讓黑客哭吧 IBM Z 大型機想要加密一切

數據泄露往往引起巨大損失，然而只要被盜數據是加密的，悲劇很大程度上就不會發生。畢竟，如果絲毫讀不懂，那費儘力氣滲漏出來也沒什麼用。如今，IBM宣稱已有辦法加密網路中各層數據，從應用到本地資料庫到雲服務都可以，並且可支持每天加密120億次交易的新大型機。

過去，頻繁加解密的處理負擔，阻礙了此類全面數據加密。而隨著硬體和軟體加密過程的進步，IBM稱其 IBM Z 大型機已將不可能變為可能。如果實際應用中也是如此，那麼用戶將會得到一個既便於使用，又遠超當前數據安全等級的系統。

加密誤區

IBM稱，2013年以來，黑客已盜取約90億條數據記錄，其中1/3是醫療記錄。被盜數據中僅有可憐的4%的加密的，意味著這些信用卡號、用戶名和口令、社會安全號等信息，很容易地就流入了暗網犯罪交易市場。

即便加密數據也往往以被破解而告終，因為公司企業並不總是選擇用防黑加密措施。網路罪犯不介意花點時間破解這些脆弱的加密——人們願意加密的數據一般都是有價值數據，投入點兒資源解密通常都能值回票價。

真正加密全部數據的系統，會讓罪犯識別有價值目標的難度激增。至於 IBM Z，它需要的僅僅是大規模計算能力而已。

IBM Z 大型機使用公開256位AES加密演算法——無處不在的SSL和TLS加密標準所用相同協議，美國政府保護機密數據的受信加密演算法。但該公司的突破不在於加密質量，而在於其規模。受益於片上處理硬體專利技術，IBM Z 擁有每晶元每秒13GB的數據加密能力。根據配置，每台主機可有24個晶元。

IBM安全威脅情報副總裁凱勒布·巴羅稱：「這代表著加密過程專用晶元400%的提升——超過60億個晶體管專用於加密。於是，任意類型的交易系統，我們都可以獲得前所未有的安全性。」

為更好地理解為什麼全面加密那麼重要，可將之與典型銀行網站互動做類比。網銀服務在站點加密用戶瀏覽會話，但該加密不延續到應用和網路操作系統後台。該工作流的某些部分缺乏加密，這些地方也就是客戶數據有可能被黑的脆弱點。

作為對比，IBM Z 則對整個互動過程進行全時段加密——除了數據處理過程，而即便是處理過程中也僅僅是實際計算的時候短時解密，就又再次加密了。

一台主機每天可處理120億筆交易。即便是網路購物狂歡節，也只有約3000萬筆的交易量。於是，一台這種主機，就能在不到一天的時間裡，不費吹灰之力地處理這瘋狂的工作負載。

該系統還能大幅減少訪問原始可讀數據的管理員數量。這意味著黑客可盜取特權憑證的攻擊目標又減少了。而且，IBM Z 還提供粒度控制，用戶可按需訪問數據，無需暴露大片用不到的數據。

IBM稱，大規模加密處理能力的突破，讓其佔據了該領域領先地位。該公司還對其大型機擁有完整的組件控制能力，可提升效率和系統控制。IBM稱，大規模加密實現是「架構上的自然擴展」。

不過，大問題依然留存。IBM Z 的「泛」加密或許可阻撓當今很多攻擊方法，但世上沒有「完美安全」這種東西；只要有機會，研究人員和黑帽子幾乎肯定會找到弱點。IBM開發人員也很好地預測到了這一點，他們已經給該大型機的密鑰存儲添加了防黑措施。只要發現任何入侵跡象，該系統就會自動失效所有密鑰，直到入侵被緩解。

IBM Z 一類的系統所面臨的另一問題，就是其採納範圍能有多廣。該系統可使公司企業很方便地遵從越來越嚴格的國際數據保留條例，比如《美國聯邦信息處理標準》。但對還沒依賴大型機的企業而言，IBM Z 或許不太像是個有意義的選項。

獨立技術評估公司 Clabby Analytics 分析師喬·克拉比說：「基於大型機的既定客戶會撲向該系統。至於新客戶，就很難說了。很多客戶都有很強的英特爾偏向。但加密所有數據是巨大的一步。鑒於缺了它世界就是一團糟，IBM Z 還是非常振奮人心。」