Google-kunder kan nu selv kryptere cloud-data

Fremover tilbyder Google sine cloud-kunder at benytte sig af egne krypteringsnøgler, når de skal beskytte deres online-data.

Google har nu frigivet sin såkaldte Customer-Supplied Encryption Keys (CSEK) - en service, der tillader Google-kunder selv at kryptere deres data online.

CSEK blev præsenteret i betaversion sidste år, men servicen er nu tilgængelig i sin endelige version for alle virksomheder, der benytter sig af Googles cloud-tjeneste.

Læs også: Google afprøver HTTPS-kryptering sikret mod fremtidens kvantecomputere

I bund og grund giver CSEK kunderne mulighed for at benytte krypteringsnøgler, som hverken ejes eller administreres af Google.

Det skriver blandt andre Eweek.

Indtil nu har Googles cloud-tjeneste som standard selv krypteret alle de kundedata, der lå gemt på Googles servere, uden at den enkelte kunde selv behøvede at gøre noget.

Når en virksomhed fremover leverer sin egen krypteringsnøgle, vil Google bruge den nøgle til at beskytte de Google-generede nøgler, som bliver brugt til at kryptere og dekryptere data. Alle kunders nøgle skal have en længde på 256 bit, oplyser Google.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer ()
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Morten Faurholt

Det er jo fint nok man selv kan generere den. Men det giver i hvert fald ikke noget i forhold til hvis man generelt har mistillid til Google (eller mistænker de er aflyttet af NSA), eller hvis man ønsker kontrol over egne data, for de får jo netop kendskab til nøglen! Det giver kun noget hvis man specifikt har mistillid til genereringen af nøglen hos Google, og ønsker at generere den selv - men samtidigt har fuld tillid til at de kan opbevare og bruge den sikkert.

Den eneste sikre måde er at kryptere data inden de uploades til clouden. Det fungerer for storage men selvfølgelig ikke for mere komplekse services hvor cloud-changen rent faktisk skal kunne se data i klartekst.

  • 0
  • 0
#3 Bjarne Nielsen

... men samtidigt har fuld tillid til at de kan opbevare ...

Google har ikke tænkt sig at opbevare nøglen - du skal præstere den hver gang at du vil bruge den. Og den skal bruges til at dekryptere de andre nøgler, som Google har lavet til dig og gemmer på dine vegne (jeg var ved at skrive: '... og gemmer for dig', hvilket jo nok er sandt på mere end en måde :-) ).

Så ja, det kræver stadig tillid til, at Google ikke laver kopier til sig selv eller andre undervejs, men står deres ord til troende, så kan de nu ikke bagudrettet udlevere de nøgler, som de har lavet på dine vegne, og som beskytter det indhold, som de opbevarer for dig.

  • 0
  • 0
#4 Henning Wangerin

Så ja, det kræver stadig tillid til, at Google ikke laver kopier til sig selv eller andre undervejs, men står deres ord til troende, så kan de nu ikke bagudrettet udlevere de nøgler, som de har lavet på dine vegne, og som beskytter det indhold, som de opbevarer for dig.

Sådan vil det jo altid være når det ikke er dig selv som har fund kontrol over dine nøgler.

Så længe du sender de originale filer til udbyderen som så krypterer dem, kan de på et eller andet tidspunkt se dem og din nøgle. Punktum.

Hvis du derimod krypterer på di{t,ne} device(s) med en opensource client, ser udbyderen aldrig dine originale data eller nøgler. Det burde gøre at det er lidt mere op af bakke hvis der er nogen som vil snuse rundt i dine data.

/Henning

  • 0
  • 0
#6 Jesper Lund

Hvis man har mistillid til Google, hvorfor er man så kunde der? CESK tilbydes til Compute kunder.

Well.. jeg er kunde hos Amazon Cloud (don't tell anyone). Jeg bruger S3 til offsite backup fordi det er billigt og der er et udemærket interface, men jeg har ikke tænkt mig at stole på at Amazon eller NSA ikke snager i mine data. Og hvorfor skulle jeg bruge til på at overveje det spørgsmål, når alle problemer kan løses ved at kryptere på klient-siden inden data sendes mod den evigt usikre, notorisk utroværdige cloud?

