近期，由Kaspersky專家開發(fā)的一項(xiàng)用于在移動設(shè)備上恢復(fù)密碼和加密密匙的高級技術(shù)獲得俄羅斯技術(shù)專利。該技術(shù)幾乎消除了數(shù)據(jù)泄漏的可能。盡管該技術(shù)最近才獲得專利，但其早已經(jīng)被應(yīng)用于Kaspersky手機(jī)安全軟件中。

加密技術(shù)雖然是一種可靠的機(jī)密數(shù)據(jù)保護(hù)手段，被企業(yè)用戶和個人用戶所廣泛使用。但是，加密技術(shù)存在一個缺陷。因?yàn)橛脩魰浻糜谠L問加密數(shù)據(jù)的密碼。一方面，密碼丟失可能會造成損失，因?yàn)槿绻麤]有密碼，加密數(shù)據(jù)就無法訪問。另一方面，如果密碼可以被恢復(fù)，就增加了數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。需要注意的是，產(chǎn)品供應(yīng)商使用的備份手段可能包含漏洞，從而造成對機(jī)密數(shù)據(jù)的未授權(quán)訪問。

兩害相權(quán)取其輕，所以用戶必須做出選擇?；蛘呤褂帽Ｗo(hù)強(qiáng)度最高的解決方案，這種解決方案不允許發(fā)生人為錯誤，無法進(jìn)行密碼恢復(fù)。又或者，用戶可以選擇信任產(chǎn)品供應(yīng)商的IT基礎(chǔ)設(shè)施的可靠性，如果這類產(chǎn)品允許恢復(fù)密碼。

據(jù)了解，為了恢復(fù)用于訪問加密數(shù)據(jù)的密碼和密匙，卡巴斯基實(shí)驗(yàn)室的專利技術(shù)使用三個獨(dú)立的因素：用戶ID、移動設(shè)備ID和一串隨機(jī)數(shù)字。

三個獨(dú)立的因素

用戶首次安裝Kaspersky實(shí)驗(yàn)室的手機(jī)安全解決方案時(shí)，認(rèn)證系統(tǒng)會要求用戶提供一個電子郵件地址。Kaspersky手機(jī)安全軟件會識別出其散列地址（使用一種特殊算法將用戶輸入的由字母和數(shù)字組成的郵件地址轉(zhuǎn)換為一串符號序列）。此外，該解決方案還會基于設(shè)備硬件特性，生成一個獨(dú)有的設(shè)備ID和一串隨機(jī)數(shù)字。產(chǎn)品注冊后，這些加密的隨機(jī)數(shù)字和郵件地址散列地址以及設(shè)備ID會被傳送到Kaspersky實(shí)驗(yàn)室的服務(wù)器。

產(chǎn)品使用的隨機(jī)數(shù)字，是為了提供“防御中的防御”。同很多其他解決方案一樣，Kaspersky手機(jī)安全軟件使用特殊的數(shù)據(jù)文件加密密匙。密匙本身同樣需要通過加密保護(hù)，以確保其安全。通常，這一密匙通過用戶密碼進(jìn)行保護(hù)。只有在用戶輸入密碼后，密匙才會被解密，才能顯示加密中的信息。所以，如果密碼丟失或遺忘，其中的信息幾乎無法被解密。Kaspersky手機(jī)安全軟件中的專利技術(shù)能夠在設(shè)備中保存兩份密匙。原始備份通過用戶密碼進(jìn)行加密，另一份密匙則使用之前生成的隨機(jī)數(shù)字進(jìn)行加密。

如果用戶的設(shè)備丟失，或者用戶遺忘了密碼，Kaspersky實(shí)驗(yàn)室的密碼恢復(fù)服務(wù)會要求用戶提供電子郵件地址。Kaspersky實(shí)驗(yàn)室服務(wù)會將用戶提交的散列地址同之前從Kaspersky手機(jī)安全軟件用戶處收集到的散列地址數(shù)據(jù)庫進(jìn)行比較。如果匹配成功，系統(tǒng)會將用戶注冊時(shí)生成的特殊數(shù)字發(fā)送到該郵件地址，同時(shí)還包括如何創(chuàng)建新密碼的說明指導(dǎo)。Kaspersky手機(jī)安全軟件可以使用這一特殊數(shù)字解密備份密匙，從而讓用戶訪問存儲在設(shè)備中的數(shù)據(jù)。

這樣，Kaspersky實(shí)驗(yàn)室的安全專家開發(fā)出一種便捷，并且安全的數(shù)據(jù)恢復(fù)算法。因?yàn)檎麄€恢復(fù)過程中，參與方無法獲得解密機(jī)密信息所需的所有數(shù)據(jù)。Kaspersky實(shí)驗(yàn)室既不會在服務(wù)器中存儲用戶的密碼備份，也不會存儲任何密匙和個人數(shù)據(jù)，而是僅保存特定信息的加密值，只有這些特定信息才能夠幫助用戶訪問自己的數(shù)據(jù)。而這些加密值對網(wǎng)絡(luò)罪犯沒有任何價(jià)值。

admin

收藏 海報(bào)分享