近期,由Kaspersky专家开发的一项用于在移动设备上恢复密码和加密密匙的高级技术获得俄罗斯技术专利。该技术几乎消除了数据泄漏的可能。尽管该技术最近才获得专利,但其早已经被应用于Kaspersky手机安全软件中。
加密技术虽然是一种可靠的机密数据保护手段,被企业用户和个人用户所广泛使用。但是,加密技术存在一个缺陷。因为用户会忘记用于访问加密数据的密码。一方面,密码丢失可能会造成损失,因为如果没有密码,加密数据就无法访问。另一方面,如果密码可以被恢复,就增加了数据泄漏的风险。需要注意的是,产品供应商使用的备份手段可能包含漏洞,从而造成对机密数据的未授权访问。
两害相权取其轻,所以用户必须做出选择。或者使用保护强度最高的解决方案,这种解决方案不允许发生人为错误,无法进行密码恢复。又或者,用户可以选择信任产品供应商的IT基础设施的可靠性,如果这类产品允许恢复密码。
据了解,为了恢复用于访问加密数据的密码和密匙,卡巴斯基实验室的专利技术使用三个独立的因素:用户ID、移动设备ID和一串随机数字。
三个独立的因素
用户首次安装Kaspersky实验室的手机安全解决方案时,认证系统会要求用户提供一个电子邮件地址。Kaspersky手机安全软件会识别出其散列地址(使用一种特殊算法将用户输入的由字母和数字组成的邮件地址转换为一串符号序列)。此外,该解决方案还会基于设备硬件特性,生成一个独有的设备ID和一串随机数字。产品注册后,这些加密的随机数字和邮件地址散列地址以及设备ID会被传送到Kaspersky实验室的服务器。
产品使用的随机数字,是为了提供“防御中的防御”。同很多其他解决方案一样,Kaspersky手机安全软件使用特殊的数据文件加密密匙。密匙本身同样需要通过加密保护,以确保其安全。通常,这一密匙通过用户密码进行保护。只有在用户输入密码后,密匙才会被解密,才能显示加密中的信息。所以,如果密码丢失或遗忘,其中的信息几乎无法被解密。Kaspersky手机安全软件中的专利技术能够在设备中保存两份密匙。原始备份通过用户密码进行加密,另一份密匙则使用之前生成的随机数字进行加密。
如果用户的设备丢失,或者用户遗忘了密码,Kaspersky实验室的密码恢复服务会要求用户提供电子邮件地址。Kaspersky实验室服务会将用户提交的散列地址同之前从Kaspersky手机安全软件用户处收集到的散列地址数据库进行比较。如果匹配成功,系统会将用户注册时生成的特殊数字发送到该邮件地址,同时还包括如何创建新密码的说明指导。Kaspersky手机安全软件可以使用这一特殊数字解密备份密匙,从而让用户访问存储在设备中的数据。
这样,Kaspersky实验室的安全专家开发出一种便捷,并且安全的数据恢复算法。因为整个恢复过程中,参与方无法获得解密机密信息所需的所有数据。Kaspersky实验室既不会在服务器中存储用户的密码备份,也不会存储任何密匙和个人数据,而是仅保存特定信息的加密值,只有这些特定信息才能够帮助用户访问自己的数据。而这些加密值对网络罪犯没有任何价值。
小知识之Kaspersky
Kaspersky是世界上拥有最尖端科技的杀毒软件之一,总部设在俄罗斯首都莫斯科,全名“卡巴斯基实验室”,是国际著名的信息安全领导厂商,创始人为俄罗斯人尤金·卡巴斯基。