端到端加密.

如果密钥可以由服务器解密或以任何其他方式提示,则不是真正的端到端加密.

真正的E2EE实际上最大的难点是如何将解密密钥提供给接收器.如果发送者和接收者可以在发送消息或文件之前亲自会面交换密钥,这很容易 - 但实际上,这是一种非常罕见的情况.

因此,在实践中,发送者和接收者通常会回到公钥基础设施.这意味着接收器创建了一个公钥.使用此公钥,只能加密,而不能解密.发件人现在可以使用此公钥加密消息,并将加密的消息发送给接收方.接收者是唯一拥有解密消息所需的私钥的接收者=>这种加密形式被归类为端到端加密.

交换密钥的问题由这个公钥基础设施解决,但这产生了其他问题:发送方如何确定公钥是由接收方真正拥有的而不属于其他人,假装是接收方?如果没有管理公钥和(真实)接收者归属的中央实体,这是一个难以处理的问题,无法处理.Boxcryptor代表这样一个中心实体,将公钥分配给接收者.这就是我们的用户必须创建和注册个性化帐户的原因.

端到端加密如何工作?

通过应用混合加密,通常在发送方的设备上使消息或文件难以辨认.出于效率的原因使用混合加密,并暗示使用对称密钥(例如AES)对消息进行加密.然后使用接收器的公钥加密所使用的AES密钥.之后,加密的消息以及加密的AES密钥被发送到接收器.接收器然后用他们的私钥解密AES密钥,随后用与消息一起接收的AES密钥解密该消息.

最常见的应用领域

当消息应该以加密形式传输并且在传输过程中不需要分析消息时,可以应用E2EE.没有"典型"应用领域,但它经常用于加密聊天或文件传输过程.

Boxcryptor如何实现端到端加密?

Boxcryptor密钥在用户的本地设备上生成.这包括公钥和私钥.这些密钥上传到我们的服务器,对我们和第三方来说难以辨认.密钥使用我们无权访问的用户的密码进行加密.

通过这样做,我们实现了两个主要优势:

首先,加密可以由用户从连接到互联网的每个设备开始,而不必在任何地方物理地携带加密密钥,因为我们的服务器能够根据请求提供这些密钥.

此外,我们无法随时访问用户的密钥,因为它们是使用用户密码加密的 - 这是E2EE的先决条件.

当用户共享文件时,Boxcryptor最初从服务器获取用户的公钥,该用户的公钥应该与之共享.公钥并不是秘密,因为它仅用于加密,而不用于解密.因此,公钥以明文形式存储在我们的服务器上.现在,使用接收用户的公钥对用于解密文件的AES密钥进行加密.之后,加密的AES密钥(用于加密消息)将其附加到加密消息.

然后,相应云存储提供商的同步软件将加密文件(包括加密的AES密钥)同步到接收器的设备,其中首先使用接收器的私钥解密AES密钥,随后文件本身.

本文中描述的加密过程是对完整过程的简化描述,因为在过程方面有太多重要的方面.有关加密过程的更多详细信息,我们在Boxcryptor网站上提供技术概述.