存储的安全防线:揭示存储加密的“达芬奇密码”
存储安全这一话题已经被人们谈论多年了。自从2005年,花旗银行、Ameritrade、时代华纳和美国银行几家大型公司相继发生因存储介质遗失而造成数据泄漏的严重事件后,存储安全更从一个民众关心的热点提升到了政府立法这一更高的层次。
目前已经有多家厂商致力于存储加密标准,希望让存储安全工具更容易和多种存储架构一同工作。这些厂商把大部分精力都投入在存储安全之上,并推出了多款支持存储加密功能的存储系统,包括EMC上周也开始通过多种安全手段来保护存储于其磁盘阵列上的数据的安全性。除了厂商不遗余力的推广数据安全的各项保护措施,还有一些标准组织也参与到这一领域。
尽管一些因为非法入侵和数据泄漏而造成损失的报道不断出现在报纸的醒目位置,但最终用户群体却在很大程度上对存储加密以及存储加密的标准一无所知,或者根本就不感兴趣。隐藏在背后的原因并不难看穿。《达芬奇密码》中的主角罗伯特 兰登因探索深奥的宗教符号学而出名,但若是让他来破译存储安全标准的密电码也是强人所难的一件事。这些枯燥的代码实在太难以理解了。
所幸的是,用户并不需要了解存储加密复杂代码的组成、编写等等,用户需要知道的是,目前存储加密都有哪些组织在推进,有哪些厂商在支持,现在的进展如何。
庞大复杂的存储加密家族
目前有四个独立的机构正致力于这方面的工作:
可信赖计算组织(TCG),率先开始对可信赖存储的研究,可信赖计算组织的工作重点是为专用的存储系统上的安全服务制定标准。
美国电气及电子工程师学会(IEEE)的计算机学会是发起制定安全标准的组织。去年12月,一项被认可的标准出台,这就是IEEE 1667----临时存储设备与电脑主机连接鉴别标准协议。这一标准影响了成千上百万的手机,iPod,掌上电脑,mp3播放器和许多其他临时存储设备。另外,IEEE还有一个关于加密和密钥管理的P1619标准。
美国国家标准学会(ANSI)有自己的SCSI存储接口技术委员会(T10)。T10在存储数据安全方面的第一个成就是在2004年发布了基于对象存储设备(OSD)的标准。正在开发过程中的是紧随其后的OSD-2。T10的另一成就提出是SCSI流指令-3(SSC-3)标准的草案。这个标准增加了传输过程中在磁带上加密数据的功能。
还有就是全球网络存储工业协会(SNIA),建立了存储安全工业论坛(SSIF),已经在存储安全方面小有成就。
标准的推进与演化
尽管似乎这四个组织同时拥挤在一个狭小的领域,但目前看来并没有什么小集团之间永无休止的斗争,几个组织相处得还算融洽。
这些不同的组织对基本安全组成中不同的部分做了标准化,例如加密算法和密钥管理的生命周期的方面。举例而言,可信赖计算组织有一个子小组负责满足IEEE P1619存储规格的存储设备的密钥管理。而且还有成员参加了全球网络工业协会的存储安全工业论坛。
IEEE的P1619则是现在存储安全工作组开发的一系列标准中的一个。另外还有P1619.1,支持变长认证加密的存储设备的标准;P1619.2,用于共享存储介质的大块加密标准,还有一个即将完成的标准,暂时定名为P1619.3,对存储数据进行加密保护的密钥管理架构的标准。关于这些标准的更多信息,可以在http://ieee-p1619.wetpaint.com/找到。P1619预计将紧随P1619.1之后于今年7月份最终发布。硬盘厂商们基本上使用的是相对较弱的加密模式。P1619是公认的唯一可用于加密政府最高机密信息的标准。其他标准组织很希望使用P1619标准,而不是再制定一份相同的标准来执行。
其他一些存储安全工作组的标准,例如P1619.3的情况就没有这么清晰了。可信赖计算组织有一个名叫密钥管理服务子小组(KMSS)和P1619.3标准涵盖的范围有部分重叠,即使这样,两个组织将紧密联系和沟通,共同来缩小这些重叠的部分。
与此同时,美国国家标准学会的T10关注的SCSI接口标准,主要是针对磁带设备的。美国国家标准学会的T10主要控制安全清除和只包括足够安全架构来支持加密密钥记入支持本地加密的磁带设备。该学会的部分职责是在国际标准组织中代表美国,因此,美国国家标准学会可以从美国的其他组织接收标准然后提交给国际标准组织。这样一来,该组织和可信赖计算组织、IEEE 1667,IEEE 1669以及全球网络存储工业协会都有频繁的联系。
这些标准在存储厂商中的推广也较为乐观,他们十有八九都认可了这些标准。例如NetApp的Becru部门,就参加了数个这种标准委员会,共同创建了P1619,捐助美国国家标准学会T10研究增强的密钥安全和认证,还是可信赖计算组织的捐助者。你还会发现EMC,Quantum和其他存储大鳄们除了全球网络存储工业协会安全组织以外,也参加了多个类似的委员会。
永不停休的博弈
魔高一尺,道高一丈。加密与反加密之间的博弈将永远延续下去。目前所有这一切是否能保证存储的数字堡垒无法被攻破?或许,最终我们将是胜利的一方。但用户需要耐心等待这些标准走过从提出到通过的漫漫长路。
根据可靠消息,到今年年末,磁带设备将开始支持P1619.1加密。期待IBM、HP、Sun Microsystems和Quantum能发布这类的产品。大概在同一时间,将会出现兼容P1619的硬盘。不过,P1619.2最早将在2008年中期才能对存储市场造成影响,而P1619.3很可能在2009年初才会变成现实。
可信赖计算组织的标准说明应该在今年春天出台。由于目前所有的硬盘、闪存和光纤硬盘厂商都致力于此,应该用不了一年时间,大部分的存储厂商就会提供或发布相关的兼容产品。目前已经有个别厂商发表了这方面的新闻稿。
T10的OSD-2将会何去何从?该组织承认这方面的工作已经落后于制定好的时间表,本应该在去年秋季面世的标准,现在应该马上完成。美国国家标准学会应该在2007年11月为SSC-3标准的通过做好各项准备工作,2009年11月则是SPC-4标准。
用户对安全存储的需求是不可避免的,但这一天到底何时到来却无法预测。目前仍然有很多标准和技术还未得到广泛采纳,例如对象存储,因此这些标准和技术还不能再存储安全方面发挥其应有的作用和影响。