Credit: CC0公共领域过去十年见证了一个又一个丑闻,关于私人图像的丑闻被有意或无意地公之于众。哥伦比亚工程大学计算机科学家的一项新研究揭示了在流行的云照片服务上加密个人图像的第一种方法,例如来自谷歌、苹果、Flickr和其他公司的服务,所有这些都不需要对这些服务进行任何更改或信任。智能手机现在让几乎每个人都可以轻松拍照,市场研究公司InfoTrends估计,现在人们每年拍的照片超过1万亿张。智能手机保存的数据量有限,并且容易意外丢失和损坏,这导致许多用户通过云照片服务在线存储他们的图像。谷歌照片尤其受欢迎,拥有超过10亿用户。
然而,正如2014年名人裸照黑客事件所表明的那样,这些在线照片收藏不仅对其所有者有价值,对试图挖掘个人数据金矿的攻击者也有价值。不幸的是,密码和双因素身份验证等安全措施可能不足以保护这些图像,因为存储这些照片的在线服务本身有时可能就是问题所在。
该论文的主要作者约翰·科(John S. Koh)说:“在线服务公司的员工滥用其内部人员访问用户数据的案例很多,比如SnapChat的员工在看人们的私人照片。”他刚刚与计算机科学教授杰森·涅(Jason Nieh)和史蒂文·m·贝罗文(Steven M. Bellovin)完成博士学位。“甚至出现了向其他用户泄露随机用户数据的bug,这实际上发生在Google Photos中的一个bug上,该bug向其他完全随机的用户泄露了用户的私人视频。”
这个问题的一个潜在解决方案是加密照片,这样除了适当的用户,没有人可以查看它们。但是,云照片服务目前与现有的加密技术不兼容。例如,谷歌照片压缩上传的文件,以减少其大小,但这将破坏加密图像,使其成为垃圾。
即使压缩对加密图像有效,云照片服务的移动用户通常也希望有一种快速浏览可识别照片缩略图的方法,这是任何现有照片加密方案都无法实现的。许多第三方照片服务确实承诺图像加密和安全照片托管,但这些都要求用户放弃现有的广泛使用的服务,如谷歌照片。
现在,哥伦比亚工程公司的研究人员创造了一种方法,让移动用户在享受流行的云照片服务的同时保护他们的照片。这个被称为“简易安全照片”的系统对上传到云服务的照片进行加密,这样攻击者——或者云服务本身——就无法破译它们。同时,用户可以直观地浏览和显示这些图像,就像它们没有被加密一样。他们在2021年6月30日举行的第19届ACM移动系统、应用和服务国际会议MobiSys 2021上展示了他们的研究成果“使用谷歌照片的加密云照片存储”。
“即使你的账户被黑客入侵,攻击者也无法获得你的照片,因为它们是加密的,”计算机科学教授、软件系统实验室联合主任Jason Nieh说。
ESP采用了一种图像加密算法,其生成的文件可以被压缩,并且仍然可以被识别为图像,尽管对于除授权用户之外的任何人来说,这些图像看起来都像黑白静态图像。此外,ESP适用于有损和无损图像格式,如JPEG和PNG,在移动设备上使用足够高效。加密每个图像会产生三个黑白文件,每个文件编码原始图像的红色、绿色或蓝色数据的详细信息。
此外,ESP创建加密的缩略图并上传到云照片服务。授权用户可以使用包含ESP的图像浏览器快速轻松地浏览缩略图库。
“我们的系统除了基于密码的账户安全之外,还增加了一层额外的保护,”设计并实现ESP的Koh说。“我们的目标是让只有你的设备才能看到你的敏感照片,而不是其他人,除非你专门与他们分享。”
研究人员希望确保每个用户都可以使用多种设备来访问他们的在线照片。问题是,用于加密照片的数字代码或“密钥”必须与用于解密图像的数字代码或“密钥”相同,“但是,如果密钥在一台设备上,如何将它传送到另一台设备上?”聂说。“大量工作表明,用户不理解密钥,要求他们将密钥从一台设备移动到另一台设备是一种灾难,要么是因为该方案太复杂,用户无法使用,要么是因为他们以错误的方式复制密钥,无意中让每个人都可以访问他们的加密数据。”
计算机科学家为用户开发了一种易于使用的方法来管理这些密钥,从而消除了用户了解或关心密钥的需要。为了帮助新设备访问ESP加密的照片,用户只需用另一台已经安装并登录启用ESP的应用程序的设备进行验证。Nieh说,这使得“多个可信设备仍然可以查看加密照片”成为可能。
“需要处理密钥,并妥善处理它们,这是几乎所有其他加密系统垮台的原因,”Bellovin说。
研究人员在Simple Gallery中实现了ESP,Simple Gallery是安卓系统上一款广受欢迎的照片库应用,拥有数百万用户。它可以加密来自谷歌照片、Flickr和Imgur的图像,而无需对这些云照片服务进行任何更改,并且只导致上传和下载时间的适度增加。
“我们正在经历一场重大技术繁荣的开端,即使是普通用户也开始将所有数据转移到云中。这伴随着巨大的隐私担忧,这些担忧最近才开始抬头,比如越来越多的云服务员工查看私人用户数据的发现案例,”Koh说。“用户应该可以选择保护他们认为在这些受欢迎的服务中非常重要的数据,对此我们只探索了一种实用的解决方案。”
许多公司对新系统表示了兴趣。“我们有一个工作实现,我们正在向开发者和其他研究人员发布,但还没有向公众发布,”Koh说。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
