存储加密标准进展缓慢

每当人们在一起探讨关于如何进行数据保护的问题时，话题几乎总是会涉及到各种存储设备中基于磁盘或磁带的数据加密技术。不过从最近业内的情况看来，各家存储设备上的“静态数据”（Data at rest）加密技术，在今后很长一段时间内很有可能依然保持目前这种“各自为政”的状态。

一周前我们曾报道过，业内专家警告用户，存储设备上的数据与那些在公共LAN或WAN上传输的数据一样，都存在被恶意篡改、盗取或攻击的隐患。目前，一个由存储厂商所组成的专门组织正在努力就这个问题展开工作。并且，现在的存储设备商们均把加密功能归到了产品的标准配置单内。与之相应，软件厂商们也把加密作为其产品备份过程中的一个自动功能。

以上这些听上去确实是个好消息，但事实上这其中却存在着很多问题。比如对于大多数商店来说，对数据采取统一的加密处理，并保证数据具有统一的可搜索性和可恢复性，依然是一件很具挑战性的工作。这是因为不同的存储系统之间所使用的数据加密算法是不同的。甚至来自不同厂商的产品即使使用的是相同加密技术，也同样不能相互识别数据。

例如，两台来自不同厂商但同样能够使用AES-256加密算法的设备，在进行解码的时候由于都需要使用各自厂商的密钥，因此这种加/解密的过程具有排他性的特征。

由此看来，如果业内能够出台一套磁盘和磁带设备都遵循的“静态数据”加密标准的话，就可以完全避免以上情况的发生。针对此问题，IEEE（美国电气及电子工程师学会）自2002年的8月就开始着手制订了一个名为“存储媒介共享加密标准架构”的规范，简称1619项目（Project 1619）。

时至三年后的今日，关于这个标准架构的第一版规范（至少是部分规范）终于要公之于众了。本周，在美国旧金山将会举行一场名为“Security in Storage Workshop”的大会。届时，所有参会的1619项目委员会的成员们均希望能够在包括：确定厂商共通的加密密钥，以及制定处理加密数据的主流模式等问题上达成更多的共识。而完整的第一版规范要在2006年早期才能正式发布。

尽管这个计划得到了包括HP、HDS、IBM、Sun、Kasten Chase和Network Appliance（NetApp）在内的众多业内厂商支持。但是到目前为止，这项工作中依然还有很多尚未解决的问题存在。我们目前还不清楚在第一版规范中是否同时包含有磁盘和磁带的加密规范，以及到时候这些新规则要怎样进行实施等问题。不过工作组现任主席James Hughes（来自Sun 公司）似乎并不担心这些细节性的具体问题。在他的一封简短的邮件中，他曾表示“具体工作在明年早期就会完成”。

那么最终用户们要等到什么时候才能真正地从这个规范中受益呢？答案似乎并不乐观。但是事实上也并不是所有的人都需要这么苦等下去。一家来自加拿大的服务提供商——Data Base File Tech（DBFT）——就根本不拿所谓的1619项目当回事儿。这家企业目前已经与新兴管理软件厂商Atempo公司签署一份合同。合同的具体内容是前者将使用后者所提供的Time Navigator软件，通过各种设备来进行数据的备份和恢复工作。

DBFT公司的运营经理Maurice Auger对于可能产生的数据加密的兼容性问题一点都不担心。这是因为DBFT公司拥有一个同质化程度非常高的IT环境，因此这就在客观上为使用同一软件包来对所有同类设备进行加密创造了条件。并且Auger也十分认可Atempo公司在这方面的实力。同时他也希望系统能够支持更多种类的加密技术。最终他发现在各个存储设备之间使用彼此兼容的编码加密方式确实能够让企业从中受益。Auger认为：“很多拥有异构存储环境的用户，在数据加密的问题上，总是会遇到大麻烦。”