那么,磁带在运输途中究竟会发生些什么?
2005年3月,美洲银行承认丢失备份磁带中1200万客户的信用卡资料,其中包括120万名联邦雇员(含60名美国参议员)的信用卡账户记录。
2005年5月,美国时代华纳公司宣布,保存公司60万名在职和离职员工个人信息的40盘磁带在运输途中丢失。
2005年6月,全球最大的银行 - 花旗集团(Citigroup)下属的花旗金融服务公司(CitiFinancial)宣布在运输途中遗失了一批包含390万名客户的姓名、账户信息、支付记录以及社保卡号等敏感信息的电脑备份磁带。
而这只是众多磁带丢失案例中的一小部分,一位隐私和知识产权专家指出,随着数据丢失事件的增多,企业面临着改变原有数据安全标准的压力,企业的首席安全官需要重新审视自己的安全策略并采取及时的应对措施。例如,华纳公司就宣布,鉴于保存公司60万名在职和离职员工个人信息的40盘磁带在运输途中丢失,公司决定将尽快为所有存储备份磁带加密。
磁带加密可以隐藏和保护敏感数据。一方面,如果磁带离开了数据中心,也就离开了RACF(资源访问控制工具)或其它类似访问控制机制的保护。另一方面,政府机构也都被赋予责任来揭发泄密事件。为此,工业组织在安全流程的审计方面开始承担着越来越多的压力。如今,磁带加密的推出为避免数据的非法查阅和履行安全规范提供了简单经济的解决方案。
敏感、重要的数据可以以很多方法进行保护,软件数据加密、加密卡、加密器等产品令人应接不暇。但是,软件加密会占用CPU资源、硬件加密需要添置设备。有没有更好的方法?答案是肯定的,IBM公司就提出了磁带加密解决方案。
磁带加密是由磁带驱动器对压缩后的数据直接进行加密,没有额外的加密软件开销,无须增加硬件投资,还可以节省磁带空间。此外,这种加密,可以让你以更加经济的方式保存大量的磁带数据。加密后的数据带在磁带过期后,无需销磁或者写x‘FF’处理。这些优点不仅适用于普通磁带,对于WORM(写一次读多次)磁带,也同样适用。
基于磁带驱动器的加密需要使用公钥和私钥,但这只是解决方案中的一部分。一个完整的解决方案还包括加密策略和密钥管理。IBM公司认识到策略和密钥管理可能随环境的变化而不同,为此,IBM开发了一套灵活的解决方案,允许客户根据自己独有的环境进行适当的裁减。
本文将从概念出发,为读者介绍IBM公司的磁带加密技术,并期望读者籍此了解并走近磁带加密技术。
加密
我们首先来介绍一些和加密有关的概念。
加密是将不受保护的明文数据处理成密文的过程。如果没有密钥很难将密文恢复成明文。计算机技术的出现使得很多复杂加密机制的实现成为可能。IBM公司和美国标准与技术研究院(US Government National Institute of Standards and Technology)合作,于1974年开发了基于计算机的加密算法 - DES。随着计算机技术的发展,DES算法已经渐显落后,加密界也推陈出新,TDES(Triple DES)、AES(Advanced Encryption Standard)等很多新算法都得到了广泛的应用。IBM公司的磁带加密解决方案同时采用了对称加密算法和不对称加密算法,既充分利用了各自的优势,又对二者进行了有机的结合。
对称密钥加密
使用对称密钥和算法加密数据,有时也叫做私钥加密或者密钥加密,但是它并不等同于不对称密钥系统中的私钥。在对称密钥系统中用来加密数据的密钥与用来解密的密钥密切相关。加密和解密的密码可以通过对密钥的简单转换来获得,二者甚至可以相同。在IBM公司的磁带加密解决方案中,加密和解密的密钥就是相同的。同时,使用不对称密钥系统对其进行保护,使之从不以明文示人。
对称加密算法比不对称加密算法的速度要快很多,且差别是论数量级的;同时,二者密钥的大小也有很大差别。例如,在对称加密系统中,一个128位的密钥就被认为是相当安全的了,而在不对称加密系统中,例如RSA(Rivest-Shamir-Adleman)建议使用的密钥长度为1024位。
IBM公司的磁带加密解决方案采用的是AES算法。AES是基于Rijndael算法的常见标准,其所支持的密钥长度和块大小都是Rijndael算法的子集。例如,AES标准支持长度为128、192、256位的密钥,其中256位的密钥就被应用在IBM的磁带加密技术中。
密钥算法可以一次一位,或者一次一块地对数据进行加密。AES标准支持的块大小为128位。
其它使用对称密钥的算法还有Twofish, Blowfish, Serpent, Cast5, Des, TDES, 和IDEA。
注释:Rijdindael算法支持的块大小为128、160、192、224和256位;支持的密钥长度为128、160、192、224和256位。
