透過將筆記型電腦和智慧手機連線到巨大的遠端計算機庫,雲計算使我們能夠獲得比任何一臺裝置所能容納的更強大的處理能力,以及從世界任何地方訪問我們所有資料和文件的能力。“阿喀琉斯之踵”是安全性:雲端資料容易受到駭客攻擊。
然而,解決兩個最大漏洞的方案可能已觸手可及。麻省理工學院的研究人員表示,他們已經設計出一種方法來保護伺服器免受記憶體訪問模式分析駭客和定時攻擊。簡而言之,解決方案是安裝一種名為 Ascend 的晶片,該晶片在伺服器每次從遠端源請求資料時都會發出虛假資訊的煙霧彈。
即使資料被加密,計算機儲存和訪問資料的方式——其記憶體訪問模式——也可能洩露令人不安的私人細節。假設一個人在谷歌地圖上搜索從波士頓到多倫多的駕駛路線。“透過檢視訪問模式,竊聽者可以瞭解您在哪裡、您的路線以及您的最終目的地,”麻省理工學院計算機科學家克里斯托弗·弗萊徹說。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您將幫助確保未來能夠繼續刊登關於塑造我們當今世界的發現和想法的具有影響力的故事。
雲伺服器還可以根據完成某些計算所需的時間洩露秘密。想象一下,要求雲伺服器將犯罪嫌疑人的監控照片與網路上的隨機影像進行比較。“監控照片本身將被加密,因此可以防止窺探,但云中的間諜軟體仍然可以推斷出它正在與哪些公共照片進行比較,”弗萊徹說。比較所花費的時間可能會洩露有關犯罪嫌疑人影像的資訊。“明顯不同的人的照片可能很容易排除,但非常相似的人的照片可能需要更長的時間才能區分,”他解釋道。
這兩種型別的攻擊尤其危險,因為它們是隱蔽的。在谷歌地圖上的人和分析犯罪照片的人得到的結果與沒有人駭客攻擊交易時出現的結果相同。“他們不知道安全已受到損害,”弗萊徹說。
為了防止記憶體訪問攻擊,伺服器每次從地址請求資料時,都可以從其知道的每個地址請求資訊。然後,它可以丟棄除最初尋求的資訊之外的所有資料。這種方法的問題很容易看出:它太耗時而無法實用。
Ascend 使用了一種更經濟的方案。首先,它將可能查詢的資料片段分配給資料網路中的隨機節點。當處理器從網路中的特定節點(例如,多倫多的地址)請求資料時,它必須向連線到它的網路中的所有其他節點發送請求:節點包含從坦帕到廷巴克圖各地的地址。竊聽者無法分辨計算機在網路中的任何給定路徑上正在查詢哪個節點。Ascend 透過移動節點來保持這種煙霧彈的穩固性。
Ascend 保護免受定時攻擊的方法更簡單:它以有規律的間隔向計算機記憶體傳送請求,“即使處理器很忙併且不需要新資料,”弗萊徹說。這樣,攻擊者就無法分辨計算機在任何特定資料上花費了多長時間。
這種安全性是有代價的——Ascend 的執行速度將是執行使用者常用的普通程式的傳統伺服器晶片速度的六分之一。“這相當於谷歌現在給您回覆的速度與幾秒鐘後給您回覆的速度之間的差異,”弗萊徹說。至少目前而言,更大的缺點是該晶片僅存在於理論中。弗萊徹和他的同事在六月份於特拉維夫舉行的國際計算機體系結構研討會上詳細介紹了他們的晶片架構,他們現在正在構建 Ascend 晶片。他們預計在 2015 年初完成原型。