Google: chiavi di cifratura personali nel cloud

Customer-Supplied Encryption Keys  garantisce maggiore controllo all'utente che potrà adoperare le proprie chiavi di cifratura nel cloud Google

 

Google ha annunciato la disponibilità generale di Customer-Supplied Encryption Keys (CSEK) per Compute Engine, una funzionalità che consente al cliente di utilizzare le proprie chiavi di cifratura nel cloud. Mountain View ha attivato per il momento CSEK nelle seguenti aree geografiche: Danimarca, Francia, Germania, Canada, Stati Uniti, Regno Unito, Taiwan e Giappone. Nel corso del mese di Agosto si aggiungeranno alla lista anche Italia, Svezia, Norvegia, Messico ed Australia.

CSEK, afferma l’azienda dal blog ufficiale, è una soluzione destinata a tutti i clienti che desiderano avere un maggior controllo sul processo di cifratura dei dati online. La chiave personalizzata sarà usata da Compute Engine per crittare e decrittare i dati ma non sarà memorizzata nei server della compagnia: questo significa che solo chi sarà in possesso della chiave potrà accedere ai file.

Ad un maggiore controllo e livello di sicurezza corrisponde anche una maggiore responsabilità da parte del cliente che dovrà prestare attenzione a non smarrire/dimenticare la chiave adoperata: non essendo infatti il provider a conoscenza di quest’ultima, un eventuale recupero risulterebbe impossibile rendendo inservibile ogni dato crittografato.

CSEK potrà essere attivata solo su nuovi hard disk persistenti e non su quelli già in uso. Gli SSD locali non potranno invece essere controllati manualmente perchè “non persistenti dopo la chiusura di una macchina virtuale”.

Come funziona il sistema Google

Il post rimanda anche ad un interessante approfodimento sul sistema di sicurezza applicato automaticamente da Google nel cloud, analizziamone brevemente il funzionamento.

Google sistema di cifratura

Come mostra la prima figura, la compagnia si appoggia a diversi layer di crittaggio. Ogni qual volta un utente esegue l’upload di file nello spazio di archiviazione online, si attiva automaticamente il processo di cifratura – applicato a più livelli, ad iniziare da quello di storage – e frammentazione dei file. Ogni file è infatti suddiviso in più parti, all’occorrenza delle dimensioni nell’ordine di alcuni GB, e crittato con l’AES (Advanced Encryption Standard a 128bit o 256bit). I frammenti sono poi distribuiti a livello globale nell’infrastruttura Google e replicati per backup/disaster recovery in altre location. Le “copie” sono a loro volta cifrate dall’AES.

Google sistema di cifratura dati

L’algoritmo entra in gioco anche al livello hardware con scritture cifrate a 128bit per le unità meccaniche e 256bit per gli SSD. A fronte di quanto detto (per chi volesse approfondire, l’articolo di Google scende ulteriormente nel dettaglio), è chiaro come per un eventuale malintenzionato sarebbe estremamente difficile accedere ai dati desiderati: l’hacker dovrebbe non solo “raccogliere” i frammenti necessari a ricostruire il file desiderato ma anche conoscere la chiave di cifratura di ciascun “tassello”.

 

 

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *