百度云安全吗， 会造成私人信息泄露吗？有什么其他的替代产品吗？ 黄金放保险箱安全吗可靠吗视频讲解

今天手痒，多回答一点问题。

云存储出现后，或者说大数据出现后，数据安全性越来越成为一个热点讨论问题。于是，数据加密等方法就变得越来越热，咨询的人也就越来越多。去年我去商密展看的时候，几乎每一位商家都声称自己的数据存储机制是安全的。

然而，真的如此吗？我想从根上解释一下这个问题。

============================

安全技术，尤其是数据加密技术，能解决云存储安全问题吗？

首先我们要指出，无论使用何种数据加密技术手段，都有一个最关键的东西：密钥。加密技术要求，密钥拥有者完全可靠，不会泄露密钥，也不会忘记密钥。

在讲这个问题之前，我们先来区分两个概念：认证密钥，加密密钥。我们在登录网站，登录云盘，乃至登录网银的时候，所使用的密钥都是认证密钥。这个密钥不提供数据加密功能，只提供实体认证功能。在注册账号时，我们一般输入一个密钥作为登录口令。这个密钥是自己设定的，从技术手段可以实现在认证方不明文存储此密钥的条件下，判断登录时所输入的密钥和预先设定的密钥是否相等（相关技术就是以Hash和HMAC等）。

但是，这个密钥是不能用于数据加密的，为什么？因为用户有可能会忘记密钥。想一想忘记密钥的时候我们是怎么做的呢？

有的是通过手机、电子邮件等方式发送一个地址。用户点击地址后就可以修改密钥，并且修改密钥地址的有效性很短。这种方式实际上将认证交给了第三方（手机，电子邮件等）。前提假设是，用户的手机不会丢失（或者在这一时段不会丢失）；用户的电子邮箱是安全的，只允许用户自己访问。有的是通过所谓一个令牌实现。具体方式是，注册时要求手机上安装一个APP，打开后是一个每隔一段时间就变化的6-7位字符串。忘记密钥时，通过输入这个字符串就能够修改密钥了。这一前提假设是，用户的手机不会丢失（或者在这一段时段不会丢失），并且用户手机中存储的信息是可靠的。

但是，密钥认证的前提条件是，认证方至少要存储一个帮助认证的信息。所以，这种系统可以实现的基础是：

这个存储信息在用户未知的情况下不能被第三方添加、删除或者修改。这是所有认证手段的前提。这个存储信息不能直接是用户的密钥，而必须是经过非逆向操作处理后的结果。这个要求的直接实例就是CSDN的密钥库泄露问题。

但对于加密密钥，可就不太一样了。我们的想法是云端不能看用户数据，实现方法就是数据加密。那数据加密的密钥用什么密钥呢？有人说用登录密钥行不行？答案是不行的，除非云端也存储了这个密钥，否则一旦用户密钥丢失，用户就再也无法实现数据解密了。所以，不光是百度云，任何云盘都会有天生的问题：只要要求支持密钥找回功能，通过技术手段，云盘内部人员一定可以查看用户存储的信息。当然了，用户上传前自己加密数据是另一回事。这种情况下，我们要假定用户的加密过程是可靠的，并且这个加密密钥也只有用户自己知道。不过，很多人都使用了第三方工具实现数据加密。加密时，这些第三方工具是否会存储用户密钥呢？其实也不知道。

既然云盘一定可以通过技术手段查看用户存储的信息。那么我们可不可以退一步，假定云盘也是可靠的。很遗憾，这样也有问题。因为云盘的另一大功能是数据分享。我们一般如何分享云盘数据呢？是通过一个看起来像是乱码的网页地址实现的。通过分享这个地址，他人就可以访问分享数据了。如果原始数据被云端加密了，如何解决用户数据分享问题呢？似乎只能令云盘自身解密数据后，通过明文的形式存储数据，并通过模糊访问