At tilbyde kunderne server-side kryptering med deres egen nøgle er en joke på niveau med NemID.

  • 0
  • 0
#8 Bjarne Nielsen

At tilbyde kunderne server-side kryptering med deres egen nøgle er en joke på niveau med NemID.

Der er vi så uenige:

  1. Joken med NemID er ikke den centrale opbevaring af nøglerne, som for alm. mennesker er mange gange mere sikkert end lokal lagring (og jeg er ikke i tvivl om at du kan gøre det bedre), men derimod at vi ikke reelt har andet valg end at stole på en løsning, som andre har valgt for os.
  2. Det er bedre at tilbyde muligheden for en masterkey under brugerkontrol end ikke at gøre det. Om den løsning passer til ens anvendelsesprofil er en anden snak, og hvor klientside kryptering er en reel mulighed, så er det selvfølgeligt bedre.
  3. Medmindre at ens niveau af paranoia kan måles i deci-phk og man derfor ikke bruger noget, som man ikke selv har bygget, så er der altid nogen, som man skal stole på - og med dette er der blevet færre. Om man vil og kan det, må afhænge af andre faktorer, som f.eks. muligheden for at afpresse virksomheden og dens ledere og medarbejdere fra f.eks. statslig side.

Det kan godt være, at det ikke er perfekt, men det er da et fornuftigt skridt i den rigtige retning. Så en joke vil jeg ikke kalde det (derimod er det blevet oversolgt af version2, men hvem dobbeltchecker ikke i forvejen alt, hvad der skrives her?)

Skal jeg være bekymret over noget, så skulle det være, at det af nogle kunne opfattes som fripas til at skyde offentlige persondata op i skyen - og det er det så efter min mening ikke. Men det er en anden snak.

  • 0
  • 0
#9 René Nielsen

Du er nødt til at skille "skidt og kanel" fra hinanden. Det at stole på en anden, har noget med følelser at gøre og det at skulle udleverer data, har noget med jura at gøre.

Derfor kan du ikke være sikker på om Google udleverer dine data/nøgler eller ej. Det eneste du kan gøre er at gå ud fra at Google overholder amerikansk lovgivning og derfor udleverer dine data iht. amerikansk lovgivning til f.eks. NSA.

Og vi ved fra Snowdens afsløringer at NSA bruger under 5% af sit budget på terror, pædofile og andre former fra kriminalitet. De resterede 95% af deres budget bruges altså til klassisk spionage og her gælder det om at kunne søge/tilgå data ukrypteret. Og det er dine data som der skal søges i.

Så er du ved at opfinde noget med et (meget) stort økonomisk potentiale, så håber jeg for dig, at det ikke "ligger i skyen" for det er det samme som at afleverer alle dine data til dine amerikanske konkurrenter.

De amerikanske efterretningstjenester arbejder sammen i en slags koordinationsudvalg med de store amerikanske firmaer, således at efterretningstjenesterne til stadighed ved "hvad man skal kigge efter".

Jeg mener derfor ikke at man som ansvarlig virksomhedsleder kan tillade sig at løbe denne risiko. En ting er hacking, men direkte afleverer at dataene til konkurrenterne - det er for dumt.

I min optik "er skyen derfor død" - fordi den byggede på tillid, men blev aflivet af amerikanske efterretningstjenester massive og omfattende misbrug.

  • 0
  • 0
#10 Frithiof Andreas Jensen

Jeg mener derfor ikke at man som ansvarlig virksomhedsleder kan tillade sig at løbe denne risiko.

De fleste ledere er blot lønmodtagere på resultatløn, de ejer ikke virksomheden. Det er næppe en højt prioriteret risiko hvad der eventuelt kan ske med aktionærernes værdier i forhold til hvad der helt sikkert sker med resultat-delen af kontrakten hvis de ikke "reducerer IT-omkostningerne med XX procent" eller hvad det nu er for en KPI som flytter nålen på optionsordningen mest.

  • 0
  • 0
Log ind eller Opret konto for at kommentere