什么是端到端加密?
端到端加密是一种加密技术,它使用加密密钥在发送方和接收方之间对消息进行加密。发件人设备上的程序会生成两个密钥(公共密钥和私有密钥),采用这些密钥对邮件进行加密,然后将其发送给收件人。这种技术可经确保其消息在传输过程中,任何人(包括通信提供者)都无法阅读或访问,因为消息在窥探者或恶意行为者看来是无法理解的乱码。
随着冠状病毒疫情仍在重塑劳动力模式,并且加快数字化转型的步伐,企业端到端加密的好处正在显现。
企业端到端加密的好处
尽管端到端加密在消费级设备中的应用已经存在了多年,但企业级应用最近才得到快速发展。随着疫情迫使各种规模的企业加快实施数字转型计划,对于关注云平台和内部部署环境的数据安全的企业来说,端到端加密成为一个更具吸引力的考虑因素。
拥有云计算运营环境的企业通常依赖其云计算提供商提供的安全措施。尽管这种安全机制提供静态数据加密服务,但如果黑客访问和攻击存储加密密钥的云计算提供商服务器,其数据就会变得易受攻击。因为端到端加密将加密密钥存储在用户设备上而不是服务器上,所以在攻击和破坏期间不可能访问加密数据。
瑞士端到端加密解决方案提供商Tresorit公司首席执行官IstanLam说,“端到端加密可以确保数据本身受到保护,无论数据存储在哪里。除了提供最高的安全级别,端到端加密还将基于云计算的服务的便利性与企业的数据安全性和内部部署解决方案的可控性相结合:它实现了便捷性、灵活性、可访问性和可扩展性,以及最高级别的数据安全性、完整性和机密性。
端到端加密确保对加密密钥和数据本身的控制权仍在所有者手中,从而为企业提供对其数据的最终控制。第三方不能访问端到端的加密数据,甚至连服务提供商也不能访问。因此,端到端加密可以帮助企业满足严格的数据保护合规性要求,并降低数据泄露和破坏的风险。”
随着员工队伍的多样化,以协作和效率的名义允许远程工作者访问文件已经引起人们对网络钓鱼诈骗和潜在恶意软件威胁的担忧。这些潜在的漏洞也存在于企业的IT团队中,而缺乏经验和急于构建数字驱动的流程可能会导致配置问题,从而打开威胁的窗口或扩展攻击面。
总部位于新西兰的E2EE解决方案提供商Mega公司首席技术官MathiasOrtmann说:“企业IT不再是所有部分都位于受管和完全受控的基础设施上的一个‘已知实体’。移动用户、远程工作人员和独立的第三方可能使企业网络安全变得脆弱。在这种情况下端到端加密可以添加重要的保护层,还允许企业将存储和通信服务进行外包,也不必从头开始构建成本高昂且性能较低的系统。”
使用企业端到端加密面临的挑战
Ortmann指出,如果实施得当,端到端加密提供者就不能解密驻留在其基础设施中或在其基础设施中移动的用户数据或通信。但是如果加密凭据丢失,对数据的访问权限也会丢失。
Ortmann解释说:“简单地说,有了正确的端到端加密就不会重置密码。”密码丢失是企业面临的与端到端加密相关的最大风险。Mega公司意识到了这一点,并经常提醒其用户保护恢复密钥的重要性,这使他们能够在保留对数据的访问权的同时设置新密码。健壮和安全的密钥管理是企业级端到端加密使用的重要组成部分。”
Lam还承认,云计算服务提供商提供的端到端加密提供程序存在一些功能上的差距,例如文件和内容搜索,这是端到端加密技术本身的缺点。
Lam指出,“由于端到端加密确保数据不会以可读格式到达服务器,因此处理用户数据的功能(例如搜索文件内容)将为开发人员解决复杂的问题。但是,有一些很有前途的科学研究(例如在同态加密领域),应该可以帮助供应商在未来克服这些技术挑战。”
企业级端到端加密使用量上升
随着Zoom公司和微软等全球公司在其平台和产品中实施端到端加密,这种强大的安全措施正逐渐成为行业标准。人们越来越认识到端到端加密的好处,与此同时,一些国家的执法机构也在努力制定法规,要求端到端加密提供商创建允许他们访问客户数据的方法(例如主密钥),但这违背了端到端加密的创建目的(用户可以完全控制数据的访问和共享方式)。
Ortmann预测:“MEGA公司认为,端到端加密将成为企业音频和视频通话及会议的规范。由于机密性和法规要求,端到端加密还将帮助保护那些根本无法让其数据暴露给任何未经授权的部门,更不用说将会损害其声誉。这些部门可能是律师事务所、医疗保健机构、保险公司和金融部门。”
与Ortmann一样,Lam认为,端到端加密将成为一种行业流行的安全工具,其用例遍及消费者和企业数据保护领域。
他说,“对数据安全性的需求随着数据量快速增长而增长,我预计会有更多的企业IT供应商将端到端加密集成到他们的产品中,并且在企业中的采用率将会提高。”