Cifrar fotos en la nube para mantenerlas privadas

La última década ha sido testigo de un escándalo tras otro por imágenes privadas que se hicieron públicas de forma maliciosa o accidental. Un nuevo estudio de científicos informáticos de Columbia Engineering revela cuál puede ser la primera forma de cifrar imágenes personales en servicios de fotografía en la nube populares, como los de Google, Apple, Flickr y otros, todo sin requerir ningún cambio o confianza en ellos. servicios.

Los teléfonos inteligentes ahora hacen que sea fácil para prácticamente todos tomar fotos, y la firma de investigación de mercado InfoTrends estima que las personas ahora toman más de un billón de fotos cada año. La cantidad limitada de datos que contienen los teléfonos inteligentes y la forma en que son vulnerables a pérdidas y daños accidentales llevan a muchos usuarios a almacenar sus imágenes en línea a través de servicios de fotografía en la nube. Google Photos es especialmente popular, con más de mil millones de usuarios.

Sin embargo, estas colecciones de fotos en línea no solo son valiosas para sus propietarios, sino también para los atacantes que buscan desenterrar una mina de oro de datos personales, como dejó en claro el caso de los trucos de fotos de desnudos de celebridades de 2014. Desafortunadamente, las medidas de seguridad como las contraseñas y la autenticación de dos factores pueden no ser suficientes para proteger estas imágenes, ya que los servicios en línea que almacenan estas fotos a veces pueden ser el problema.

«Hay muchos casos de empleados de servicios en línea que abusan de su acceso interno a los datos de los usuarios, como los empleados de SnapChat que miran las fotos privadas de las personas», dijo John S. Koh, autor principal del artículo, que acaba de terminar su doctorado. con los profesores de informática Jason Nieh y Steven M. Bellovin. «Incluso ha habido errores que revelan datos de usuarios aleatorios a otros usuarios, lo que en realidad sucedió con un error en Google Photos que reveló los videos privados de los usuarios a otros usuarios completamente aleatorios».

Una posible solución a este problema sería cifrar las fotos para que nadie más que los usuarios adecuados puedan verlas. Sin embargo, los servicios de fotografía en la nube no son actualmente compatibles con las técnicas de cifrado existentes. Por ejemplo, Google Photos comprime los archivos cargados para reducir su tamaño, pero esto corrompería las imágenes cifradas y las convertiría en basura.

Incluso si la compresión funcionó en imágenes encriptadas, los usuarios móviles de los servicios fotográficos en la nube generalmente esperan tener una forma de navegar rápidamente a través de miniaturas de fotos identificables, algo que no es posible con ningún esquema de encriptación de fotos existente. Varios servicios de fotografía de terceros prometen cifrado de imágenes y alojamiento seguro de fotografías, pero todos requieren que los usuarios abandonen los servicios existentes ampliamente utilizados, como Google Photos.

Ahora, los investigadores de Columbia Engineering han creado una forma para que los usuarios de dispositivos móviles disfruten de los populares servicios de fotografía en la nube mientras protegen sus fotografías. El sistema, denominado Easy Secure Photos (ESP), cifra las fotos cargadas en los servicios en la nube para que los atacantes, o los mismos servicios en la nube, no puedan descifrarlas. Al mismo tiempo, los usuarios pueden navegar y mostrar visualmente estas imágenes como si no estuvieran encriptadas. Presentaron su estudio, «Almacenamiento de fotografías en la nube cifradas con Google Photos», en MobiSys 2021, la 19a Conferencia internacional de ACM sobre sistemas, aplicaciones y servicios móviles, el 30 de junio de 2021.

«Incluso si su cuenta es pirateada, los atacantes no pueden obtener sus fotos porque están encriptadas», dijo Jason Nieh, profesor de ciencias de la computación y codirector del Laboratorio de Sistemas de Software.

ESP emplea un algoritmo de encriptación de imágenes cuyos archivos resultantes se pueden comprimir y aún así ser reconocidos como imágenes, aunque parezcan estáticas en blanco y negro para cualquiera, excepto para los usuarios autorizados. Además, ESP funciona para formatos de imagen con y sin pérdida, como JPEG y PNG, y es lo suficientemente eficiente para su uso en dispositivos móviles. El cifrado de cada imagen da como resultado tres archivos en blanco y negro, cada uno de los cuales codifica detalles sobre los datos en rojo, verde o azul de la imagen original.

Además, ESP crea y carga imágenes en miniatura encriptadas a los servicios fotográficos en la nube. Los usuarios autorizados pueden explorar galerías de miniaturas rápida y fácilmente utilizando navegadores de imágenes que incorporan ESP.

«Nuestro sistema agrega una capa adicional de protección más allá de la seguridad de su cuenta basada en contraseña», dijo Koh, quien diseñó e implementó ESP. «El objetivo es lograr que solo tus dispositivos puedan ver tus fotos sensibles y nadie más, a menos que las compartas específicamente con ellos».

Los investigadores querían asegurarse de que cada usuario pudiera usar varios dispositivos para acceder a sus fotos en línea si lo deseaba. El problema es que el mismo código digital o «clave» que se usa para encriptar una foto tiene que ser el mismo que se usa para desencriptar la imagen, «pero si la clave está en un dispositivo, ¿cómo se la pasa a otro?» Dijo Nieh. «Mucho trabajo ha demostrado que los usuarios no entienden las claves y exigirles que las muevan de un dispositivo a otro es una receta para el desastre, ya sea porque el esquema es demasiado complicado para que los usuarios lo utilicen o porque copian la clave de forma incorrecta. de forma inadvertida y sin querer darles a todos acceso a sus datos cifrados «.

Los científicos informáticos desarrollaron una forma fácil de usar para que los usuarios administren estas claves que elimina la necesidad de que los usuarios conozcan las claves o se preocupen por ellas. Todo lo que un usuario tiene que hacer para ayudar a un nuevo dispositivo a acceder a fotos encriptadas con ESP es verificarlo con otro dispositivo en el que ya haya instalado e iniciado sesión en una aplicación habilitada para ESP. Esto hace posible «que múltiples dispositivos confiables sigan viendo fotos encriptadas», dijo Nieh.

«La necesidad de manejar las claves, y manejarlas correctamente, ha sido la ruina de casi todos los demás sistemas de cifrado», dijo Bellovin.

Los investigadores implementaron ESP en Simple Gallery, una popular aplicación de galería de fotos en Android con millones de usuarios. Podría encriptar imágenes de Google Photos, Flickr e Imgur sin necesidad de realizar cambios en ninguno de estos servicios de fotografía en la nube, y solo generó aumentos modestos en los tiempos de carga y descarga.

«Estamos experimentando el comienzo de un gran auge tecnológico en el que incluso los usuarios promedio se mueven hacia la transferencia de todos sus datos a la nube. Esto viene con grandes preocupaciones de privacidad que solo recientemente han comenzado a asomar sus horribles cabezas, como el creciente número de casos descubiertos de empleados de servicios en la nube que buscan datos de usuarios privados «, dijo Koh. «Los usuarios deben tener una opción para proteger sus datos que creen que son realmente importantes en estos servicios populares, y nosotros exploramos solo una solución práctica para esto».

Varias empresas han expresado interés en el nuevo sistema. «Tenemos una implementación en funcionamiento que estamos lanzando a los desarrolladores y otros investigadores, pero aún no al público en general», dijo Koh.