端对端加密技术提升云计算安全性

通过证明服务器有能力处理加密数据并发回仍处于加密状态的处理结果，麻省理工学院研究人员推动云安全性向前迈进了重要一步。

麻省理工学院研发的这种技术基于同态加密技术。通过这种技术，云服务器无需解密即可处理加密数据。

新方法涉及将同态加密技术与其它两种技术整合至一种被研发人员称为“功能性加密方案”的方案中。目前这一技术还不适合大规模应用。研究人员认为，由于这一技术需要相当强大的计算能力，以至于目前还无法投入实用。

尽管如此，随着时间的流逝，这一问题终究会被解决。目前研究人员已经清楚，在不解密的情况下处理加密数据是可以实现的。该研究的共同作者，麻省理工学院电子工程和计算机科学系的Raluca Ada Popa表示：“在此之前，我们并不清楚这种方法是否存在可能性。”

在现有技术条件下，如果被加密的检索项没有先经过解密，那么接收服务器没有另的选择，只能发回每一个数据库记录中的信息。因此，接收者的计算机必须要进行解密并处理必要的计算指令以确定适用的结果。

同态加密是密码学中非常具有前景的研究课题，其使得在保持端对端加密的同时处理数据成为了可能。通过让云服务器能够针对同态加密结果运行单一的特定计算——如，“这是不是记录了一对匹配项?”——无需提取任何其它的信息，研究人员研发的新的功能性加密方案将这一技术又向前推进了一步。

为了实现这一功能，研究人员还使用了两种其它的方案，即乱码电路和基于属性的加密方案。每一种方案都含有功能性加密所必需的功能。

新系统首先进行同态加密，然后将解密算法嵌入乱码电路中。乱码电路的密钥会受到基于属性的加密方案的保护，同时后者将保持整个处理程序处于加密状态。

云加密公司HighCloud Security的联合创始人兼首席技术官Steve Pate认为，这一新研究非常“振奋人心”。与此同时，他还指出其中所面临的障碍：“在计算资源方面，同态加密所需要的计算量已经远远超过了我们的现有能力。”他指出，在这一技术投入使用前，用户还需要提升硬件，因为加密与密钥管理需要在处理器或其它硬件模块中进行。

CloudPassage的应用安全研究总监Andrew Hay认为，同态加密未来可能将提升多租户公有云环境的安全性，届时服务器、应用和程序将无法获取彼此的加密数据。亚马逊EC2、谷歌计算引擎与Rackspace是这类环境的典型代表。

尽管如此，在进入生产环境中进行测试之前，这一最新研究的效果到底如何还不清楚。除了大学外，这一技术的理论前提还需要内业安全从业者进行审查。

麻省理工学院的这一研究成果在上周出现在了美国计算机协会第45届计算理论研讨会上。除了麻省理工学院研究人员外，参与这一研究的人员还包括来自多伦多大学和微软的科研人员。