加密云上的照片,以保持它们的隐私

Tech Xplore · 企业 · 07月14日
内容显示:
  • 英文
  • 中文
  • 中英对照

在过去的十年里,私人图像恶意或意外公开的丑闻接踵而至。 哥伦比亚工程公司(Engineering)计算机科学家的一项新研究揭示了在热门云照片服务上加密个人图像的第一种方法,比如谷歌(Google)、苹果(Apple)、 Flickr等公司的照片服务,所有这些服务都不需要任何更改,也不需要信任这些服务。

智能手机现在让几乎每个人都能很容易地拍照,市场研究公司Infotrends估计,现在人们每年拍的照片超过1万亿张。智能手机拥有的数据有限,以及它们容易遭受意外损失和损坏的方式,导致许多用户通过云照片服务在线存储图像。谷歌照片尤其受欢迎,有10亿多用户。

然而,正如2014年名人裸体照片黑客事件所表明的那样,这些在线照片收集不仅对他们的所有者很有价值,而且对试图挖掘个人数据金矿的攻击者也很有价值。不幸的是,密码和双因素身份验证等安全措施可能不足以再保护这些照片,因为存储这些照片的在线服务本身有时会成为问题。

"有很多在线服务公司的员工滥用内部人员对用户数据的访问,比如Snapchat的员工在查看人们的私人照片, "这篇论文的主要作者、刚刚与计算机科学教授雷梅塞罗 ·涅赫(Nieh)和斯蒂文 · M ·贝洛文(M . Bellovin)完成博士学位的高约翰(S . Koh)说。 "甚至还有一些错误向其他用户泄露了随机用户的数据,这实际上发生在谷歌照片中的一个错误上,该错误向其他完全随机的用户泄露了用户的私人视频。 "

这个问题的潜在解决方案是加密照片,这样只有适当的用户才能看到。然而,云照片服务目前与现有的加密技术不兼容。例如, Google Photos压缩上传的文件,以缩小它们的大小,但这会损坏加密的图像,使它们成为垃圾。

即使压缩对加密图像有效,云照片服务的手机用户通常也希望能够快速浏览可识别的照片缩略图,这在任何现有的照片加密方案中都是不可能的。一些第三方照片服务确实承诺图像加密和安全的照片托管,但所有这些都要求用户放弃谷歌照片等现有的广泛使用的服务。

现在, 哥伦比亚工程研究人员为手机用户创造了一种方法,让他们在保护照片的同时享受流行的云照片服务。该系统被称为Easy Secure Photos(ESP),它对上传到云服务的照片进行加密,以便攻击者-或云服务本身-无法破译它们。同时,用户可以像没有加密一样直观地浏览和显示这些图像。他们在2021年6月30日的Mobisys 2021 、 ACM关于移动系统、应用程序和服务的第19次国际会议上介绍了他们的研究, "使用Google Photos加密云照片存储" 。

"即使你的账户被黑客攻击,攻击者也无法获得你的照片,因为它们是加密的, "计算机科学教授、软件系统实验室联合主任雷梅塞罗 ·涅赫(Nieh)说。

ESP采用了一种图像加密算法,其生成的文件可以压缩,但仍然可以被识别为图像,尽管除了授权用户外,任何人都认为这些文件看起来像黑白静态的。此外, ESP适用于JPEG和PNG等有损和无损的图像格式,并且足够有效地用于移动设备。加密每个图像会产生三个黑白文件,每个文件都编码原始图像的红色、绿色或蓝色数据的详细信息。

此外, ESP还创建加密缩略图并上载到云照片服务中。授权用户可以使用包含ESP的图像浏览器快速轻松地浏览缩略图库。

"我们的系统除了基于密码的账户安全之外,还增加了一层保护, "设计并实现了ESP的Koh说。 "目标是让它只有你的设备才能看到你的敏感照片,除非你专门与他们分享,否则其他人都看不到。 "

研究人员希望确保,如果用户愿意,可以使用多个设备访问他们的在线照片。问题是,用于加密照片的数字代码或"密钥"必须与用于解密图像的数字代码或"密钥"相同, "但如果密钥在一个设备上,如何将其复制到另一个设备上? " Nieh说。 "许多工作表明,用户不理解密钥,要求他们将密钥从一个设备移动到另一个设备是灾难的根源,要么是因为该方案过于复杂,用户无法使用,要么是因为他们以错误的方式复制密钥,无意中让每个人都能访问加密数据。 "

计算机科学家为用户开发了一种易于使用的方法来管理这些密钥,从而消除了用户了解或关心密钥的需要。为了帮助新设备访问ESP加密的照片,用户需要做的就是用另一个设备来验证它,该设备上已经安装并登录到启用ESP的应用程序中。 Nieh说,这使得"多个受信任的设备仍然可以查看加密的照片" 。

贝洛文说: "处理密钥并妥善处理密钥的需要,是几乎所有其他加密系统的崩溃。 "

研究人员在Simple Gallery中实现了ESP 。 Simple Gallery是Android上一个受欢迎的图片库应用程序,有数百万用户。它可以加密来自Google Photos 、 Flickr和Imgur的图像,而不需要对这些云照片服务进行任何更改,并且只导致上传和下载时间略有增加。

Koh说: "我们正经历着一个重大技术繁荣的开始,即使是普通用户也开始将所有数据转移到云端。这伴随着巨大的隐私担忧,这些担忧直到最近才开始抬头,比如发现越来越多的云服务员工在查看私人用户数据。 "用户应该有一个选项来保护他们认为在这些流行服务中真的很重要的数据,我们只是探索一个切实可行的解决方案。 "

一些公司对新系统表示了兴趣。 "我们有一个工作实现,我们正在向开发人员和其他研究人员发布,但还没有向公众发布, " Koh说。

更多信息。 John S . Koh等人,使用Google Photos加密云照片存储,第19届移动系统、应用程序和服务国际年会会议记录(2021年)。 DOI : 10.1145 / 3458864.3468220

关注西梅公众号